本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將 AWS 成員帳戶從 遷移 AWS Organizations 至 AWS Control Tower
Rodolfo Jr. Cerrada,Amazon Web Services
總結
此模式說明如何 AWS 帳戶 從 遷移 AWS Organizations,其中 是受管理帳戶管理的成員帳戶 AWS Control Tower。透過在 中註冊帳戶 AWS Control Tower,您可以利用預防性和偵測性控制和功能來簡化您的帳戶控管。如果您的 AWS Organizations 管理帳戶遭到入侵,而且您想要將成員帳戶移至由 管理的新組織,您可能也會想要遷移您的成員帳戶 AWS Control TowerAWS Control Tower。
AWS Control Tower 提供架構,可結合和整合其他多種功能 AWS Organizations, AWS 服務包括並確保跨多帳戶環境的一致性合規和管理。透過 AWS Control Tower,您可以遵循一組延伸 功能的規定規則和定義 AWS Organizations。例如,您可以使用控制項來確保安全日誌和必要的跨帳戶存取許可已建立,而不會變更。
先決條件和限制
先決條件
作用中 AWS 帳戶
AWS Control Tower 在目標組織中設定 AWS Organizations (如需說明,請參閱 AWS Control Tower 文件中的設定)
的管理員登入資料 AWS Control Tower (AWSControlTowerAdmins 群組的成員)
來源的管理員登入資料 AWS 帳戶
限制
中的來源管理帳戶 AWS Organizations 必須與 中的目標管理帳戶不同 AWS Control Tower。
產品版本
AWS Control Tower 2.3 版 (2020 年 2 月) 或更新版本 (請參閱版本備註)
Architecture
下圖說明遷移程序和參考架構。此模式會將 AWS 帳戶 從來源組織遷移到由 管理的目標組織 AWS Control Tower。
註冊程序包含下列步驟:
目標組織會傳送邀請給帳戶加入組織。
帳戶接受邀請,並成為目標組織的成員。
帳戶已註冊 AWS Control Tower 並移至已註冊的組織單位 (OU)。(我們建議您檢查 AWS Control Tower 儀表板以確認註冊。) 此時,在註冊的 OU 中啟用的所有控制項都會生效。
工具
AWS 服務
AWS Organizations 是一種帳戶管理服務,可讓您將多個 合併 AWS 帳戶 到您建立並集中管理的單一實體 (組織)。
AWS Control Tower 整合了其他服務的功能 AWS Organizations,包括 AWS IAM Identity Center和 AWS Service Catalog,以協助您在 中的所有組織和帳戶中大規模強制執行和管理安全、操作和合規的控管規則 AWS 雲端。
史詩
| 任務 | Description | 所需的技能 |
|---|---|---|
登入 AWS Control Tower。 | 以管理員身分登入 AWS Control Tower 主控台。 目前,無法直接將 AWS 帳戶 從來源組織移動到由 管理的 OU 中的組織 AWS Control Tower。不過,當您將其註冊到已受 管理的 OU AWS 帳戶 時,您可以將 AWS Control Tower 管控擴展到現有的 AWS Control Tower。這就是為什麼您必須在此步驟登入 AWS Control Tower 。 | AWS Control Tower 管理員 |
邀請成員帳戶。 |
重要確認帳戶轉移不會影響任何應用程式或網路連線。 此動作會傳送邀請電子郵件,其中包含成員帳戶的連結。當帳戶管理員遵循連結並接受邀請時,成員帳戶會出現在 AWS 帳戶頁面中。如需詳細資訊,請參閱 AWS Organizations 文件中的管理帳戶邀請。 | AWS Control Tower 管理員 |
測試應用程式和連線。 | 當成員帳戶已註冊到新組織時,它會出現在根目錄中的 OU 中。它也會出現在AWS Control Tower 主控台 請確認下列內容:
| AWS Control Tower 管理員、成員帳戶管理員、應用程式擁有者 |
| 任務 | Description | 所需的技能 |
|---|---|---|
檢閱控制項並修正任何違規。 | 檢閱目標 OU 中定義的控制項,特別是預防性控制項,並修正任何違規。 設定 AWS Control Tower 登陸區域時,預設會啟用一些強制性的預防性控制。這些無法停用。您必須先檢閱這些強制性控制項並修正成員帳戶 (手動或使用指令碼),才能註冊帳戶。 注意預防性控制可保持 AWS Control Tower 已註冊帳戶的合規性,並防止違反政策。任何違反預防性控制可能會影響註冊。成功註冊後,偵測到的控制違規會顯示在 AWS Control Tower 儀表板中,如果偵測到的話。它們不會影響註冊程序。如需詳細資訊,請參閱 AWS Control Tower 文件中的關於控制項。 | AWS Control Tower 管理員、成員帳戶管理員 |
修正控制違規後檢查連線問題。 | 在某些情況下,您可能需要關閉特定連接埠或停用服務,以修正控制違規。在您註冊帳戶之前,請確定已修復使用這些連接埠和服務的應用程式。 | 應用程式擁有者 |
| 任務 | Description | 所需的技能 |
|---|---|---|
登入 AWS Control Tower。 | 登入 AWS Control Tower 主控台 | AWS Control Tower 管理員 |
註冊 帳戶。 |
如需詳細資訊,請參閱 AWS Control Tower 文件中的關於註冊現有帳戶。 | AWS Control Tower 管理員 |
| 任務 | Description | 所需的技能 |
|---|---|---|
驗證帳戶。 | 從 AWS Control Tower中選擇帳戶。您剛註冊的帳戶具有初始註冊狀態。註冊完成時,其狀態會變更為已註冊。 | AWS Control Tower 管理員、成員帳戶管理員 |
檢查控制違規。 | OU 中定義的控制項會自動套用至已註冊的成員帳戶。監控 AWS Control Tower 儀表板是否有違規,並相應地修正。如需詳細資訊,請參閱 AWS Control Tower 文件中的關於控制項。 | AWS Control Tower 管理員、成員帳戶管理員 |
疑難排解
| 問題 | 解決方案 |
|---|---|
您會收到錯誤訊息:發生未知錯誤。請稍後再試,或聯絡 AWS Support。 | 當您在 中使用根使用者登入資料 (管理帳戶) AWS Control Tower 註冊新帳戶時,會發生此錯誤。 AWS Service Catalog 無法將帳戶工廠產品組合或產品對應至根使用者,這會導致錯誤訊息。若要修復此錯誤,請使用非根、完整存取的使用者 (管理員) 登入資料來註冊新帳戶。如需如何將管理存取權指派給管理使用者的詳細資訊,請參閱 IAM Identity Center 文件中的入門。 |
AWS Control Tower 活動頁面會顯示取得災難性偏離動作。 | 此動作會反映服務的偏離檢查,並不表示 AWS Control Tower 設定的任何問題。無需採取任何動作。 |
相關資源
文件
術語和概念 (AWS Organizations 文件)
什麼是 AWS Control Tower?(AWS Control Tower 文件)
從組織移除成員帳戶 (AWS Organizations 文件)
設定 (AWS Control Tower 文件)
教學課程和影片
AWS Control Tower 研討會
(自行安排進度的研討會)
