Conseils AWS Organizations - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conseils AWS Organizations

  • Vous trouverez des conseils sur les meilleures pratiques pour protéger la sécurité de votre compte de gestion AWS Control Tower et des comptes de membres dans leAWS Organizations.

  • Ne pas utiliserAWS Organizationspour mettre à jour les politiques de contrôle des services (SCP) associées à une unité d'organisation enregistrée auprès d'AWS Control Tower. Cela pourrait faire passer les garde-corps dans un état inconnu, ce qui vous obligera à réparer votre landing zone ou à réenregistrer votre unité d'organisation dans la AWS Control Tower. Au lieu de cela, vous pouvez créer de nouveaux SCP et les joindre aux unités d'organisation plutôt que de modifier les SCP créés par AWS Control Tower.

  • Le déplacement de comptes individuels déjà inscrits vers AWS Control Tower, depuis l'extérieur d'une unité d'organisation enregistrée, provoque une dérive qui doit être corrigée. Consultez Types de dérive de gouvernance.

  • Si vous utilisezAWS Organizationspour créer, inviter ou déplacer des comptes au sein d'une organisation enregistrée auprès d'AWS Control Tower, ces comptes ne sont pas inscrits par AWS Control Tower et ces modifications ne sont pas enregistrées. Si vous avez besoin d'accéder à ces comptes via SSO, consultez Accès au compte membre.

  • Si vous utilisezAWS Organizationspour déplacer une unité d'organisation vers une organisation créée par AWS Control Tower, l'unité d'organisation externe n'est pas enregistrée par AWS Control Tower.

  • AWS Control Tower gère le filtrage des autorisations différemment deAWS Organizationsfait. Si vos comptes sont provisionnés avec AWS Control Tower account Factory, les utilisateurs finaux peuvent voir les noms et les parents de toutes les unités d'organisation dans la console AWS Control Tower, même s'ils ne sont pas autorisés à récupérer ces noms et parents surAWS Organizationsdirectement.

  • AWS Control Tower ne prend pas en charge les autorisations mixtes sur les organisations, telles que l'autorisation de consulter le parent d'une unité d'organisation mais pas de consulter les noms des unités d'organisation. Pour cette raison, les administrateurs de la AWS Control Tower doivent disposer d'autorisations complètes.