OU anidadas en AWS Control Tower - AWS Control Tower
Tutorial en vídeoAmpliación de una estructura de OU plana a una estructura de OU anidadaComprobaciones previas del registro de la OU anidadaOU anidadas y rolesQué ocurre durante el registro y el nuevo registro de OU anidadas y cuentasConsideraciones para el registro de OU anidadasLimitaciones de las OU anidadasOU anidadas y conformidadOU anidadas y desviaciónOU anidadas y controlesOU anidadas y la raíz

OU anidadas en AWS Control Tower

En este capítulo se muestran las expectativas y consideraciones que debe tener en cuenta al trabajar con OU anidadas en AWS Control Tower. En la mayoría de los casos, trabajar con OU anidadas es lo mismo que trabajar con una estructura de OU plana. Las características Registrar y Anular registro funcionan con OU anidadas, excepto en lo que respecta a los cambios de comportamiento que se indican en este capítulo.

Tutorial en vídeo

En este vídeo (4:46) se describe cómo administrar las implementaciones de OU anidadas en AWS Control Tower. Para una mejor visualización, seleccione el icono situado en la esquina inferior derecha del vídeo para agrandarlo a pantalla completa. Hay subtítulos disponibles.

Para obtener orientación sobre las prácticas recomendadas para las OU anidadas y su zona de aterrizaje, consulte la entrada del blog Organizing your AWS Control Tower landing zone with nested OUs.

Ampliación de una estructura de OU plana a una estructura de OU anidada

Si ha creado la zona de aterrizaje de AWS Control Tower con una estructura de OU plana, puede ampliarla para convertirla en una estructura de OU anidada.

El proceso consta de cuatro pasos principales:

  1. Cree la estructura de OU anidada que desee en AWS Control Tower.

  2. Vaya a la consola de AWS Organizations y utilice su característica de traslado masivo para mover las cuentas de la OU de origen (plana) a la OU de destino (anidada). El procedimiento es el siguiente:

    1. Vaya a la OU desde la que quiere mover las cuentas.

    2. Seleccione todas las cuentas de la OU.

    3. Seleccione Mover.

      nota

      Este paso debe realizarse en la consola de AWS Organizations, ya que AWS Control Tower no dispone de la característica Mover.

  3. Vaya a la OU anidada en AWS Control Tower y regístrela o vuelva a registrarla. Se inscribirán todas las cuentas de la OU anidada.

    • Si ha creado la OU en AWS Control Tower, vuelva a registrarla.

    • Si ha creado la OU en AWS Organizations, regístrela por primera vez.

  4. Una vez que sus cuentas se hayan trasladado e inscrito, elimine la OU de nivel superior vacía de la consola de AWS Organizations o de la consola de AWS Control Tower.

Comprobaciones previas del registro de la OU anidada

Para respaldar el registro correcto de las OU anidadas y sus cuentas miembro, AWS Control Tower realiza una serie de comprobaciones previas. Estas mismas comprobaciones previas se realizan al registrar cualquier OU anidada u OU de nivel superior. Para obtener más información, consulte Common causes of failure during registration or re-registration.

  • Si se aprueban todas las comprobaciones previas, AWS Control Tower empezará a registrar la OU automáticamente.

  • Si se produce un error en alguna de las comprobaciones previas, AWS Control Tower detiene el proceso de registro y le ofrece una lista de los elementos que deben corregirse antes de que pueda registrar la OU.

OU anidadas y roles

AWS Control Tower implementa el rol AWSControlTowerExecution en las cuentas de la OU de destino y en las cuentas de todas las OU anidadas en la OU de destino, incluso cuando su intención es registrar únicamente la OU de destino. Este rol otorga permisos de administrador a cualquier usuario de la cuenta de administración en cualquier cuenta que tenga el rol AWSControlTowerExecution. El rol se puede utilizar para realizar acciones que normalmente no estarían permitidas por los controles de AWS Control Tower.

Puede eliminar este rol de las cuentas no inscritas que no tenga previsto inscribir. Si elimina este rol, no podrá inscribir la cuenta en AWS Control Tower ni registrar las OU principales inmediatas, a menos que restablezca el rol en la cuenta. Para eliminar el rol AWSControlTowerExecution de una cuenta, debe iniciar sesión con el rol AWSControlTowerExecution, ya que ninguna otra entidad principal de IAM puede eliminar los roles administrados por AWS Control Tower.

Para obtener información sobre cómo restringir el acceso de los roles, consulte Optional conditions for your role trust relationships.

Qué ocurre durante el registro y el nuevo registro de OU anidadas y cuentas

Al registrar o volver a registrar una OU anidada, AWS Control Tower inscribe todas las cuentas no inscritas de la OU de destino y actualiza todas las cuentas inscritas. Esto es lo que puede esperar.

AWS Control Tower realiza las siguientes tareas

  • Añade el rol AWSControlTowerExecution a todas las cuentas no inscritas en esta OU y a todas las cuentas no inscritas en sus OU anidadas.

  • Inscribe las cuentas miembro que no están inscritas.

  • Vuelve a inscribir las cuentas miembro inscritas.

  • Crea un inicio de sesión de IAM Identity Center para las cuentas miembro recién inscritas.

  • Actualiza las actuales cuentas miembro inscritas para reflejar los cambios en la zona de aterrizaje.

  • Actualiza los controles configurados para esta OU y sus cuentas miembro.

Consideraciones para el registro de OU anidadas

  • No puede registrar una OU en la OU principal (OU de seguridad).

  • Las OU anidadas deben registrarse por separado.

  • No puede registrar una OU a menos que su OU principal esté registrada.

  • No puede registrar una OU a menos que todas las OU superiores en el árbol se hayan registrado correctamente en algún momento (es posible que algunas se hayan eliminado).

  • Puede registrar una OU que esté por debajo de una OU superior desviada, pero esa acción no reparará la desviación.

Limitaciones de las OU anidadas

  • Las OU pueden estar anidadas a un máximo de 5 niveles de profundidad en la raíz.

  • Las OU anidadas en la OU de destino se deben registrar o volver a registrar por separado.

  • Si la OU de destino se encuentra en el nivel 2 o inferior de la jerarquía, es decir, si no es una OU de nivel superior, los controles preventivos habilitados en las OU superiores se aplican automáticamente a esta OU y a todas las OU inferiores.

  • Los errores de registro de la OU no se propagan hacia arriba en el árbol jerárquico. Puede ver detalles sobre los estados de las OU anidadas en la página de detalles de la OU principal.

  • Los errores de registro de la OU no se propagan hacia abajo en el árbol jerárquico.

  • AWS Control Tower no modifica los ajustes de VPC de ninguna cuenta nueva o existente.

OU anidadas y conformidad

Desde la consola de AWS Control Tower, puede ver las OU y cuentas que no son conformes en la página Organización, de modo que pueda comprender la conformidad a mayor escala.

Consideraciones sobre la conformidad de las OU anidadas y las cuentas

  • La conformidad de una OU no se determina en función de la conformidad de las OU anidadas en ella.

  • El estado de conformidad de un control se calcula en todas las OU en las que está activado el control, incluidas las OU anidadas. Consulte Estado de cumplimiento de AWS Control Tower para UO y cuentas.

  • Una OU se muestra como no conforme únicamente si tiene cuentas que no lo son, independientemente del lugar en que se encuentre la OU en la jerarquía de la OU.

  • Si una OU anidada no es compatible, la OU principal no se considera automáticamente no conforme.

  • En la página Detalles de la OU o Detalles de la cuenta, puede ver una lista de los recursos no conformes que es posible que estén provocando que las OU o cuentas muestren un estado no conforme.

OU anidadas y desviación

En determinadas situaciones, la desviación puede impedir el registro de OU anidadas.

Expectativas de la desviación y las OU anidadas

  • Puede habilitar los controles en las OU con elementos principales desviados, pero no directamente en las OU desviadas.

  • Puede activar los controles de detección en una OU desviada, siempre que no sea una OU desviada de nivel superior.

  • Los controles obligatorios solo están habilitados en las OU de nivel superior. Los controles obligatorios se omiten al registrar una OU anidada.

  • Un control obligatorio protege los recursos de AWS Config; por lo tanto, ese control debe estar en un estado no desviado para registrar las OU anidadas. Si se desvía, AWS Control Tower bloquea el registro de las OU anidadas.

  • Si la OU de nivel superior se encuentra en desviación, es posible que el control que protege los recursos de AWS Config también lo esté. En esta situación, AWS Control Tower bloquea cualquier acción que requiera la creación o actualización de recursos de AWS Config, incluida la aplicación de controles de detección.

OU anidadas y controles

Cuando habilita un control en una OU registrada, los controles preventivos y de detección se comportan de forma diferente. En el caso de las OU anidadas, los controles proactivos se comportan de forma similar a los controles de detección.

Controles preventivos

  • Los controles preventivos se aplican en las OU anidadas.

  • Los controles preventivos obligatorios se aplican a todas las cuentas incluidas en la OU y sus OU anidadas.

  • Los controles preventivos afectan a todas las cuentas y OU anidadas en la OU de destino, incluso si esas cuentas y OU no están registradas.

Controles proactivos y de detección

  • Las OU anidadas no heredan automáticamente los controles de detección o proactivos; estos deben habilitarse por separado.

  • Los controles de detección y proactivos se implementan únicamente en las cuentas registradas en las regiones operativas de su zona de aterrizaje.

Estados de control habilitados y la herencia

Puede ver los controles heredados de cada OU en la página Detalles de la unidad organizativa.

sugerencia

Puede utilizar la herencia de controles para mantenerse dentro de la cuota de SCP de una OU. Por ejemplo, puede habilitar un control en la OU de nivel superior de una jerarquía de OU, en lugar de habilitarlo directamente para una OU anidada.

Estado heredado

  • El estado Heredado indica que el control está habilitado únicamente por herencia y no se ha aplicado directamente a la OU.

  • El estado Habilitado significa que el control se aplica a esta OU, independientemente del estado en que se encuentre en otras OU.

  • El estado Error significa que el control no se aplica a esta OU, independientemente del estado en que se encuentre en otras OU.

nota

El estado Heredado indica que el control se aplicó a una OU situada más arriba en el árbol y se aplica a esta OU, pero no se añadió directamente a esta OU.

Si la zona de aterrizaje no es la versión actual

Cada fila de la tabla Controles habilitados representa un control habilitado en una OU individual.

OU anidadas y la raíz

La raíz no es una OU y no se puede registrar ni volver a registrar. Tampoco se pueden crear cuentas directamente en la raíz. La raíz no puede ser incompatible ni tener un estado de ciclo de vida, por ejemplo, registrado o en desviación.

No obstante, la raíz es el contenedor de nivel superior de todas las cuentas y OU. En el contexto de las OU anidadas, es el nodo en el que se anidan todas las demás OU.