Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten - AWS Control Tower
Verweis auf Ressourcen außerhalb von AWS Control TowerExternes Ändern von AWS Control Tower Tower-RessourcennamenLöschen der Sicherheits-OrganisationseinheitEin Konto aus der Sicherheits-OU entfernenExterne Änderungen, die automatisch aktualisiert werden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie Ressourcen außerhalb von AWS Control Tower verwalten

AWS Control Tower richtet in Ihrem Namen Konten, Organisationseinheiten und andere Ressourcen ein, aber Sie sind der Eigentümer dieser Ressourcen. Sie können diese Ressourcen innerhalb oder außerhalb von AWS Control Tower ändern. Der häufigste Ort, an dem Ressourcen außerhalb von AWS Control Tower geändert werden, ist die AWS Organizations Konsole. In diesem Thema wird beschrieben, wie Sie Änderungen an den AWS Control Tower-Ressourcen abgleichen, wenn Sie die Änderungen außerhalb von AWS Control Tower vornehmen.

Das Umbenennen, Löschen und Verschieben von Ressourcen außerhalb der AWS Control Tower Tower-Konsole führt dazu, dass die Konsole nicht mehr synchron ist. Viele Änderungen können automatisch abgeglichen werden. Bestimmte Änderungen erfordern ein Zurücksetzen Ihrer landing zone, um die in der AWS Control Tower Tower-Konsole angezeigten Informationen zu aktualisieren.

Im Allgemeinen führen Änderungen, die Sie außerhalb der AWS Control Tower Tower-Konsole an den AWS Control Tower Tower-Ressourcen vornehmen, zu einer behebbaren Abweichung in Ihrer landing zone. Weitere Informationen zu diesen Änderungen finden Sie unter Reparierbare Änderungen an Ressourcen.

Aufgaben, für die die landing zone zurückgesetzt werden muss

  • Löschen der Sicherheits-OU (Ein Sonderfall, der nicht leichtfertig durchgeführt werden sollte.)

  • Ein gemeinsam genutztes Konto aus der Sicherheits-OU entfernen (nicht empfohlen.)

  • Aktualisierung, Anfügen oder Trennen eines mit der Sicherheits-OU verknüpften SCP

Änderungen, die automatisch von AWS Control Tower aktualisiert werden

  • Ändern der E-Mail-Adresse eines angemeldeten Kontos

  • Umbenennen eines angemeldeten Kontos

  • Erstellung einer neuen Organisationseinheit (OU) der obersten Ebene

  • Umbenennen einer registrierten Organisationseinheit

  • Löschen einer registrierten Organisationseinheit (mit Ausnahme der Sicherheits-OU, für die ein Update erforderlich ist)

  • Löschen eines registrierten Kontos (mit Ausnahme eines gemeinsam genutzten Kontos in der Sicherheits-OU.)

Anmerkung

AWS Service Catalog behandelt Änderungen anders als AWS Control Tower. AWS Service Catalog kann zu einer Änderung der Unternehmensführung führen, wenn Ihre Änderungen dadurch in Einklang gebracht werden. Weitere Informationen zur Aktualisierung eines bereitgestellten Produkts finden Sie in der Dokumentation unter Aktualisieren bereitgestellter Produkte. AWS Service Catalog

Verweis auf Ressourcen außerhalb von AWS Control Tower

Wenn Sie neue Organisationseinheiten und Konten außerhalb von AWS Control Tower erstellen, werden diese nicht von AWS Control Tower verwaltet, auch wenn sie möglicherweise angezeigt werden.

Erstellen einer OU

Organisationseinheiten (OUs), die außerhalb von AWS Control Tower erstellt wurden, werden als nicht registriert bezeichnet. Sie werden auf der Seite Organisation angezeigt, unterliegen jedoch nicht den AWS Control Tower Tower-Kontrollen.

Erstellen eines Kontos

Konten, die außerhalb von AWS Control Tower erstellt wurden, werden als nicht registriert bezeichnet. Registrierte und nicht registrierte Konten, die zu einer bei AWS Control Tower registrierten Organisationseinheit gehören, werden auf der Seite Organisation angezeigt. Konten, die nicht zu einer registrierten Organisationseinheit gehören, können über die AWS Organizations Konsole eingeladen werden. Durch diese Einladung zum Beitritt wird das Konto nicht bei AWS Control Tower registriert und auch nicht die AWS Control Tower-Governance auf das Konto ausgedehnt. Um die Verwaltung durch die Registrierung des Kontos zu erweitern, rufen Sie die Organisationsseite oder die Kontodetailseite in AWS Control Tower auf und wählen Sie Konto registrieren aus.

Externes Ändern von AWS Control Tower Tower-Ressourcennamen

Sie können die Namen Ihrer Organisationseinheiten (OUs) und Konten außerhalb der AWS Control Tower Tower-Konsole ändern, und die Konsole wird automatisch aktualisiert, um diese Änderungen widerzuspiegeln.

Umbenennen einer OU

AWS Organizations In können Sie den Namen einer Organisationseinheit ändern, indem Sie entweder die AWS Organizations API oder die Konsole verwenden. Wenn Sie den Namen einer Organisationseinheit außerhalb von AWS Control Tower ändern, spiegelt die AWS Control Tower Tower-Konsole die Namensänderung automatisch wider. Wenn Sie Ihre Konten jedoch über bereitstellen AWS Service Catalog, müssen Sie auch Ihre landing zone zurücksetzen, um sicherzustellen, dass AWS Control Tower konsistent bleibt AWS Organizations. Der Reset-Workflow gewährleistet die Konsistenz der Services für die grundlegenden und zusätzlichen Organisationseinheiten. Sie können diese Art von Abweichung auf der Seite mit den Landingzone-Einstellungen beheben. Weitere Informationen finden Sie im Abschnitt „Drift lösen“ unterAbweichungen im AWS Control Tower erkennen und beheben.

AWS Control Tower zeigt die Namen der Organisationseinheiten auf der Seite Organisation im AWS Control Tower Tower-Dashboard an. Sie können sehen, wann Ihr Vorgang zum Zurücksetzen der landing zone erfolgreich war.

Umbenennen eines angemeldeten Kontos

Jedes AWS Konto hat einen Anzeigenamen, der vom Root-Benutzer des Kontos in der AWS Billing and Cost Management Konsole geändert werden kann. Wenn Sie ein Konto umbenennen, das bei AWS Control Tower registriert ist, wird die Namensänderung automatisch in AWS Control Tower widergespiegelt. Weitere Informationen zur Änderung des Kontonamens finden Sie unter Verwaltung eines AWS Kontos im AWS Billing User Guide.

Löschen der Sicherheits-Organisationseinheit

Diese Art von Abweichung ist ein Sonderfall. Wenn Sie die Security OU löschen, wird eine Seite mit einer Fehlermeldung angezeigt, auf der Sie aufgefordert werden, Ihre landing zone zurückzusetzen. Sie müssen Ihre landing zone zurücksetzen, bevor Sie andere Aktionen in AWS Control Tower ausführen können.

  • Sie können in der AWS Control Tower Tower-Konsole keine Aktionen ausführen und keine neuen Konten erstellen, AWS Service Catalog bis der Reset abgeschlossen ist.

  • Sie werden nicht in der Lage sein, auf der Seite mit den Einstellungen für die Landingzone die Schaltfläche „Zurücksetzen“ zu sehen.

In diesem Fall erstellt der Vorgang zum Zurücksetzen der landing zone eine neue Sicherheits-OU und verschiebt die beiden gemeinsam genutzten Konten in die neue Sicherheits-OU. AWS Control Tower markiert die Konten Log Archive und Audit als verschoben. Derselbe Prozess behebt die Abweichung bei diesen Konten.

Wenn Sie feststellen, dass Sie die Sicherheits-OU löschen müssen, sollten Sie Folgendes wissen:

Bevor Sie die Sicherheits-OU löschen können, müssen Sie sicherstellen, dass sie keine Konten enthält. Insbesondere müssen Sie die Konten Log Archive und Audit aus der Organisationseinheit entfernen. Es wird empfohlen, diese Konten in eine andere OU zu verschieben.

Anmerkung

Das Löschen Ihrer Sicherheits-OU darf nicht ohne gebührende Berücksichtigung durchgeführt werden. Die Aktion könnte zu Compliance-Bedenken führen, wenn die Protokollierung vorübergehend ausgesetzt wird und einige Kontrollen möglicherweise nicht durchgesetzt werden.

Allgemeine Informationen über Abweichungen finden Sie unter „Beheben einer Abweichung“ in Abweichungen im AWS Control Tower erkennen und beheben.

Ein Konto aus der Sicherheits-OU entfernen

Es wird nicht empfohlen, die gemeinsam genutzten Konten aus Ihrer Organisation zu entfernen oder sie aus der Security OU zu entfernen. Wenn Sie versehentlich ein geteiltes Konto entfernt haben, können Sie die Schritte zur Problembehebung in diesem Abschnitt befolgen, um das Konto wiederherzustellen.

  • Von der AWS Control Tower Tower-Konsole aus: Um den Behebungsprozess zu starten, folgen Sie den halbmanuellen Behebungsschritten. Stellen Sie sicher, dass der Benutzer oder die Rolle, die Sie für den Zugriff auf die AWS Control Tower Tower-Konsole verwenden, über Ausführungsberechtigungen verfügtorganizations:InviteAccountToOrganization. Wenn Sie nicht über solche Berechtigungen verfügen, folgen Sie den Schritten zur manuellen Problembehebung, die sowohl die AWS Control Tower Tower-Konsole als auch die AWS Organizations Konsole verwenden.

  • Ausgehend von der AWS Organizations Konsole: Dieser Behebungsprozess ist ein etwas längerer, vollständig manueller Vorgang. Wenn Sie die manuellen Schritte zur Problembehebung befolgen, wechseln Sie zwischen der AWS Organizations Konsole und der AWS Control Tower Tower-Konsole. Für die Arbeit in AWS Organizations benötigen Sie einen Benutzer oder eine Rolle mit der AWSOrganizationsFullAccess verwalteten Richtlinie oder einer gleichwertigen Richtlinie. Wenn Sie in der AWS Control Tower Tower-Konsole arbeiten, benötigen Sie einen Benutzer oder eine Rolle mit der AWSControlTowerServiceRolePolicy verwalteten Richtlinie oder einer gleichwertigen Richtlinie und die Erlaubnis, alle AWS Control Tower Tower-Aktionen auszuführen (Controltower: *).

  • Wenn das Konto durch die Schritte zur Problembehebung nicht wiederhergestellt werden konnte, wenden Sie sich an. AWS Support

Die Ergebnisse der Entfernung eines gemeinsamen Kontos über AWS Organizations:

  • Das Konto ist nicht mehr durch die obligatorischen Kontrollen von AWS Control Tower mit Service Control Policies (SCPs) geschützt. Ergebnis: Die von AWS Control Tower im Konto erstellten Ressourcen können geändert oder gelöscht werden.

  • Das Konto befindet sich nicht mehr unter dem AWS Organizations Verwaltungskonto. Ergebnis: Der Administrator des AWS Organizations Verwaltungskontos hat keinen Einblick mehr in die Ausgaben des Kontos.

  • Es ist nicht mehr garantiert, dass das Konto von überwacht wird AWS Config. Ergebnis: Der Administrator des AWS Organizations Verwaltungskontos kann möglicherweise keine Ressourcenänderungen erkennen.

  • Das Konto befindet sich nicht mehr in der Organisation. Ergebnis: Die Aktualisierungen und der Reset von AWS Control Tower schlagen fehl.

So stellen Sie ein gemeinsam genutztes Konto mithilfe der AWS Control Tower Tower-Konsole wieder her (halbmanuelles Verfahren)

  1. Melden Sie sich unter https://console.aws.amazon.com/controltower bei der AWS Control Tower Tower-Konsole an. Sie müssen sich als IAM-Benutzer, Benutzer im IAM Identity Center oder als Rolle mit Ausführungsberechtigungen anmelden. organizations:InviteAccountToOrganization Wenn Sie nicht über solche Berechtigungen verfügen, verwenden Sie das Verfahren zur manuellen Problembehebung, das weiter unten in diesem Thema beschrieben wird.

  2. Wählen Sie auf der Seite Landingzone-Drift erkannt die Option Erneut einladen aus, um das Entfernen eines gemeinsamen Kontos zu korrigieren, indem Sie das gemeinsame Konto erneut in die Organisation einladen. Eine automatisch generierte E-Mail wird an die E-Mail-Adresse für das Konto gesendet.

  3. Nehmen Sie die Einladung an, das gemeinsame Konto wieder in die Organisation aufzunehmen. Führen Sie eine der folgenden Aktionen aus:

    • Melden Sie sich bei dem geteilten Konto an, das entfernt wurde, und gehen Sie dann zu https://console.aws.amazon.com/organizations/home#/invites

    • Wenn du Zugriff auf die E-Mail-Nachricht hast, die gesendet wurde, als du das Konto erneut eingeladen hast, melde dich bei dem entfernten Konto an und klicke dann auf den Link in der Nachricht, um direkt zur Kontoeinladung zu gelangen.

    • Wenn sich das geteilte Konto, das entfernt wurde, nicht in einer anderen Organisation befindet, melden Sie sich bei dem Konto an, öffnen Sie die AWS Organizations Konsole und navigieren Sie zu Einladungen.

  4. Melden Sie sich erneut beim Verwaltungskonto an oder laden Sie die AWS Control Tower Tower-Konsole neu, falls sie bereits geöffnet ist. Sie werden die Drift-Seite für die Landing Zone sehen. Wählen Sie Reset, um die landing zone zu reparieren.

  5. Warten Sie, bis der Reset-Vorgang abgeschlossen ist.

Wenn die Problembehebung erfolgreich ist, befindet sich das gemeinsam genutzte Konto in einem normalen Zustand und weist die Konformität auf.

Wenn das Konto durch die Schritte zur Problembehebung nicht wiederhergestellt wird, wenden Sie sich an. AWS Support

So stellen Sie ein gemeinsam genutztes Konto mithilfe des AWS Control Tower und der AWS Organizations Konsolen wieder her (manuelle Behebung)

  1. Melden Sie sich bei der AWS Organizations Konsole an unterhttps://console.aws.amazon.com/organizations/. Sie müssen sich als IAM-Benutzer, Benutzer im IAM Identity Center oder als Rolle mit der AWSOrganizationsFullAccess verwalteten Richtlinie oder einer gleichwertigen Rolle anmelden.

  2. Laden Sie das gemeinsame Konto wieder in die Organisation ein. Informationen zu den Anforderungen, Voraussetzungen und dem Verfahren für das Einladen eines Kontos finden Sie im AWS Organizations Benutzerhandbuch unter Ein AWS Konto in Ihre Organisation einladen. AWS Organizations

  3. Melden Sie sich bei dem geteilten Konto an, das entfernt wurde, und gehen Sie dann zu https://console.aws.amazon.com/organizations/home#/invites, um die Einladung anzunehmen.

  4. Melden Sie sich erneut beim Verwaltungskonto an.

  5. Melden Sie sich bei der AWS Control Tower Tower-Konsole als Benutzer oder Rolle mit der AWSControlTowerServiceRolePolicy verwalteten Richtlinie oder einer gleichwertigen Richtlinie und den Berechtigungen zur Ausführung aller AWS Control Tower Tower-Aktionen an (Controltower: *).

  6. Sie sehen die Drift-Seite für die landing zone mit einer Option zum Zurücksetzen der Landezone. Wählen Sie Reset, um die landing zone zu reparieren.

  7. Warten Sie, bis der Reset-Vorgang abgeschlossen ist.

Wenn die Problembehebung erfolgreich ist, befindet sich das gemeinsam genutzte Konto in einem normalen Zustand und weist die Konformität auf.

Wenn das Konto durch die Schritte zur Problembehebung nicht wiederhergestellt wird, wenden Sie sich an. AWS Support

Externe Änderungen, die automatisch aktualisiert werden

Änderungen, die Sie an den E-Mail-Adressen Ihres Kontos vornehmen, werden von AWS Control Tower automatisch aktualisiert, aber Account Factory aktualisiert sie nicht automatisch.

Ändern der E-Mail-Adresse eines geregelten Kontos

AWS Control Tower ruft E-Mail-Adressen ab und zeigt sie an, wie es für die Konsolenerfahrung erforderlich ist. Daher werden E-Mail-Adressen für gemeinsam genutzte Konten und andere Konten aktualisiert und konsistent in AWS Control Tower angezeigt, nachdem Sie sie geändert haben.

Anmerkung

In zeigt Account Factory die Parameter an AWS Service Catalog, die in der Konsole angegeben wurden, als Sie ein bereitgestelltes Produkt erstellt haben. Die ursprüngliche E-Mail-Adresse des Kontos wird jedoch nicht automatisch aktualisiert, wenn sich die E-Mail-Adresse des Kontos ändert. Dies liegt daran, dass das Konto konzeptionell innerhalb des bereitgestellten Produkts enthalten ist; es ist nicht dasselbe wie das bereitgestellte Produkt. Um diesen Wert zu aktualisieren, müssen Sie das bereitgestellte Produkt aktualisieren, was zu einer Änderung der Governance-Position führen kann.

Anwenden externer Regeln AWS Config

AWS Control Tower zeigt den Compliance-Status aller AWS Config Regeln an, die in den bei AWS Control Tower registrierten Organisationseinheiten implementiert wurden, einschließlich Regeln, die außerhalb der AWS Control Tower Tower-Konsole aktiviert wurden.

Löschen von AWS Control Tower-Ressourcen außerhalb von AWS Control Tower

Sie können OUs und Konten in AWS Control Tower löschen und müssen keine weiteren Maßnahmen ergreifen, um die Updates zu sehen. Account Factory wird automatisch aktualisiert, wenn Sie eine OU löschen, aber nicht, wenn Sie ein Konto löschen.

Löschen einer registrierten OU (außer der Security OU)

Darin AWS Organizations können Sie leere Organisationseinheiten (OUs) mithilfe der API oder der Konsole entfernen. OUs, die Konten enthalten, können nicht gelöscht werden.

AWS Control Tower erhält eine Benachrichtigung AWS Organizations , wenn eine Organisationseinheit gelöscht wird. Es aktualisiert die OU-Liste in der Account Factory, sodass die Liste der registrierten Organisationseinheiten konsistent bleibt.

Anmerkung

In wird die Account Factory aktualisiert AWS Service Catalog, um die gelöschte Organisationseinheit aus der Liste der verfügbaren Organisationseinheiten zu entfernen, für die Sie ein Konto bereitstellen können.

Löschen eines angemeldeten Kontos aus einer Organisationseinheit

Wenn Sie ein registriertes Konto löschen, erhält AWS Control Tower eine Benachrichtigung und aktualisiert es, sodass die Informationen konsistent bleiben.

Anmerkung

In AWS Service Catalog wird das von Account Factory bereitgestellte Produkt, das das verwaltete Konto darstellt, nicht aktualisiert, um das Konto zu löschen. Stattdessen wird das bereitgestellte Produkt als TAINTED und in einem Fehlerzustand angezeigt. Gehen Sie zur Bereinigung zu AWS Service Catalog, wählen Sie das bereitgestellte Produkt aus und wählen Sie dann Terminate (Beenden).