Si vous gérez des ressources en dehors d'AWS Control Tower - AWS Control Tower
Référence à des ressources extérieures à AWS Control TowerModification externe des noms des ressources AWS Control TowerSuppression de l'unité d'organisation de sécuritéSupprimer un compte de l'unité d'organisation de sécuritéModifications externes mises à jour automatiquement

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Si vous gérez des ressources en dehors d'AWS Control Tower

AWS Control Tower configure les comptes, les unités organisationnelles et les autres ressources en votre nom, mais vous êtes le propriétaire de ces ressources. Vous pouvez modifier ces ressources au sein ou en dehors d'AWS Control Tower. L'endroit le plus courant pour modifier les ressources en dehors d'AWS Control Tower est la AWS Organizations console. Cette rubrique décrit comment concilier les modifications apportées aux ressources d'AWS Control Tower lorsque vous effectuez les modifications en dehors d'AWS Control Tower.

Le changement de nom, la suppression et le déplacement de ressources en dehors de la console AWS Control Tower entraînent une désynchronisation de la console. De nombreuses modifications peuvent être réconciliées automatiquement. Certaines modifications nécessitent une réparation de votre zone d'atterrissage afin de mettre à jour les informations affichées dans la console AWS Control Tower.

En général, les modifications que vous apportez aux ressources d'AWS Control Tower en dehors de la console AWS Control Tower créent un état de dérive réparable dans votre zone de landing zone. Pour plus d'informations sur ces modifications, consultez Modifications réparables apportées aux ressources.

Tâches nécessitant une réparation de la zone d'atterrissage

  • Suppression de l'unité d'organisation de sécurité (cas particulier, à ne pas faire à la légère.)

  • Supprimer un compte partagé de l'unité d'organisation de sécurité (non recommandé)

  • Mettre à jour, attacher ou détacher un SCP associé à l'unité d'organisation de sécurité.

Modifications mises à jour automatiquement par AWS Control Tower

  • Modification de l'adresse e-mail d'un compte inscrit

  • Renommer un compte inscrit

  • Création d'une nouvelle unité organisationnelle (UO) de haut niveau

  • Modification du nom d'une unité d'organisation enregistrée

  • Suppression d'une unité d'organisation enregistrée (à l'exception de l'unité d'organisation de sécurité, qui nécessite une mise à jour.)

  • Supprimer un compte inscrit (sauf un compte partagé dans l'unité d'organisation de sécurité.)

Note

AWS Service Catalog gère les modifications différemment d'AWS Control Tower. AWS Service Catalog peut entraîner un changement de posture de gouvernance lorsqu'il concilie vos changements. Pour plus d'informations sur la mise à jour d'un produit provisionné, consultez la section Mise à jour des produits provisionnés dans la AWS Service Catalog documentation.

Référence à des ressources extérieures à AWS Control Tower

Lorsque vous créez de nouvelles unités d'organisation et de nouveaux comptes en dehors d'AWS Control Tower, ils ne sont pas régis par AWS Control Tower, même s'ils peuvent être affichés.

Création d'une unité d'organisation

Les unités organisationnelles (UO) créées en dehors d'AWS Control Tower sont considérées comme non enregistrées. Ils sont affichés sur la page Organisation, mais ils ne sont pas régis par les contrôles d'AWS Control Tower.

Création d'un compte

Les comptes créés en dehors d'AWS Control Tower sont appelés « Non inscrits ». Les comptes inscrits et non inscrits appartenant à une unité d'organisation enregistrée auprès d'AWS Control Tower sont affichés sur la page Organisation. Les comptes qui n'appartiennent pas à une unité d'organisation enregistrée peuvent être invités à l'aide de la AWS Organizations console. Cette invitation à adhérer n'a pas pour effet d'inscrire le compte dans AWS Control Tower ni d'étendre la gouvernance d'AWS Control Tower au compte. Pour étendre la gouvernance en inscrivant le compte, rendez-vous sur la page Organisation ou sur la page détaillée du compte dans AWS Control Tower et choisissez Inscrire un compte.

Modification externe des noms des ressources AWS Control Tower

Vous pouvez modifier les noms de vos unités organisationnelles (UO) et de vos comptes en dehors de la console AWS Control Tower, et la console est automatiquement mise à jour pour refléter ces modifications.

Modification du nom d'une unité d'organisation

Dans AWS Organizations, vous pouvez modifier le nom d'une unité d'organisation à l'aide de l' AWS Organizations API ou de la console. Lorsque vous modifiez le nom d'une unité d'organisation en dehors d'AWS Control Tower, la console AWS Control Tower reflète automatiquement le changement de nom. Toutefois, si vous approvisionnez vos comptes à l'aide d'AWS Service Catalog, vous devez également réparer votre zone d'atterrissage pour garantir la cohérence avec AWS Control Tower AWS Organizations. Le flux de travail de réparation garantit la cohérence entre les services pour les unités d'organisation de base et supplémentaires. Vous pouvez réparer ce type de dérive depuis la page des paramètres de la zone d'atterrissage. Consultez la section intitulée « Résoudre la dérive » dansDétectez et corrigez les dérives dans AWS Control Tower.

AWS Control Tower affiche les noms des unités d'organisation sur la page Organisation du tableau de bord AWS Control Tower. Vous pouvez voir quand la réparation de votre zone d'atterrissage est réussie.

Renommer un compte inscrit

Chaque AWS compte possède un nom d'affichage qui peut être modifié par l'utilisateur root du compte dans la AWS Billing and Cost Management console. Lorsque vous renommez un compte inscrit dans AWS Control Tower, le changement de nom est automatiquement reflété dans AWS Control Tower. Pour plus d'informations sur la modification du nom d'un compte, consultez la section Gestion d'un AWS compte dans le GuideAWS de l'utilisateur de facturation.

Suppression de l'unité d'organisation de sécurité

Ce type de dérive est un cas particulier. Si vous supprimez l'UO de sécurité, vous verrez une page de message d'erreur vous demandant de réparer votre zone de landing zone. Vous devez réparer votre zone d'atterrissage avant de pouvoir effectuer toute autre action dans AWS Control Tower.

  • Vous ne pourrez effectuer aucune action dans la console AWS Control Tower et vous ne pourrez pas créer de nouveaux comptes AWS Service Catalog tant que la réparation ne sera pas terminée.

  • Vous ne pourrez pas consulter la page des paramètres de la zone d'atterrissage pour y voir le bouton Réparer.

Dans ce cas, le processus de réparation de la zone d'atterrissage crée une nouvelle unité d'organisation de sécurité et déplace les deux comptes partagés vers la nouvelle unité d'organisation de sécurité. AWS Control Tower indique que les comptes Log Archive et Audit sont dérivés. Le même processus corrige la dérive de ces comptes.

Si vous déterminez que vous devez supprimer l'unité d'organisation de sécurité, voici ce que vous devez savoir :

Avant de supprimer l'unité d'organisation de sécurité, vous devez vous assurer qu'elle ne contient aucun compte. Plus précisément, vous devez supprimer les comptes Log Archive et Audit de l'UO. Nous vous recommandons de déplacer ces comptes vers une autre unité d'organisation.

Note

La suppression de votre unité d'organisation sécurisée ne doit pas être effectuée sans mûre réflexion. Cette action peut créer des problèmes de conformité si la journalisation est suspendue temporairement et parce que certains contrôles risquent de ne pas être appliqués.

Pour de plus amples informations générales sur la dérive, veuillez consulter « Résolution de la dérive » dans Détectez et corrigez les dérives dans AWS Control Tower.

Supprimer un compte de l'unité d'organisation de sécurité

Nous vous déconseillons de supprimer les comptes partagés de votre organisation ou de les déplacer hors de l'unité d'organisation de sécurité. Si vous avez supprimé accidentellement un compte partagé, vous pouvez suivre les étapes de correction décrites dans cette section pour le restaurer.

  • Depuis la console AWS Control Tower : pour démarrer le processus de correction, suivez les étapes de correction semi-manuelles. Assurez-vous que l'utilisateur ou le rôle que vous utilisez pour accéder à la console AWS Control Tower est autorisé à s'exécuterorganizations:InviteAccountToOrganization. Si vous ne disposez pas de telles autorisations, suivez les étapes de correction manuelles, qui utilisent à la fois la console AWS Control Tower et la AWS Organizations console.

  • À partir de la AWS Organizations console : ce processus de correction est une procédure légèrement plus longue et entièrement manuelle. Lorsque vous suivez les étapes de correction manuelles, vous passerez de la AWS Organizations console à la console AWS Control Tower. Lorsque vous travaillez dans AWS Organizations, vous aurez besoin d'un utilisateur ou d'un rôle doté de la politique AWSOrganizationsFullAccess gérée ou d'un équivalent. Lorsque vous travaillez dans la console AWS Control Tower, vous devez disposer d'un utilisateur ou d'un rôle doté de la politique AWSControlTowerServiceRolePolicy gérée ou d'une autorisation équivalente, et être autorisé à exécuter toutes les actions de la tour de contrôle AWS (tour de contrôle : *).

  • Si les étapes de correction ne permettent pas de restaurer le compte, contactez AWS Support.

Les conséquences de la suppression d'un compte partagé sont les suivantes AWS Organizations :

  • Le compte n'est plus protégé par les contrôles obligatoires d'AWS Control Tower avec des politiques de contrôle des services (SCP). Résultat : les ressources créées par AWS Control Tower dans le compte peuvent être modifiées ou supprimées.

  • Le compte ne figure plus dans le compte AWS Organizations de gestion. Résultat : l'administrateur du compte de AWS Organizations gestion n'a plus aucune visibilité sur les dépenses du compte.

  • Il n'est plus garanti que le compte soit surveillé par AWS Config. Résultat : l'administrateur du compte de AWS Organizations gestion risque de ne pas être en mesure de détecter les modifications des ressources.

  • Le compte n'appartient plus à l'organisation. Résultat : les mises à jour et les réparations d'AWS Control Tower échoueront.

Pour restaurer un compte partagé à l'aide de la console AWS Control Tower (procédure semi-manuelle)

  1. Connectez-vous à la console AWS Control Tower à l'adresse https://console.aws.amazon.com/controltower. Vous devez vous connecter en tant qu'utilisateur IAM, utilisateur dans IAM Identity Center ou en tant que rôle autorisé à exécuter. organizations:InviteAccountToOrganization Si vous ne disposez pas de ces autorisations, utilisez la procédure de correction manuelle décrite plus loin dans cette rubrique.

  2. Sur la page Déviation détectée dans la zone d'atterrissage, choisissez Réinviter pour remédier à la suppression du compte partagé en réinvitant le compte partagé dans l'organisation. Un e-mail généré automatiquement est envoyé à l'adresse e-mail associée au compte.

  3. Acceptez l'invitation à réintégrer le compte partagé dans l'organisation. Effectuez l’une des actions suivantes :

    • Connectez-vous au compte partagé qui a été supprimé, puis rendez-vous sur https://console.aws.amazon.com/organizations/home#/invites

    • Si vous avez accès au message électronique envoyé lorsque vous avez réinvité le compte, connectez-vous au compte supprimé, puis cliquez sur le lien contenu dans le message pour accéder directement à l'invitation du compte.

    • Si le compte partagé qui a été supprimé n'appartient pas à une autre organisation, connectez-vous au compte, ouvrez la AWS Organizations console et accédez à Invitations.

  4. Connectez-vous à nouveau au compte de gestion ou rechargez la console AWS Control Tower si elle est déjà ouverte. Vous verrez la page de dérive de la zone d'atterrissage. Choisissez Réparer pour réparer la zone d'atterrissage.

  5. Attendez que le processus de réparation soit terminé.

Si la correction est réussie, le compte partagé apparaît dans un état et une conformité normaux.

Si les étapes de correction ne permettent pas de restaurer le compte, contactez AWS Support.

Pour restaurer un compte partagé à l'aide de l'AWS Control Tower et des AWS Organizations consoles (correction manuelle)

  1. Connectez-vous à la AWS Organizations console à l'adressehttps://console.aws.amazon.com/organizations/. Vous devez vous connecter en tant qu'utilisateur IAM, utilisateur dans IAM Identity Center, ou en tant que rôle avec la politique AWSOrganizationsFullAccess gérée ou équivalent.

  2. Réinvitez le compte partagé dans l'organisation. Pour plus d'informations sur les exigences, les prérequis et la procédure d'invitation d'un compte AWS Organizations, consultez la section Inviter un AWS compte dans votre organisation dans le Guide de l'AWS Organizations utilisateur.

  3. Connectez-vous au compte partagé qui a été supprimé, puis rendez-vous sur https://console.aws.amazon.com/organizations/home#/invites pour accepter l'invitation.

  4. Connectez-vous à nouveau au compte de gestion.

  5. Connectez-vous à la console AWS Control Tower en tant qu'utilisateur ou en tant que rôle doté de la politique AWSControlTowerServiceRolePolicy gérée ou d'une version équivalente, et des autorisations nécessaires pour exécuter toutes les actions d'AWS Control Tower (tour de contrôle : *).

  6. Vous verrez la page de dérive de la zone d'atterrissage avec une option permettant de réparer la zone d'atterrissage. Choisissez Réparer pour réparer la zone d'atterrissage.

  7. Attendez que le processus de réparation soit terminé.

Si la correction est réussie, le compte partagé apparaît dans un état et une conformité normaux.

Si les étapes de correction ne permettent pas de restaurer le compte, contactez AWS Support.

Modifications externes mises à jour automatiquement

Les modifications que vous apportez aux adresses e-mail de votre compte sont mises à jour automatiquement par AWS Control Tower, mais Account Factory ne les met pas automatiquement à jour.

Modification de l'adresse e-mail d'un compte régi

AWS Control Tower récupère et affiche les adresses e-mail conformément aux exigences de l'expérience de la console. Par conséquent, les adresses e-mail partagées et autres sont mises à jour et affichées de manière cohérente dans AWS Control Tower une fois que vous les avez modifiées.

Note

Dans AWS Service Catalog, Account Factory affiche les paramètres spécifiés dans la console lorsque vous avez créé un produit provisionné. Toutefois, l'adresse e-mail du compte d'origine n'est pas mise à jour automatiquement lorsque l'adresse e-mail du compte change. En effet, le compte est contenu conceptuellement dans le produit provisionné ; il n'est pas le même que le produit provisionné. Pour mettre à jour cette valeur, vous devez mettre à jour le produit provisionné, ce qui peut entraîner une modification de la posture de gouvernance.

Appliquer des AWS Config règles externes

AWS Control Tower affiche l'état de conformité de toutes les AWS Config règles déployées dans les unités organisationnelles enregistrées auprès d'AWS Control Tower, y compris les règles activées en dehors de la console AWS Control Tower.

Suppression de ressources AWS Control Tower en dehors d'AWS Control Tower

Vous pouvez supprimer des unités d'organisation et des comptes dans AWS Control Tower et vous n'avez aucune autre action à effectuer pour voir les mises à jour. Account Factory est automatiquement mis à jour lorsque vous supprimez une unité d'organisation, mais pas lorsque vous supprimez un compte.

Supprimer une unité d'organisation enregistrée (à l'exception de l'unité d'organisation de sécurité)

Vous pouvez AWS Organizationsy supprimer des unités d'organisation (UO) vides à l'aide de l'API ou de la console. Les informations d'origine contenant des comptes ne peuvent pas être supprimées.

AWS Control Tower reçoit une notification AWS Organizations lorsqu'une unité d'organisation est supprimée. Il met à jour la liste des unités d'organisation dans Account Factory, afin que la liste des unités d'organisation enregistrées reste cohérente.

Note

Dans AWS Service Catalog, Account Factory est mis à jour pour supprimer l'unité d'organisation supprimée de la liste des unités d'organisation disponibles dans lesquelles vous pouvez créer un compte.

Suppression d'un compte inscrit d'une unité d'organisation

Lorsque vous supprimez un compte inscrit, AWS Control Tower reçoit une notification et effectue des mises à jour afin que les informations restent cohérentes.

Note

Dans AWS Service Catalog, le produit approvisionné par Account Factory qui représente le compte gouverné n'est pas mis à jour pour supprimer le compte. Au lieu de cela, le produit provisionné est affiché en tant que TAINTED et il est dans un état d'erreur. Pour nettoyer, accédez à AWS Service Catalog, choisissez le produit provisionné, puis choisissez Terminer.