Activer AWS Control Tower sur les organisations et les comptes - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer AWS Control Tower sur les organisations et les comptes

Toutes les unités organisationnelles (UO) et tous les comptes que vous créez dans AWS Control Tower sont régis automatiquement par AWS Control Tower. En outre, si vous avez des unités d'organisation et des comptes existants qui ont été créés en dehors d'AWS Control Tower, vous pouvez les intégrer à la gouvernance d'AWS Control Tower.

Pour les applications existantesAWS OrganizationsetAWS, la plupart des clients préfèrent inscrire des groupes de comptes en enregistrant l'ensemble de l'unité organisationnelle (OU) qui contient les comptes. Vous pouvez également inscrire des comptes individuellement. Pour plus d'informations sur l'inscription de comptes individuels, consultezInscrire un compte existantAWScompte.

Terminologie

  • Lorsque vous intégrez une organisation existante dans AWS Control Tower, elle s'appelleenregistrantl'organisationétendre la gouvernanceà l'organisation.

  • Lorsque vous apportez unAWSdans AWS Control Tower, il s'appelleinscriptionle compte.

Afficher vos unités d'organisation et vos comptes

Sur AWS Control TowerOrganisation, vous pouvez afficher toutes les unités d'organisation dans votreAWS Organizations, y compris les unités d'organisation enregistrées auprès d'AWS Control Tower et celles qui ne le sont pas. Vous pouvez afficher les unités d'organisation imbriquées dans la hiérarchie. Un moyen simple de visualiser vos unités organisationnelles sur leOrganisationpage est de sélectionnerUnités d'organisation uniquementdans le menu déroulant en haut à droite.

LeOrganisationrépertorie tous les comptes de votre organisation, quel que soit l'UO ou le statut d'inscription dans AWS Control Tower. Un moyen simple de consulter vos comptes sur leOrganisationpage est de sélectionnerComptes uniquementdans le menu déroulant en haut à droite. Vous pouvez afficher, mettre à jour et inscrire les comptes individuellement dans les unités d'organisation, si les comptes répondent aux conditions préalables à l'inscription.

Étendre la gouvernance à une organisation existante

Vous pouvez ajouter AWS Control Tower Governance à une organisation existante en configurant une landing zone (LZ) comme indiqué dans le AWS Control Tower User Guide à l'adressePour commencer, étape 2.

Voici à quoi vous devez vous attendre lorsque vous configurez votre landing zone AWS Control Tower dans une organisation existante.

  • Vous pouvez avoir une landing zone parAWS Organizationsorganisation.

  • AWS Control Tower utilise le compte de gestion de votreAWS Organizationsorganisation en tant que compte de gestion. Aucun nouveau compte de gestion n'est nécessaire.

  • AWS Control Tower configure deux nouveaux comptes dans une unité d'organisation enregistrée : un compte d'audit et un compte de journalisation.

  • Les limites de service de votre organisation doivent permettre la création de ces deux comptes supplémentaires.

  • Une fois que vous avez lancé votre landing zone ou enregistré une unité d'organisation, les protections AWS Control Tower s'appliquent automatiquement à tous les comptes inscrits dans cette unité d'organisation.

  • Vous pouvezS'inscriresupplémentaire existantAWScomptes dans une unité d'organisation régie par AWS Control Tower, afin que des garde-fous s'appliquent à ces comptes.

  • Vous pouvez ajouter d'autres unités d'organisation dans AWS Control Tower et vous pouvezS'inscrireunités d'organisation existantes

Pour vérifier les autres conditions préalables à l'inscription et à l'inscription, consultezDémarrer avec AWS Control Tower.

Voici plus de détails sur la façon dont AWS Control Tower se met en placene pasappliquer à vos UO dans les organisations AWS qui n'ont pas de zones de destination AWS Control Tower configurées :

  • Les nouveaux comptes créés en dehors d'AWS Control Tower Account Factory ne sont pas liés par les protections de l'unité d'organisation enregistrée.

  • Les nouveaux comptes créés dans des unités d'organisation qui ne sont pas enregistrés auprès d'AWS Control Tower ne sont pas liés par des protections, sauf si vousS'inscrireces comptes dans AWS Control Tower. Veuillez consulter Inscrire un compte existantAWScompte pour de plus amples informations sur l'inscription de comptes.

  • Les organisations existantes supplémentaires, les comptes existants et les nouvelles UO ou les comptes que vous créez en dehors d'AWS Control Tower ne sont pas liés par les protections AWS Control Tower, sauf si vous enregistrez l'unité d'organisation séparément ou que vous inscrivez le compte.

Pour plus d'informations sur la façon d'appliquer AWS Control Tower aux unités d'organisation et aux comptes existants, consultezEnregistrer une unité organisationnelle existante auprès d'AWS Control Tower.

Pour une vue d'ensemble du processus de configuration d'une landing zone AWS Control Tower dans votre organisation existante, veuillez consulter la vidéo dans la section suivante.

Note

Lors de la configuration, AWS Control Tower effectue des pré-vérifications pour éviter les problèmes courants. Toutefois, si vous utilisez actuellement leAWSSolution Landing Zone pourAWS Organizations, vérifiez auprès de votreAWSavant d'essayer d'activer AWS Control Tower dans votre organisation afin de déterminer si AWS Control Tower peut interférer avec le déploiement actuel de votre landing zone. Voir aussiQue se passe-t-il si le compte ne remplit pas les conditions requises ?pour plus d'informations sur le transfert de comptes d'une landing zone à une autre.

Considérations relatives à IAM Identity Center et aux organisations existantes

  • SiAWS IAM Identity Center (successor to AWS Single Sign-On)(IAM Identity Center) est déjà configuré, la région d'origine AWS Control Tower doit être la même que la région IAM Identity Center.

  • AWS Control Tower ne supprime pas une configuration existante.

  • Si IAM Identity Center est déjà activé, et si vous utilisez IAM Identity Center Directory, AWS Control Tower ajoute des ressources telles que des ensembles d'autorisations, des groupes, etc., et procède comme d'habitude.

  • Si un autre répertoire (externe, AD, Managed AD) est configuré, AWS Control Tower ne modifie pas la configuration existante. Pour en savoir plus, consultez Considérations relatives àAWS IAM Identity Center (successor to AWS Single Sign-On)clients (IAM Identity Center).

Accès à d'autresAWSservices

Une fois que vous avez intégré votre organisation à la gouvernance d'AWS Control Tower, vous avez toujours accès à toutAWSservices disponibles viaAWS Organizations, par le biais duAWS Organizationsconsole et API. Pour plus d'informations, consultez Services AWS connexes.

Activer une zone de destination dans les zones existantesAWS Organizations

Cette vidéo (7:48),Démarrer avec AWS Control Tower pourAWS Organizations, décrit comment configurer et activer une zone de destination AWS Control Tower dans une landing zone AWS Control TowerAWS Organizations. Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.