本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 AWS 成员账户从迁移 AWS Organizations 到 AWS Control Tower
小@@ 鲁道夫 Cerrada,Amazon Web Services
Summary
此模式描述了如何将 AWS 账户 从 AWS Organizations一个由管理账户管理的成员账户迁移到 AWS Control Tower。通过注册账户 AWS Control Tower,您可以利用预防和侦查控制以及简化账户管理的功能。如果您的 AWS Organizations 管理账户遭到盗用,并且您想将成员账户转移到受其管理的新组织,则可能还需要迁移您的成员账户 AWS Control TowerAWS Control Tower。
AWS Control Tower 提供了一个框架,该框架结合并集成了其他几种功能 AWS 服务 AWS Organizations,包括并确保在您的多账户环境中实现一致的合规性和治理。使用 AWS Control Tower,您可以遵循一组扩展功能的规定规则和定义 AWS Organizations。例如,您可以使用控件来确保创建安全日志和必要的跨账户访问权限,且不会对其进行更改。
先决条件和限制
先决条件
活跃的 AWS 账户
AWS Control Tower 在目标组织中设置 AWS Organizations (有关说明,请参阅 AWS Control Tower 文档中的设置)
AWS Control Tower (AWSControlTowerAdmins群组成员)的管理员凭证
源的管理员凭据 AWS 账户
限制
中的源管理帐户 AWS Organizations 必须与中的目标管理帐户不同 AWS Control Tower。
产品版本
AWS Control Tower 版本 2.3(2020 年 2 月)或更高版本(参见发行说明)
架构
下图阐明了迁移过程和参考架构。这种模式会将 AWS 账户 从源组织迁移到受 AWS Control Tower其管理的目标组织。
注册过程包含以下步骤:
目标组织向该账户发送加入此组织的邀请。
该账户接受邀请并成为目标组织的成员。
该帐户已注册 AWS Control Tower 并移至已注册的组织单位 (OU)。(我们建议您查看 AWS Control Tower 控制面板以确认注册。) 此时,在注册的 OU 中启用的所有控件都将生效。
工具
AWS 服务
AWS Organizations是一项账户管理服务,使您可以 AWS 账户 将多个账户整合到一个由您创建和集中管理的单一实体(组织)中。
AWS Control Tower集成了其他服务的功能,包括 AWS Organizations AWS IAM Identity Center AWS Service Catalog、和,以帮助您在中的所有组织和账户中大规模实施和管理安全、运营和合规性监管规则 AWS 云。
操作说明
| Task | 说明 | 所需技能 |
|---|---|---|
登录到 AWS Control Tower。 | 以管理员身份登录 AWS Control Tower 控制台。 当前,没有直接的方法可以将组织 AWS 账户 从来源组织转移到受其管理的 OU 中的组织 AWS Control Tower。但是,当您将现有组织注册到已经受其 AWS Control Tower 管理的 OU AWS 账户 时,您可以将其管理范围扩展到现有的 OU AWS Control Tower。这就是为什么你必须登录才能执行 AWS Control Tower 此步骤。 | AWS Control Tower 管理员 |
邀请成员账户。 |
重要确认账户转账不会影响任何应用程序或网络连接。 此操作中会发送一封邀请电子邮件,其中包含成员账户链接。当账户管理员点击链接并接受邀请时,该成员账户就会出现在AWS 账户页面中。有关更多信息,请参阅 AWS Organizations 文档中的管理账户邀请。 | AWS Control Tower 管理员 |
测试应用程序和连接。 | 当成员账户在新组织中注册后,它会出现在根目录下的 OU 。它还会出现在AWS Control Tower 控制台 请验证以下内容:
| AWS Control Tower 管理员、成员账户管理员、应用程序所有者 |
| Task | 说明 | 所需技能 |
|---|---|---|
查看控制措施并修复任何违规行为。 | 查看目标 OU 中定义的控制措施,尤其是预防性控制措施,并修复所有违规行为。 设置 landing zone 时,会默认启用许多强制性的预防性控制措施。 AWS Control Tower 不得禁用。在注册账户之前,您必须查看这些强制性控制并修复成员帐户(手动或使用脚本)。 注意预防性控制可确保 AWS Control Tower 注册账户合规并防止违反政策。任何违反预防控制措施的行为都可能影响入学。成功注册后,如果检测到 Detective 控制违规,则会在控制 AWS Control Tower 面板中显示。不影响注册流程。有关更多信息,请参阅 AWS Control Tower 文档中的关于控件。 | AWS Control Tower 管理员、成员账户管理员 |
修复控制违规问题后,请检查是否存在连接问题。 | 在某些情况下,您可能需要关闭特定端口或禁用服务才能修复控制违规。注册账户之前,请确保对使用这些端口和服务的应用程序进行修复。 | 应用程序所有者 |
| Task | 说明 | 所需技能 |
|---|---|---|
登录到 AWS Control Tower。 | 登录 AWS Control Tower 控制台 | AWS Control Tower 管理员 |
注册账户。 |
有关更多信息,请参阅 AWS Control Tower 文档中的关于注册现有账户。 | AWS Control Tower 管理员 |
| Task | 说明 | 所需技能 |
|---|---|---|
验证账户。 | 从 AWS Control Tower中选择帐户。您刚刚注册的账户的初始状态为正在注册。注册完成后,其状态会变为已注册。 | AWS Control Tower 管理员、成员账户管理员 |
检查是否存在控制违规行为。 | OU 中定义的控制将自动应用于已注册的成员账户。监控 AWS Control Tower 仪表板是否存在违规行为,并进行相应的修复。有关更多信息,请参阅 AWS Control Tower 文档中的关于控件。 | AWS Control Tower 管理员、成员账户管理员 |
问题排查
| 问题 | 解决方案 |
|---|---|
您会收到错误消息:发生未知错误。请稍后重试,或联系 Supp AWS ort。 | 当您在中使用根用户证书(管理账户)注册新账户时 AWS Control Tower ,就会发生此错误。 AWS Service Catalog 无法将 Account Factory 产品组合或产品映射到根用户,这会导致错误消息。若要纠正此错误,请使用非 root、具有完全访问权限的用户(管理员)凭证注册新账户。有关如何为管理用户分配管理访问权限的更多信息,请参阅 IAM Identity Center 文档中的入门。 |
“ AWS Control Tower 活动” 页面显示 “获取灾难性漂移” 操作。 | 此操作反映了对服务的偏差检查,并不表示 AWS Control Tower 设置存在任何问题。无需采取行动。 |
相关资源
文档
术语和概念(AWS Organizations 文档)
什么是 AWS Control Tower? (AWS Control Tower 文档)
从组织中移除成员账户(AWS Organizations 文档)
设置(AWS Control Tower 文档)
教程和视频
