Resumen Requisitos previos y limitaciones Arquitectura Herramientas Epics Resolución de problemas Recursos relacionados

Migre una cuenta de AWS miembro de AWS Organizations a AWS Control Tower

Creado por Rodolfo Jr. Cerrada () AWS

Entorno: producción

Tecnologías: gestión y gobernanza; modernización

AWSservicios: AWS Organizations; AWS Control Tower

Resumen

Este patrón describe cómo migrar una cuenta de Amazon Web Services (AWS) de AWS Organizations, donde es una cuenta de miembro regida por una cuenta de administración, a AWS Control Tower. Al inscribir la cuenta en la Torre de AWS Control, puede aprovechar las barreras y funciones preventivas y de detección que simplifican el gobierno de su cuenta. Es posible que también desee migrar su cuenta de miembro si su AWS cuenta de administración de Organizations se ha visto comprometida y si desea trasladar las cuentas de los miembros a una nueva organización que esté gobernada por AWS Control Tower.

AWSControl Tower proporciona un marco que combina e integra las capacidades de varios otros AWS servicios, incluidos los de AWS Organizations, y garantiza el cumplimiento y la gobernanza coherentes en todo su entorno de múltiples cuentas. Con AWS Control Tower, puede seguir un conjunto de reglas y definiciones prescritas que amplían las capacidades de AWS Organizations. Por ejemplo, puede implantar barreras de protección para asegurar la creación de los permisos de acceso entre cuentas y registros de seguridad necesarios evitando posibles alteraciones.

Requisitos previos y limitaciones

Requisitos previos

Una AWS cuenta activa
AWSConfiguración de la Torre de Control en la organización de destino en AWS Organizations (para obtener instrucciones, consulte Configuración en la documentación de AWS Control Tower)
Credenciales de administrador de AWS Control Tower (miembro del AWSControlTowerAdminsgrupo)
Credenciales de administrador de la AWS cuenta de origen

Limitaciones

La cuenta de administración de origen de AWS Organizations debe ser diferente de la cuenta de administración de destino de AWS Control Tower.

Versiones de producto

AWSControl Tower versión 2.3 (febrero de 2020) o posterior (consulte las notas de la versión)

Arquitectura

En el diagrama siguiente se ilustra el proceso de migración y la arquitectura de referencia. Este patrón migra la AWS cuenta de la organización de origen a una organización de destino que está gobernada por AWS Control Tower.

AWSProceso de inscripción en la Torre de Control para una AWS cuenta que se migró a otra organización y se trasladó a una OU registrada.

El proceso de inscripción consta de estos pasos:

La cuenta deja la organización de origen en AWS Organizations.
La cuenta se convierte en una cuenta independiente. Esto significa que no pertenece a ninguna organización, por lo que los administradores de cuentas gestionan la gobernanza y la facturación de forma independiente.
La organización de destino envía una invitación para unir la cuenta a la organización.
La cuenta independiente acepta la invitación y pasa a ser miembro de la organización de destino.
La cuenta está inscrita en la Torre de AWS Control y se traslada a una unidad organizativa (OU) registrada. (Le recomendamos que consulte el panel de AWS control de la Torre de Control para confirmar la inscripción). En este momento entran en vigor todas las barreras de protección habilitadas en la OU registrada.

Herramientas

AWSservicios

AWSOrganizations es un servicio de administración de cuentas que le permite consolidar varias AWS cuentas en una sola entidad (una organización) que puede crear y administrar de forma centralizada.
AWSControl Tower integra las capacidades de otros servicios, como AWS Organizations, AWS IAM Identity Center (sucesor de AWS Single Sign-On) y AWS Service Catalog, para ayudarlo a aplicar y administrar las normas de gobierno de seguridad, operaciones y cumplimiento a escala en todas sus organizaciones y cuentas en la AWS nube.

Epics

Tarea	Descripción	Habilidades requeridas
Compruebe que la cuenta de miembro pueda funcionar como una cuenta independiente.	Confirme que la cuenta de miembro que abandonará la organización de origen tenga la información necesaria para funcionar como una cuenta independiente. Por ejemplo, si la cuenta del miembro no tiene información de facturación, no puede funcionar como una cuenta independiente, ya que AWS utiliza la información de pago para cobrar por cualquier AWS actividad facturable que se produzca mientras la cuenta no esté vinculada a una organización. Por lo general, si creó la cuenta de miembro mediante la consola AWS Organizations o los AWS comandos de la interfaz de línea de comandos (CLI), la información requerida para las cuentas independientes no se recopila automáticamente. API Para añadir esta información, inicie sesión en la cuenta y especifique un plan de soporte, información de contacto y un método de pago. Para obtener más información sobre lo que necesita saber antes de eliminar una cuenta de una organización, consulte Antes de eliminar una cuenta de la organización en la documentación de AWS Organizations.	Cuenta de administrador
Elimine la cuenta de miembro de la organización de origen.	Sigue las instrucciones de la AWS documentación de Organizations para eliminar una cuenta de miembro de una organización. Puede iniciar sesión en la cuenta de administración de la organización y eliminar la cuenta de miembro, o iniciar sesión en la cuenta de miembro y salir de la organización. Si no tiene credenciales de administrador para eliminar o abandonar la cuenta, solicite ayuda al administrador de su organización. Si a la cuenta de miembro le falta un plan de asistencia, información de contacto o información de pago, se le pedirá que proporcione y verifique esa información. Al salir de la organización, se le redirigirá a la página de introducción de la AWS consola Organizations, donde podrá ver las invitaciones de su cuenta para unirse a otras organizaciones. Importante: desde este momento, su cuenta es una cuenta independiente. Si utilizas cargas de trabajo que no están cubiertas por la capa AWS gratuita, se te cobrará según la información de pago y facturación que hayas proporcionado para la cuenta.	Administrador de cuentas de administración o administrador de cuentas
Compruebe que la cuenta de miembro ya no forma parte de la organización de origen.	En la AWS consola de Organizations, ya no deberías ver el botón Salir de la organización. En su lugar, debería ver las invitaciones pendientes, si las hay, de otras organizaciones.	Cuenta de administrador
Elimina los IAM roles que permiten el acceso a tu cuenta de la organización que dejaste.	Al eliminar la cuenta de la organización de origen, las funciones de AWS Identity and Access Management (IAM) creadas por AWS Organizations o por los administradores no se eliminan automáticamente. Para cancelar el acceso desde la cuenta de administración de la organización de origen, debe eliminar los IAM roles manualmente. Para obtener más información, consulte Eliminar roles o perfiles de instancia en la IAM documentación. Cuando una cuenta miembro abandona una organización, se eliminan todas las etiquetas asociadas a la cuenta. Las cuentas independientes no admiten etiquetas.	Cuenta de administrador

Tarea	Descripción	Habilidades requeridas
Inicia sesión en la Torre AWS de Control.	Inicie sesión en la consola de la Torre de AWS Control Tower como administrador. Actualmente, no existe una forma directa de mover una AWS cuenta de una organización de origen a una organización de una OU que esté gobernada por AWS Control Tower. Sin embargo, puede extender la gobernanza de la Torre de AWS Control a una AWS cuenta existente al inscribirla en una OU que ya esté gobernada por la Torre de AWS Control. Por eso tienes que iniciar sesión en la Torre AWS de Control para realizar este paso.	AWSAdministrador de la Torre de Control
Invitar la cuenta miembro.	Inicie sesión en la consola de AWS Organizations y vaya a la página de AWScuentas. En la página Añadir una AWS cuenta, selecciona Invitar a una AWS cuenta existente. Complete la información de la cuenta, incluido el número de cuenta de 12 dígitos (sin guiones), la descripción y las etiquetas opcionales, y seleccione Enviar invitación. Importante: compruebe que la transferencia de la cuenta no afectará a ninguna aplicación ni a la conectividad de red. Esta acción envía un correo electrónico de invitación con un enlace a la cuenta de miembro. Cuando el administrador de la cuenta siga el enlace y acepte la invitación, la cuenta del miembro aparecerá en la página de AWScuentas. Para obtener más información, consulte Invitar a una AWS cuenta a unirse a su organización en la documentación de AWS Organizations.	AWSAdministrador de la Torre de Control
Pruebe las aplicaciones y la conectividad.	Cuando la cuenta del miembro se haya registrado en la nueva organización, aparecerá en la OU dentro de una raíz. También aparece en la consola de la Torre de AWS Control, marcada como no inscrita en las cuentas, porque aún no se ha inscrito en la OU registrada en la Torre de AWS Control. Compruebe lo siguiente: Comprueba el salpicadero de la Torre de AWS Control para ver si hay alguna infracción de la barandilla. Comprueba la conectividad de la red (VPNo AWS Direct Connect) para asegurarte de que no se haya visto afectada por la transferencia. (Propietarios de aplicación) Pruebe las aplicaciones asociadas a esta cuenta para comprobar que se ejecutan según lo previsto, y que la transferencia de la cuenta no ha afectado a las dependencias.	AWSAdministrador de la Torre de Control, administrador de cuentas de miembros, propietarios de aplicaciones

Tarea

Descripción

Habilidades requeridas

Inicia sesión en la Torre AWS de Control.

Inicie sesión en la consola de la Torre de AWS Control Tower como administrador.

Actualmente, no existe una forma directa de mover una AWS cuenta de una organización de origen a una organización de una OU que esté gobernada por AWS Control Tower. Sin embargo, puede extender la gobernanza de la Torre de AWS Control a una AWS cuenta existente al inscribirla en una OU que ya esté gobernada por la Torre de AWS Control. Por eso tienes que iniciar sesión en la Torre AWS de Control para realizar este paso.

AWSAdministrador de la Torre de Control

Invitar la cuenta miembro.

Inicie sesión en la consola de AWS Organizations y vaya a la página de AWScuentas.
En la página Añadir una AWS cuenta, selecciona Invitar a una AWS cuenta existente.
Complete la información de la cuenta, incluido el número de cuenta de 12 dígitos (sin guiones), la descripción y las etiquetas opcionales, y seleccione Enviar invitación.

Importante: compruebe que la transferencia de la cuenta no afectará a ninguna aplicación ni a la conectividad de red.

Esta acción envía un correo electrónico de invitación con un enlace a la cuenta de miembro. Cuando el administrador de la cuenta siga el enlace y acepte la invitación, la cuenta del miembro aparecerá en la página de AWScuentas. Para obtener más información, consulte Invitar a una AWS cuenta a unirse a su organización en la documentación de AWS Organizations.

AWSAdministrador de la Torre de Control

Pruebe las aplicaciones y la conectividad.

Cuando la cuenta del miembro se haya registrado en la nueva organización, aparecerá en la OU dentro de una raíz. También aparece en la consola de la Torre de AWS Control, marcada como no inscrita en las cuentas, porque aún no se ha inscrito en la OU registrada en la Torre de AWS Control.

Compruebe lo siguiente:

Comprueba el salpicadero de la Torre de AWS Control para ver si hay alguna infracción de la barandilla.
Comprueba la conectividad de la red (VPNo AWS Direct Connect) para asegurarte de que no se haya visto afectada por la transferencia.
(Propietarios de aplicación) Pruebe las aplicaciones asociadas a esta cuenta para comprobar que se ejecutan según lo previsto, y que la transferencia de la cuenta no ha afectado a las dependencias.

AWSAdministrador de la Torre de Control, administrador de cuentas de miembros, propietarios de aplicaciones

Tarea	Descripción	Habilidades requeridas
Revise las barreras de protección y corrija cualquier infracción.	Revise las barreras de protección definidas en la OU de destino, especialmente las barreras preventivas, y corrija cualquier posible infracción. Al configurar la zona de aterrizaje de la AWS Control Tower, se activan de forma predeterminada una serie de barandas preventivas obligatorias. Estas barreras no se pueden desactivar. Deberá revisarlas y reparar la cuenta de miembro (manualmente o mediante un script) antes de inscribirla. Nota: Las barandillas preventivas mantienen las cuentas registradas de la Torre AWS de Control en conformidad y previenen el incumplimiento de las políticas. Cualquier infracción de las barreras de protección preventivas podría afectar a la inclusión. Las infracciones de las barandillas de los Detectives aparecen en el panel AWS de control de la Torre de Control, si se detectan, tras una inscripción exitosa. No afectarán al proceso de inscripción. Para obtener más información, consulte Barandas en la Torre AWS de Control en la AWS documentación.	AWSAdministrador de la Torre de Control, administrador de cuentas de miembros
Compruebe si hay problemas de conectividad después de corregir las infracciones de las barreras de protección.	En algunos casos, es posible que tenga que cerrar puertos específicos o desactivar servicios para corregir las infracciones de barreras de protección. Asegúrese de corregir las aplicaciones que usan esos puertos y servicios antes de inscribir la cuenta.	Propietario de la aplicación

Tarea

Descripción

Habilidades requeridas

Revise las barreras de protección y corrija cualquier infracción.

Revise las barreras de protección definidas en la OU de destino, especialmente las barreras preventivas, y corrija cualquier posible infracción.

Al configurar la zona de aterrizaje de la AWS Control Tower, se activan de forma predeterminada una serie de barandas preventivas obligatorias. Estas barreras no se pueden desactivar. Deberá revisarlas y reparar la cuenta de miembro (manualmente o mediante un script) antes de inscribirla.

Nota: Las barandillas preventivas mantienen las cuentas registradas de la Torre AWS de Control en conformidad y previenen el incumplimiento de las políticas. Cualquier infracción de las barreras de protección preventivas podría afectar a la inclusión. Las infracciones de las barandillas de los Detectives aparecen en el panel AWS de control de la Torre de Control, si se detectan, tras una inscripción exitosa. No afectarán al proceso de inscripción. Para obtener más información, consulte Barandas en la Torre AWS de Control en la AWS documentación.

AWSAdministrador de la Torre de Control, administrador de cuentas de miembros

Compruebe si hay problemas de conectividad después de corregir las infracciones de las barreras de protección.

En algunos casos, es posible que tenga que cerrar puertos específicos o desactivar servicios para corregir las infracciones de barreras de protección. Asegúrese de corregir las aplicaciones que usan esos puertos y servicios antes de inscribir la cuenta.

Propietario de la aplicación

Tarea	Descripción	Habilidades requeridas
Inicia sesión en la consola de la Torre de AWS Control.	Use credenciales de inicio de sesión que tengan permisos administrativos para AWS Control Tower. No utilice las credenciales del usuario raíz (cuenta de administración) para inscribir una cuenta de AWS Organizations. Aparecerá un mensaje de error.	AWSAdministrador de la Torre de Control
Inscriba la cuenta.	En la página Account Factory de AWS Control Tower, selecciona Inscribir cuenta. Complete los detalles, incluida la dirección de correo electrónico asociada a la cuenta que desea inscribir, el nombre visible que aparecerá en AWS Control Tower, la dirección de correo electrónico del Centro de IAM Identidad, el nombre y apellidos del propietario de la cuenta y la OU en la que desea inscribir la cuenta. La dirección de correo electrónico del IAM Identity Center es su dirección de correo electrónico de usuario preferida. Puede usar la misma dirección de correo electrónico que la cuenta. Seleccione Enroll account (Inscribir cuenta). Para obtener más información, consulte Inscribir una cuenta existente en la documentación de la Torre de AWS Control.	AWSAdministrador de la Torre de Control

Tarea	Descripción	Habilidades requeridas
Verifique la cuenta.	En la Torre de AWS Control, selecciona Cuentas. La cuenta que acaba de inscribir tendrá el estado inicial Inscribiendo. Cuando se complete la inscripción, su estado cambiará a Inscrito.	AWSAdministrador de la Torre de Control, administrador de cuentas de miembros
Compruebe si hay infracciones de barreras de protección.	Las barreras de protección definidas en la OU se aplicarán automáticamente a la cuenta del miembro inscrito. Supervise el panel AWS de control de la Torre de Control para detectar infracciones y corríjalas en consecuencia. Para obtener más información, consulte Barandas en la Torre AWS de Control en la AWS documentación.	AWSAdministrador de la Torre de Control, administrador de cuentas de miembros

Resolución de problemas

Problema	Solución
Recibe el mensaje de error: Se ha producido un error desconocido. Vuelva a intentarlo más tarde o póngase en contacto con AWS Support.	Este error se produce cuando se utilizan las credenciales de usuario raíz (cuenta de administración) en la Torre de AWS Control para registrar una cuenta nueva. AWSService Catalog no puede asignar la cartera o el producto de Account Factory al usuario raíz, lo que genera un mensaje de error. Para corregir este error, introduzca credenciales de usuario (administrador) que no sean raíz y tengan acceso completo para inscribir la nueva cuenta. Para obtener más información sobre cómo asignar el acceso administrativo a un usuario administrativo, consulte la documentación Introducción al Centro de AWS IAM Identidad (sucesor del inicio de sesión AWS único).
La página de actividades de la Torre de AWS Control muestra la acción Get Catastrophic Drift.	Esta acción refleja una revisión del servicio y no indica ningún problema con la configuración de la Torre de AWS Control. No hay que hacer nada más.

Problema

Solución

Recibe el mensaje de error: Se ha producido un error desconocido. Vuelva a intentarlo más tarde o póngase en contacto con AWS Support.

Este error se produce cuando se utilizan las credenciales de usuario raíz (cuenta de administración) en la Torre de AWS Control para registrar una cuenta nueva. AWSService Catalog no puede asignar la cartera o el producto de Account Factory al usuario raíz, lo que genera un mensaje de error. Para corregir este error, introduzca credenciales de usuario (administrador) que no sean raíz y tengan acceso completo para inscribir la nueva cuenta. Para obtener más información sobre cómo asignar el acceso administrativo a un usuario administrativo, consulte la documentación Introducción al Centro de AWS IAM Identidad (sucesor del inicio de sesión AWS único).

La página de actividades de la Torre de AWS Control muestra la acción Get Catastrophic Drift.

Esta acción refleja una revisión del servicio y no indica ningún problema con la configuración de la Torre de AWS Control. No hay que hacer nada más.

Recursos relacionados

Documentación

AWSTerminología y conceptos de Organizations (documentación de AWS Organizations)
¿Qué es la Torre AWS de Control? (Documentación AWS de la Torre de Control)
Eliminar una cuenta de miembro de tu organización (documentación de AWS Organizations)
Creación de una cuenta de administrador en la Torre AWS de AWS Control (documentación de la Torre de Control)

Tutoriales y videos

AWSTaller sobre la Torre de Control (taller a su propio ritmo)
¿Qué es la Torre AWS de Control? (vídeo)
Aprovisionamiento de usuarios en la Torre AWS de Control (vídeo)
Habilitar la Torre de AWS Control para una organización existente (vídeo)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administre los productos de AWS Service Catalog en varias AWS cuentas y regiones

Supervise el uso de una AMI AWS cuenta a otra