Conseils pour créer et modifier les ressources de la AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conseils pour créer et modifier les ressources de la AWS Control Tower

Nous vous recommandons de suivre les pratiques suivantes lorsque vous créez et modifiez des ressources dans AWS Control Tower. Ce guide peut changer lorsque le service est mis à jour.

Conseils généraux

  • Ne modifiez ni ne supprimez les ressources créées par AWS Control Tower dans le compte de gestion ou dans les comptes partagés. La modification de ces ressources peut vous obliger à mettre à jour votre landing zone ou à réenregistrer une unité d'organisation.

  • Ne modifiez ni ne supprimez le pluginAWS Identity and Access Management(IAM) créés dans les comptes partagés de l'unité organisationnelle de sécurité (UO). La modification de ces rôles peut nécessiter une mise à jour de votre zone de destination.

  • Pour plus d'informations sur les ressources créées par AWS Control Tower, consultezQue sont les comptes partagés ?

  • N'interdisez pas l'utilisation deAWSRégions via des SCP ouAWSService de jetons de sécurité (STS). Cela fera passer la AWS Control Tower dans un état non défini. Si vous désactivez les régions avecAWSSTS, votre fonctionnalité échouera dans ces régions, car l'authentification ne serait pas disponible dans ces régions. Fiez-vous plutôt à la capacité de refus de la région de la AWS Control Tower, comme indiqué sur le garde-corps,Refuser l'accès àAWSsur la base de la demandeAWSRégion.

  • Dans laAWS Organizations CompletAWSAccessLe SCP doit être appliqué et ne doit pas être fusionné avec d'autres SCP. La modification de ce SCP n'est pas considérée comme une dérive ; toutefois, certaines modifications peuvent affecter les fonctionnalités de la AWS Control Tower de manière imprévisible, si l'accès à certaines ressources est refusé. Par exemple, si le SCP est détaché ou modifié, un compte peut perdre l'accès à unAWS Configenregistreur ou création d'un espace dans CloudTrail journalisation.

  • En général, AWS Control Tower effectue une seule action à la fois, qui doit être terminée avant qu'une autre action puisse commencer. Par exemple, si vous tentez de provisionner un compte alors que le processus d'activation d'une barrière de sécurité est déjà en cours, votre action échouera.

    Exception :

  • Garder un actifAWS ConfigEnregistreur. Si vous supprimez votre enregistreur Config, les garde-corps de détection ne peuvent pas détecter et signaler les dérives. Les ressources non conformes peuvent être signalées sous la formeConformeen raison de l'insuffisance des informations.

  • Ne supprimez pas leAWSControlTowerExecutionrôle depuis vos comptes de membre, même dans les comptes non inscrits. Dans ce cas, vous ne pourrez pas inscrire ces comptes auprès d'AWS Control Tower, ni enregistrer leurs unités d'organisation mères immédiates.

Conseils à propos des comptes et des unités

  • Nous vous recommandons de limiter chaque unité d'organisation enregistrée à un maximum de 300 comptes, afin de pouvoir mettre à jour ces comptes avecRé-enregistrez-vousfonctionnalité chaque fois que des mises à jour de compte sont nécessaires, par exemple lorsque vous configurez de nouvelles régions pour la gouvernance.

  • Pour réduire le temps nécessaire à l'enregistrement d'une unité d'organisation, nous vous recommandons de limiter le nombre de comptes par unité d'organisation à environ 150, même si la limite est de 300 comptes par unité d'organisation. En règle générale, le temps requis pour enregistrer une unité d'organisation augmente en fonction du nombre de régions dans lesquelles votre unité d'organisation opère, multiplié par le nombre de comptes de l'unité d'organisation.

  • À titre d'estimation, une unité d'organisation comptant 150 comptes nécessite environ 2 heures pour s'enregistrer et activer les garde-fous, et environ 1 heure pour se réenregistrer. De plus, l'enregistrement d'une unité d'organisation qui possède de nombreuses rambardes prend plus de temps qu'une unité d'organisation dotée de peu de garde-corps.

  • L'une des préoccupations liées à l'allongement du délai d'enregistrement d'une unité d'organisation est que ce processus bloque d'autres actions. Certains clients acceptent de prolonger le délai d'enregistrement ou de réenregistrement d'une unité d'organisation, car ils préfèrent autoriser un plus grand nombre de comptes dans chaque unité d'organisation.