Enregistrer une UO existante

Dans la console AWS Control Tower, sur la page Organisation, vous pouvez consulter l'ensemble des unités d'organisation et des comptes de votre organisation dans une hiérarchie, y compris les unités d'organisation enregistrées auprès d'AWS Control Tower et celles qui ne le sont pas.

En général, les UO non enregistrées ont été créées dans AWS Organizations, et elles ne sont régies par aucune autre zone d'atterrissage. Vous pouvez enregistrer des unités d'organisation existantes contenant jusqu'à 300 comptes. Si une unité d'organisation contient plus de 300 comptes, vous ne pouvez pas l'enregistrer dans AWS Control Tower.

Pour enregistrer une UO existante

1. Connectez-vous à la console AWS Control Tower à l'adresse https://console.aws.amazon.com/controltower.

2. Dans le menu de navigation du volet gauche, sélectionnez Organisation.

3. Sur la page Organisation, sélectionnez le bouton radio à côté de l'unité d'organisation que vous souhaitez enregistrer, puis sélectionnez Enregistrer l'unité organisationnelle dans le menu déroulant Actions en haut à droite, ou sélectionnez le nom de l'unité d'organisation afin de consulter la page de détails de l'unité organisationnelle correspondante.

4. Sur la page des détails de l'unité d'organisation, en haut à droite, vous pouvez sélectionner Enregistrer l'unité d'organisation dans le menu déroulant Actions.

Le processus d'enregistrement prend au moins 10 minutes pour étendre la gouvernance à l'unité d'organisation, et jusqu'à 2 minutes supplémentaires pour chaque compte supplémentaire.

Résultats de l'enregistrement d'une UO existante

Une fois que vous avez enregistré une unité d'organisation existante, le AWSControlTowerExecution rôle permet à AWS Control Tower d'étendre la gouvernance à ses comptes individuels. Des barrières de sécurité sont appliquées et les informations relatives aux activités du compte sont communiquées à vos comptes d'audit et de journalisation.

Parmi les autres résultats, mentionnons les suivants :

• AWSControlTowerExecution permet l'audit par le compte d'audit AWS Control Tower.

• AWSControlTowerExecutionvous aide à configurer la journalisation de votre organisation, de sorte que tous les journaux de chaque compte soient envoyés au compte de journalisation.

• AWSControlTowerExecutiongarantit que les contrôles AWS Control Tower que vous avez sélectionnés s'appliquent automatiquement à chaque compte individuel de vos unités d'organisation, ainsi qu'à chaque nouveau compte que vous créez dans AWS Control Tower.

Pour une unité d'organisation enregistrée, vous pouvez fournir des rapports de conformité et de sécurité basés sur les fonctionnalités d'audit et de journalisation intégrées aux contrôles d'AWS Control Tower. Vos équipes de sécurité et de conformité peuvent vérifier que toutes les exigences sont satisfaites et qu'aucune dérive organisationnelle ne s'est produite. Pour plus d'informations sur la dérive, consultezDétectez et corrigez les dérives dans AWS Control Tower.

Note

Une situation inhabituelle peut se produire lorsqu'AWS Control Tower affiche les unités d'organisation et leurs comptes. Si vous avez créé un compte dans une unité organisationnelle enregistrée, puis que vous déplacez ce compte inscrit dans une autre unité d'organisation non enregistrée, en particulier si vous avez l'habitude de AWS Organizations déplacer le compte, vous pouvez voir le résultat « 1 sur 0 » comptes sur la page de détails de votre unité d'organisation. En outre, vous avez peut-être créé un autre compte non inscrit dans cette unité d'organisation non enregistrée. S'il existe un compte non enregistré, la console peut indiquer « 1 sur 1 » pour l'unité d'organisation. Il semblerait que le compte unique (nouvellement créé) soit inscrit, mais en réalité ce n'est pas le cas. Vous devez enregistrer le nouveau compte.