Guía para crear y modificar los recursos de la Torre de Control de AWS - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Guía para crear y modificar los recursos de la Torre de Control de AWS

Recomendamos las siguientes prácticas recomendadas a la hora de crear y modificar recursos en AWS Control Tower. Estas directrices podrían cambiar cuando se actualiza el servicio. Recuerde que el modelo de responsabilidad compartida se aplica a su entorno de AWS Control Tower.

Directrices generales

  • No modifique ni elimine ningún recurso creado por AWS Control Tower, incluidos los recursos de la cuenta de administración, las cuentas compartidas y las cuentas de los miembros. Si modificas estos recursos, es posible que tengas que actualizar tu landing zone o volver a registrar una OU, y la modificación puede dar lugar a informes de conformidad inexactos.

    En particular:

    • Mantenga una AWS Config grabadora activa. Si eliminas tu grabadora Config, los controles de detección no podrán detectar ni informar de la desviación. Los recursos no conformes pueden declararse conformes debido a que no hay suficiente información.

    • No modifique ni elimine las funciones AWS Identity and Access Management (de IAM) creadas en las cuentas compartidas de la unidad organizativa (OU) de seguridad. Si lo hace, es posible que tenga que actualizar estos roles en su zona de destino.

    • No elimine el AWSControlTowerExecution rol de las cuentas de sus miembros, ni siquiera en las cuentas no inscritas. Si lo hace, no podrá inscribir estas cuentas en AWS Control Tower ni registrar sus unidades organizativas principales inmediatas.

  • No prohíba el uso de ninguna de ellas Regiones de AWS a través de SCP o AWS Security Token Service ()AWS STS. Si lo hace, la Torre de Control de AWS pasará a un estado indefinido. Si no permite las regiones con AWS STS, su funcionalidad fallará en esas regiones, ya que la autenticación no estará disponible en esas regiones. En su lugar, utilice la capacidad de denegación regional de la Torre de Control de AWS, tal como se muestra en el control, denegar el acceso a en AWS función de lo solicitado Región de AWS, que funciona a nivel de la zona de landing, o denegar el control de la región de control aplicada a la OU, que funciona a nivel de la OU para restringir el acceso a las regiones.

  • El AWS Organizations FullAWSAccess SCP debe aplicarse y no debe fusionarse con otros SCP. El cambio en este SCP no se considera una desviación; sin embargo, algunos cambios pueden afectar a la funcionalidad de la Torre de Control Tower de AWS de forma impredecible si se deniega el acceso a determinados recursos. Por ejemplo, si el SCP se separa o se modifica, una cuenta puede perder el acceso a una AWS Config grabadora o crear un vacío en CloudTrail el registro.

  • No utilice la AWS Organizations DisableAWSServiceAccess API para desactivar el acceso al servicio de la Torre de Control de AWS a la organización en la que configuró su landing zone. Si lo hace, es posible que algunas funciones de detección de desviaciones de la Torre de Control de AWS no funcionen correctamente sin el soporte de mensajería de su parte AWS Organizations. Estas funciones de detección de desviaciones ayudan a garantizar que AWS Control Tower pueda informar con precisión del estado de conformidad de las unidades organizativas, las cuentas y los controles de su organización. Para obtener más información, consulte API_DisableAWSServiceAccessla referencia de la AWS Organizations API.

  • En general, AWS Control Tower realiza una sola acción a la vez, que debe completarse antes de que pueda comenzar otra acción. Por ejemplo, si intenta aprovisionar una cuenta mientras el proceso de activación de un control ya está en marcha, el aprovisionamiento de la cuenta fallará.

    Excepción:

    • AWS Control Tower permite realizar acciones simultáneas para implementar controles opcionales. Para obtener más información, consulte Implementación simultánea para ver los controles opcionales.

    • AWS Control Tower permite crear, actualizar o inscribir hasta diez acciones simultáneas en cuentas con Account Factory.

nota

Para obtener más información sobre los recursos creados por AWS Control Tower, consulte¿Qué son las cuentas compartidas?.

Consejos sobre cuentas y unidades organizativas

  • Le recomendamos que mantenga un máximo de 300 cuentas por unidad organizativa registrada, de modo que pueda actualizarlas con la función de volver a registrar la unidad organizativa siempre que sea necesario actualizar la cuenta, por ejemplo, al configurar nuevas regiones para su gobernanza.

  • Para reducir el tiempo necesario para registrar una unidad organizativa, le recomendamos que mantenga el número de cuentas por unidad organizativa en torno a 150, aunque el límite es de 300 cuentas por unidad organizativa. Como regla general, el tiempo necesario para registrar una OU aumenta en función del número de regiones en las que opera la OU, multiplicado por el número de cuentas de la OU.

  • Se calcula que una unidad organizativa con 150 cuentas necesita aproximadamente 2 horas para registrarse y activar los controles, y aproximadamente 1 hora para volver a registrarse. Además, una unidad organizativa que tiene muchos controles tarda más en registrarse que una unidad organizativa con pocos controles.

  • Una de las preocupaciones que plantea la posibilidad de prolongar el período de registro de una unidad organizativa es que este proceso bloquea otras acciones. Algunos clientes prefieren disponer de más tiempo para registrar o volver a registrar una OU, ya que prefieren tener más cuentas en cada OU.