Si vous gérez des ressources en dehors d'AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Si vous gérez des ressources en dehors d'AWS Control Tower

AWS Control Tower définit des comptes, des unités d'organisation et d'autres ressources en votre nom, mais vous êtes le propriétaire de ces ressources. Vous pouvez modifier ces ressources dans ou à l'extérieur de AWS Control Tower. L'endroit le plus courant pour modifier les ressources en dehors de la AWS Control Tower est leAWS Organizationsconsole Cette rubrique décrit comment concilier les modifications apportées aux ressources AWS Control Tower lorsque vous effectuez les modifications en dehors de AWS Control Tower.

Le renommage, la suppression et le déplacement de ressources hors de la console AWS Control Tower entraînent la synchronisation de la console. De nombreuses modifications peuvent être rapprochées automatiquement. Certaines modifications nécessitent une réparation de votre landing zone pour mettre à jour les informations affichées dans la console AWS Control Tower.

En général, les modifications apportées aux ressources AWS Control Tower en dehors de la console AWS Control Tower créent un état deDérive réparable able abledans votre landing zone. Pour plus d'informations sur ces modifications, consultez Changements réparables des ressources.

Tâches nécessitant une réparation de zone de destination

  • Suppression de l'organisation de sécurité(cas particulier, à ne pas faire à la légère.)

  • Suppression d'un compte partagé de l'unité d'organisation de sécurité(Déconseillé.)

  • Mettre à jour, joindre ou détacher un SCP associé à l'unité d'organisation de sécurité.

Modifications mises à jour automatiquement par AWS Control Tower

  • Modification de l'adresse e-mail d'un compte inscrit

  • Renommer un compte inscrit

  • Création d'une nouvelle unité d'organisation (UO) de niveau supérieur

  • Renommer une unité d'organisation enregistrée

  • Suppression d'une unité d'organisation enregistrée(À l'exception de l'unité d'organisation Security, qui nécessite une mise à jour.)

  • Suppression d'un compte inscrit(À l'exception d'un compte partagé dans l'unité d'organisation de sécurité.)

Note

AWS Service Cataloggère les modifications différemment de la AWS Control Tower.AWS Service Catalogpeut créer un changement dans la posture de gouvernance lors du rapprochement de vos changements. Pour de plus amples informations sur la mise à jour d'un produit provisionné, veuillez consulter Mise à jour de produits provisionnés dans la documentation AWS Service Catalog.

Référence à des ressources extérieures à AWS Control Tower

Lorsque vous créez de nouvelles UD et de nouveaux comptes en dehors d'AWS Control Tower, ils ne sont pas régis par AWS Control Tower, même s'ils peuvent être affichés.

Création d'une unité d'organisation

Les unités d'organisation (UO) créées en dehors de la AWS Control Tower sont appeléesNon enregistré able able. Ils sont affichés dans la zoneOrganisation, mais ne sont pas régies par les protections de la AWS Control Tower.

Création d'un compte

Les comptes créés en dehors de AWS Control Tower sont appelésDésinscription. Les comptes inscrits et non inscrits appartenant à une unité d'organisation enregistrée auprès d'AWS Control Tower sont affichés dans laOrganisation. Les comptes qui n'appartiennent pas à une unité d'organisation enregistrée peuvent être invités à l'aide de laAWS Organizationsconsole Cette invitation à rejoindre ne permet pas d'inscrire le compte dans AWS Control Tower ni d'étendre la gouvernance de la AWS Control Tower au compte. Pour étendre la gouvernance en inscrivant le compte, accédez à la pageOrganisationou dans laDétails du comptedans AWS Control Tower et choisissezInscrire un compte.

Modification externe des noms de ressources AWS Control Tower

Vous pouvez modifier les noms de vos unités d'organisation (UO) et de vos comptes en dehors de la console AWS Control Tower, et la console se met à jour automatiquement pour refléter ces modifications.

Modification du nom d'une unité d'organisation

DansAWS Organizations, vous pouvez modifier le nom d'une unité d'organisation à l'aide de l'AWS OrganizationsAPI ou console. Lorsque vous changez un nom d'unité d'organisation en dehors de AWS Control Tower, la console AWS Control Tower reflète automatiquement le changement de nom. Toutefois, si vous provisionnez vos comptes à l'aide d'AWS Service Catalog, vous devez également réparer votre landing zone pour vous assurer que reste cohérent avec AWS Control TowerAWS Organizations. Lerepair ableLe flux de travail garantit la cohérence entre les services pour les unités organisationnelles fondamentales et supplémentaires. Vous pouvez réparer ce type de dérive à partir duParamètres de zone d'atterrissage. Veuillez consulter la section intitulée « Résolution de la dérive » dansDétecter et résoudre les dérives dans AWS Control Tower.

AWS Control Tower affiche les noms des unités d'organisation sur leOrganisationdans le tableau de bord de la AWS Control Tower. Vous pouvez voir quand votre réparation de zone de destination a réussi.

Renommer un compte inscrit

EACHAWSpossède un nom complet qui peut être modifié par l'utilisateur racine du compte dans laAWS Billing and Cost Managementconsole Lorsque vous renommez un compte inscrit dans AWS Control Tower, le changement de nom est automatiquement répercuté dans AWS Control Tower. Pour en savoir plus sur la modification du nom d'un compte, consultezGestion d'unAWScomptedans leAWSGuide de l'utilisateur du.

Suppression de l'organisation de sécurité

Ce type de dérive est un cas particulier. Si vous supprimez l'SécuritéOu, vous verrez une page de message d'erreur vous invitant à réparer votre landing zone. Vous devez réparer votre landing zone avant de pouvoir effectuer d'autres actions dans AWS Control Tower.

  • Vous ne pourrez pas effectuer d'actions dans la console AWS Control Tower et vous ne pourrez pas créer de nouveaux comptes dansAWS Service Catalogjusqu'à ce que la réparation se termine.

  • Vous ne pourrez pas afficher laParamètres de zone d'atterrissagepour voir larepair able.

Dans ce cas, le processus de réparation de la landing zone crée une nouvelle unité d'organisation de sécurité et déplace les deux comptes partagés dans la nouvelle unité d'organisation de sécurité. AWS Control Tower marque les comptes d'archivage des journaux et d'audit comme étant dérivés. Le même processus répare la dérive dans ces comptes.

Si vous déterminez que vous devez supprimer l'SécuritéOU, voici ce que vous devez savoir :

Avant de pouvoir supprimer l'SécuritéOU, vous devez vous assurer qu'il ne contient aucun compte. Plus précisément, vous devez supprimer les comptes d'archivage de journaux et d'audit de l'unité d'organisation. Nous vous recommandons de déplacer ces comptes vers une autre unité d'organisation.

Note

La suppression de votre unité d'organisation de sécurité ne doit pas être effectuée à la légère. L'action pourrait créer des problèmes de conformité si la journalisation est temporairement suspendue et parce que certains garde-corps peuvent ne pas être appliqués.

Pour de plus amples informations générales sur la dérive, veuillez consulter « Résolution de la dérive » dans Détecter et résoudre les dérives dans AWS Control Tower.

Suppression d'un compte de l'unité d'organisation sécurité

Nous ne vous recommandons pas de supprimer les comptes partagés de votre organisation ou de les déplacer hors duSécuritéOU. Si vous avez supprimé un compte partagé par accident, vous pouvez suivre les étapes de correction décrites dans cette section pour restaurer le compte.

  • Depuis la console AWS Control Tower :Pour démarrer le processus de correction, suivez les étapes de correction semi-manuelles. Assurez-vous que l'utilisateur ou le rôle que vous utilisez pour accéder à la console AWS Control Tower dispose des autorisations nécessaires pour exécuterorganizations:InviteAccountToOrganization. Si vous ne disposez pas de telles autorisations, suivez les étapes de correction manuelles, qui utilisent à la fois la console AWS Control Tower et leAWS Organizationsconsole

  • À partir duAWS OrganizationsConsole  : Ce processus de correction est une procédure légèrement plus longue et entièrement manuelle. Lorsque vous suivez les étapes de correction manuelle, vous basculez entre lesAWS Organizationsconsole et la console AWS Control Tower. Lorsque vous travaillez dansAWS Organizations, vous aurez besoin d'un utilisateur ou d'un rôle avec l'AWSOrganizationsFullAccessstratégie gérée ou équivalent. Lorsque vous travaillez dans la console AWS Control Tower, vous aurez besoin d'un utilisateur ou d'un rôle avec leAWSControlTowerServiceRolePolicystratégie gérée ou équivalent, et autorisation d'exécuter toutes les actions de la AWS Control Tower (controltower :*).

  • Si les mesures correctives ne permettent pas de restaurer le compte, contactezAWS Support.

Les résultats de la suppression d'un compte partagé viaAWS Organizations :

  • Le compte n'est plus protégé par les politiques de contrôle des services de sécurité (SCP) obligatoires de la tour de contrôle (SCP) AWS Control Tower. Résultat: Les ressources créées par AWS Control Tower dans le compte peuvent être modifiées ou supprimées.

  • Le compte ne se trouve plus sous leAWS Organizationscompte de gestion. Résultat: L'administrateur duAWS Organizationsle compte de gestion n'a plus de visibilité sur les dépenses du compte.

  • Le suivi du compte n'est plus garanti parAWS Config. Résultat: L'administrateur duAWS Organizationsle compte de gestion peut ne pas être en mesure de détecter les modifications de ressources.

  • Le compte ne fait plus partie de l'organisation. Résultat: Les mises à jour et les réparations d'AWS Control Tower échoueront.

Pour restaurer un compte partagé à l'aide de la console AWS Control Tower (procédure semi-manuelle)

  1. Connectez-vous à la console AWS Control Tower à l'adressehttps://console.aws.amazon.com/controltower. Connectez-vous en tant qu'utilisateur duAWS Identity and Access ManagementUtilisateur ou rôle (IAM) autorisé à exécuterorganizations:InviteAccountToOrganization. Si vous ne disposez pas de telles autorisations, utilisez la procédure de correction manuelle décrite plus loin dans cette rubrique.

  2. Dans la pageDérive de zone d'atterrissage, choisissezRévitation dupour remédier à la suppression d'un compte partagé en réinvitant le compte partagé dans l'organisation. Un e-mail généré automatiquement est envoyé à l'adresse e-mail du compte.

  3. Acceptez l'invitation à réintégrer le compte partagé dans l'organisation. Effectuez l'une des actions suivantes :

    • Connectez-vous au compte partagé qui a été supprimé, puis rendez-vous surhttps://console.aws.amazon.com/organizations/home#/invites

    • Si vous avez accès au message e-mail envoyé lorsque vous avez réinvité le compte, connectez-vous au compte supprimé, puis cliquez sur le lien dans le message pour accéder directement à l'invitation de compte.

    • Si le compte partagé qui a été supprimé n'appartient pas à une autre organisation, connectez-vous au compte, ouvrez leAWS Organizationsconsole et accédez àinvitations.

  4. Connectez-vous à nouveau au compte de gestion ou rechargez la console AWS Control Tower si elle est déjà ouverte. Vous verrez leDérive de zone. Choisissezrepair ablepour réparer la landing zone.

  5. Attendez que le processus de réparation se termine.

Si la correction réussit, le compte partagé apparaît dans un état normal et conforme.

Si les mesures correctives ne permettent pas de restaurer le compte, contactezAWS Support.

Pour restaurer un compte partagé à l'aide d'AWS Control Tower etAWS Organizationsconsoles (correction manuelle)

  1. Connectez-vous à la console AWS Organizations, à l'adresse https://console.aws.amazon.com/organizations/. Connectez-vous en tant qu'utilisateur ou rôle IAM à l'aide duAWSOrganizationsFullAccessstratégie gérée ou équivalent.

  2. Invitez le compte partagé à rejoindre l'organisation. Pour plus d'informations sur les exigences, les prérequis et la procédure à suivre pour inviter un compte àAWS Organizations, voirInvitation duAWScompte dans votre organisationdans leAWS OrganizationsGuide de l'utilisateur.

  3. Connectez-vous au compte partagé qui a été supprimé, puis rendez-vous surhttps://console.aws.amazon.com/organizations/home#/invitespour accepter l'invitation.

  4. Reconnectez-vous au compte de gestion.

  5. Connectez-vous à la console AWS Control Tower en tant qu'utilisateur ou rôle IAM avec leAWSControlTowerServiceRolePolicystratégie gérée ou équivalent, et autorisations pour exécuter toutes les actions de la AWS Control Tower (controltower :*).

  6. Vous verrez leDérive de zoneavec une option pour réparer la landing zone. Choisissezrepair ablepour réparer la landing zone.

  7. Attendez que le processus de réparation se termine.

Si la correction réussit, le compte partagé apparaît dans un état normal et conforme.

Si les mesures correctives ne permettent pas de restaurer le compte, contactezAWS Support.

Modifications externes mises à jour automatiquement

Les modifications que vous apportez aux adresses e-mail de votre compte sont mises à jour par AWS Control Tower automatiquement, mais Account Factory ne les met pas à jour automatiquement.

Modification de l'adresse e-mail d'un compte régi

AWS Control Tower récupère et affiche les adresses e-mail requises par l'expérience de la console. Par conséquent, les adresses e-mail de compte partagé et autres sont mises à jour et affichées de manière cohérente dans AWS Control Tower une fois que vous les avez modifiées.

Note

DansAWS Service Catalog, Account Factory affiche les paramètres qui ont été spécifiés dans la console lorsque vous avez créé un produit provisionné. Toutefois, l'adresse e-mail du compte d'origine n'est pas mise à jour automatiquement lorsque l'adresse e-mail du compte change. En effet, le compte est contenu conceptuellement dans le produit provisionné ; il n'est pas le même que le produit provisionné. Pour mettre à jour cette valeur, vous devez mettre à jour le produit provisionné, ce qui peut entraîner une modification de la posture de gouvernance.

Suppression de ressources AWS Control Tower en dehors d'AWS Control Tower

Vous pouvez supprimer des UD et des comptes dans AWS Control Tower et aucune autre action n'est requise de votre part pour voir les mises à jour. Account Factory est mis à jour automatiquement lorsque vous supprimez une unité d'organisation, mais pas lorsque vous supprimez un compte.

Suppression d'une organisation enregistrée (à l'exception de l'unité d'organisation de

Dans AWS Organizations, vous pouvez supprimer des unités d'organisation vides à l'aide de l'API ou de la console. Les informations d'origine contenant des comptes ne peuvent pas être supprimées.

AWS Control Tower reçoit une notification deAWS Organizationslorsqu'une unité d'organisation est supprimée. Il met à jour la liste des unités d'organisation dans la Account Factory, de sorte que la liste des unités d'organisation enregistrées reste cohérente.

Si une unité d'organisation supprimée s'affiche dans la console AWS Control Tower, réparez votre landing zone pour supprimer les entrées obsolètes.

Note

DansAWS Service Catalog, Account Factory est mis à jour pour supprimer l'unité d'organisation supprimée de la liste des unités d'organisation disponibles dans lesquelles vous pouvez provisionner un compte.

Suppression d'un compte inscrit d'une unité d'organisation

Lorsque vous supprimez un compte inscrit, AWS Control Tower reçoit une notification et effectue des mises à jour afin que les informations restent cohérentes.

Si un compte supprimé s'affiche dans la console AWS Control Tower, réparez votre landing zone pour supprimer l'entrée obsolète.

Note

DansAWS Service Catalog, le produit provisionné par Account Factory qui représente le compte régi n'est pas mis à jour pour supprimer le compte. Au lieu de cela, le produit provisionné est affiché en tant que TAINTED et il est dans un état d'erreur. Pour nettoyer, accédez à AWS Service Catalog, choisissez le produit provisionné, puis choisissez Terminer.