Prérequis : vérifications automatisées avant le lancement de votre compte de gestion - AWS Control Tower
Considérations pour les AWS IAM Identity Center clients (IAM Identity Center)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis : vérifications automatisées avant le lancement de votre compte de gestion

Avant qu'AWS Control Tower ne configure la zone de landing zone, elle exécute automatiquement une série de vérifications préalables au lancement sur votre compte. Aucune action de votre part n'est requise pour effectuer ces vérifications, qui garantissent que votre compte de gestion est prêt à faire face aux modifications établissant votre zone de landing zone. Voici les vérifications effectuées par AWS Control Tower avant de configurer une zone de landing zone :

  • Les limites de service existantes Compte AWS doivent être suffisantes pour permettre le lancement d'AWS Control Tower. Pour de plus amples informations, veuillez consulter Limitations et quotas dans AWS Control Tower.

  • Vous Compte AWS devez être abonné aux AWS services suivants :

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (JE SUIS)

    • AWS Lambda

    Note

    Par défaut, tous les comptes sont abonnés à ces services.

Considérations pour les AWS IAM Identity Center clients (IAM Identity Center)

  • Si AWS IAM Identity Center (IAM Identity Center) est déjà configuré, la région d'origine d'AWS Control Tower doit être identique à la région du centre d'identité IAM.

  • IAM Identity Center ne peut être installé que dans le compte de gestion d'une organisation.

  • Trois options s'appliquent à votre répertoire IAM Identity Center, en fonction de la source d'identité que vous choisissez :

    • Boutique d'utilisateurs d'IAM Identity Center : si AWS Control Tower est configuré avec IAM Identity Center, AWS Control Tower crée des groupes dans le répertoire IAM Identity Center et fournit l'accès à ces groupes, pour l'utilisateur que vous sélectionnez, pour les comptes des membres.

    • Active Directory : si IAM Identity Center pour AWS Control Tower est configuré avec Active Directory, AWS Control Tower ne gère pas le répertoire IAM Identity Center. Il n'affecte pas d'utilisateurs ou de groupes à de nouveaux AWS comptes.

    • Fournisseur d'identité externe : si le centre d'identité IAM pour AWS Control Tower est configuré avec un fournisseur d'identité externe (IdP), AWS Control Tower crée des groupes dans le répertoire du centre d'identité IAM et fournit l'accès à ces groupes à l'utilisateur que vous sélectionnez pour les comptes de membre. Vous pouvez spécifier un utilisateur existant à partir de votre IdP externe dans Account Factory lors de la création du compte, et AWS Control Tower donne à cet utilisateur l'accès au nouveau compte lorsqu'elle synchronise les utilisateurs du même nom entre IAM Identity Center et l'IdP externe. Vous pouvez également créer des groupes dans votre IdP externe pour qu'ils correspondent aux noms des groupes par défaut dans AWS Control Tower. Lorsque vous affectez des utilisateurs à ces groupes, ces utilisateurs auront accès à vos comptes inscrits.

    Pour plus d'informations sur l'utilisation d'IAM Identity Center et d'AWS Control Tower, consultez Ce qu'il faut savoir sur les comptes IAM Identity Center et AWS Control Tower

Considérations pour AWS Config et pour AWS CloudTrail les clients

  • L'accès sécurisé Compte AWS ne peut pas être activé dans le compte de gestion de l'organisation pour AWS Config ou CloudTrail. Pour plus d'informations sur la désactivation de l'accès sécurisé, consultez la AWS Organizations documentation sur l'activation ou la désactivation de l'accès sécurisé.

  • Si vous disposez d'un AWS Config enregistreur, d'un canal de diffusion ou d'une configuration d'agrégation dans l'un des comptes existants que vous envisagez d'inscrire dans AWS Control Tower, vous devez modifier ou supprimer ces configurations avant de commencer à inscrire les comptes, une fois votre zone de landing zone configurée. Cette vérification préalable ne s'applique pas au compte de gestion AWS Control Tower lors du lancement de la zone de landing zone. Pour de plus amples informations, veuillez consulter Inscrire des comptes disposant de ressources existantes AWS Config.

  • Si vous exécutez des charges de travail éphémères à partir de comptes dans AWS Control Tower, vous constaterez peut-être une augmentation des coûts associés à Config. AWS Contactez le représentant de votre AWS compte pour obtenir des informations plus spécifiques sur la gestion de ces coûts.

  • Lorsque vous créez un compte dans AWS Control Tower, celui-ci est régi par le AWS CloudTrail parcours de l'organisation AWS Control Tower. Si vous avez déjà déployé un essai dans CloudTrail le compte, des frais supplémentaires peuvent être facturés, sauf si vous supprimez le journal existant pour le compte avant de l'inscrire dans AWS Control Tower. Pour plus d'informations sur les sentiers au niveau de l'organisation et sur AWS Control Tower, consultez. Tarification

Note

Lors du lancement, les points de terminaison du AWS Security Token Service (STS) doivent être activés dans le compte de gestion, pour toutes les régions régies par AWS Control Tower. Sinon, le lancement peut échouer au milieu du processus de configuration.