Unidad organizativa raíz - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Unidad organizativa raíz

Según organizational_units la versión V2 del manifiesto (15 de marzo de 2021), cfCT admite Root como valor para una unidad organizativa (OU).

  • Si eliges el método de scp despliegue de Root underorganizational_units, AWS Control Tower aplicará las políticas a todos los que estén OUs bajo Root. Si eliges el método de despliegue destack_set, al añadir Root underorganizational_units, cFCT desplegará los conjuntos de pilas en todas las cuentas de Root que estén inscritas en AWS Control Tower, excepto en la cuenta de administración.

  • Según las mejores prácticas de AWS Control Tower, la cuenta de administración está destinada únicamente a administrar las cuentas de los miembros y a efectos de facturación. No ejecute cargas de trabajo de producción en la cuenta de administración AWS de la Torre de Control.

    De acuerdo con la guía de mejores prácticas, la implementación de la Torre de AWS Control coloca la cuenta de administración en la OU raíz, de modo que tenga acceso completo y no ejecute recursos adicionales. Por este motivo, la AWSControlTowerExecutionfunción no está implementada en la cuenta de administración.

  • Le recomendamos que siga estas prácticas recomendadas para la cuenta de administración. Si tienes un caso de uso específico que requiere implementar conjuntos de pilas en la cuenta de administración, incluye las cuentas como objetivo de implementación y especifica la cuenta de administración. De lo contrario, no incluyas las cuentas como objetivo de despliegue. Debe crear los recursos que faltan, incluidas las IAM funciones necesarias, en la cuenta de administración.

Para implementar conjuntos de pilas en la cuenta de administración, inclúyalos accounts como destino de despliegue y especifique la cuenta de administración. De lo contrario, no incluya las cuentas como destino de despliegue.

---
region: your-home-region
version: 2021-03-15

resources:

  …truncated…

    deployment_targets:
      organizational_units:
        - Root
nota

La función Root OU solo se admite en la versión V2 del archivo de manifiesto (15 de marzo de 2021). Si añade Root como unidad organizativaorganizational_units, no añada ninguna otra. OUs