Résumé Conditions préalables et limitations Architecture Outils Épopées Résolution des problèmes Ressources connexes

Migrer un compte AWS membre de AWS Organizations vers AWS Control Tower

Rodolfo Junior Cerrada, Amazon Web Services

Résumé

Ce modèle décrit comment migrer un compte Compte AWS de AWS Organizations membre régi par un compte de gestion vers AWS Control Tower. En inscrivant le compte AWS Control Tower, vous pouvez bénéficier de contrôles et de fonctionnalités de prévention et de détection qui rationalisent la gouvernance de votre compte. Vous souhaiterez peut-être également migrer votre compte membre si votre compte de gestion AWS Organizations a été compromis et si vous souhaitez déplacer les comptes membres vers une nouvelle organisation régie par AWS Control TowerAWS Control Tower.

AWS Control Tower fournit un cadre qui combine et intègre les fonctionnalités de plusieurs autres Services AWS, notamment AWS Organizations, et garantit une conformité et une gouvernance cohérentes dans l'ensemble de votre environnement multi-comptes. Avec AWS Control Tower, vous pouvez suivre un ensemble de règles et de définitions prescrites qui étendent les fonctionnalités de AWS Organizations. Par exemple, vous pouvez utiliser des contrôles pour vous assurer que les journaux de sécurité et les autorisations d'accès inter-comptes nécessaires sont créés, et non modifiés.

Conditions préalables et limitations

Conditions préalables

Un actif Compte AWS
AWS Control Tower configurer dans votre organisation cible dans AWS Organizations (pour obtenir des instructions, voir Configuration dans la AWS Control Tower documentation)
Informations d'identification d'administrateur pour AWS Control Tower (membre du AWSControlTowerAdminsgroupe)
Informations d'identification de l'administrateur pour la source Compte AWS

Limites

Le compte de gestion source dans AWS Organizations doit être différent du compte de gestion cible dans AWS Control Tower.

Versions du produit

AWS Control Tower version 2.3 (février 2020) ou ultérieure (voir les notes de publication)

Architecture

Le schéma suivant illustre le processus de migration et l'architecture de référence. Ce modèle fait migrer Compte AWS l'organisation source vers une organisation cible régie par AWS Control Tower.

Procédure d'inscription à AWS Control Tower pour un compte AWS qui a été migré vers une autre organisation et transféré vers une unité d'organisation enregistrée.

Le processus d'inscription comprend les étapes suivantes :

L'organisation cible envoie une invitation pour que le compte rejoigne l'organisation.
Le compte accepte l'invitation et devient membre de l'organisation cible.
Le compte est inscrit AWS Control Tower et transféré vers une unité organisationnelle (UO) enregistrée. (Nous vous recommandons de consulter le AWS Control Tower tableau de bord pour confirmer l'inscription.) À ce stade, toutes les commandes activées dans l'unité d'organisation enregistrée prennent effet.

Outils

Services AWS

AWS Organizationsest un service de gestion de comptes qui vous permet de regrouper plusieurs comptes Comptes AWS en une seule entité (une organisation) que vous créez et gérez de manière centralisée.
AWS Control Towerintègre les fonctionnalités d'autres services, notamment, et AWS Organizations AWS IAM Identity Center AWS Service Catalog, pour vous aider à appliquer et à gérer les règles de gouvernance en matière de sécurité, d'exploitation et de conformité à grande échelle dans toutes vos organisations et comptes du AWS Cloud.

Épopées

Sous-tâche	Description	Compétences requises
Connectez-vous à AWS Control Tower.	Connectez-vous à la AWS Control Tower console en tant qu'administrateur. À l'heure actuelle, il n'existe aucun moyen direct Compte AWS de déplacer une organisation source vers une organisation dans une unité d'organisation régie par AWS Control Tower. Cependant, vous pouvez étendre AWS Control Tower la gouvernance à une entité existante Compte AWS lorsque vous l'inscrivez dans une unité d'organisation déjà régie par AWS Control Tower. C'est pourquoi vous devez vous connecter AWS Control Tower à cette étape.	Administrateur de la tour de contrôle AWS
Invitez le compte du membre.	Connectez-vous à la AWS Organizations console et accédez à la Comptes AWSpage. Sur la Compte AWS page Ajouter un objet, choisissez Inviter un existant Compte AWS. Complétez les informations du compte, y compris le numéro de compte à 12 chiffres (sans tirets) ainsi que la description et les tags facultatifs, puis choisissez Envoyer une invitation. Important Vérifiez qu'aucune application ou connexion réseau ne sera affectée par le transfert de compte. Cette action envoie un e-mail d'invitation contenant un lien vers le compte du membre. Lorsque l'administrateur du compte suit le lien et accepte l'invitation, le compte du membre apparaît Comptes AWSsur la page. Pour plus d'informations, consultez la section Gestion des invitations à un compte dans la AWS Organizations documentation.	Administrateur de la tour de contrôle AWS
Testez les applications et la connectivité.	Lorsque le compte du membre a été enregistré dans la nouvelle organisation, il apparaît dans l'unité d'organisation au sein d'une racine. Il apparaît également dans la AWS Control Tower console, marqué comme non inscrit dans les comptes, car il n'a pas encore été inscrit dans l'unité d'organisation AWS Control Tower enregistrée. Vérifiez les paramètres suivants : Consultez le AWS Control Tower tableau de bord pour voir s'il y a des violations des garde-corps. Vérifiez la connectivité réseau (VPN ou AWS Direct Connect) pour vous assurer qu'elle n'a pas été affectée par le transfert. (Propriétaires de l'application) Testez les applications associées à ce compte pour vérifier qu'elles s'exécutent comme prévu et que les dépendances n'ont pas été affectées par le transfert de compte.	Administrateur AWS Control Tower, administrateur du compte membre, propriétaires de l'application

Sous-tâche

Description

Compétences requises

Connectez-vous à AWS Control Tower.

Connectez-vous à la AWS Control Tower console en tant qu'administrateur.

À l'heure actuelle, il n'existe aucun moyen direct Compte AWS de déplacer une organisation source vers une organisation dans une unité d'organisation régie par AWS Control Tower. Cependant, vous pouvez étendre AWS Control Tower la gouvernance à une entité existante Compte AWS lorsque vous l'inscrivez dans une unité d'organisation déjà régie par AWS Control Tower. C'est pourquoi vous devez vous connecter AWS Control Tower à cette étape.

Administrateur de la tour de contrôle AWS

Invitez le compte du membre.

Connectez-vous à la AWS Organizations console et accédez à la Comptes AWSpage.
Sur la Compte AWS page Ajouter un objet, choisissez Inviter un existant Compte AWS.
Complétez les informations du compte, y compris le numéro de compte à 12 chiffres (sans tirets) ainsi que la description et les tags facultatifs, puis choisissez Envoyer une invitation.

Important

Vérifiez qu'aucune application ou connexion réseau ne sera affectée par le transfert de compte.

Cette action envoie un e-mail d'invitation contenant un lien vers le compte du membre. Lorsque l'administrateur du compte suit le lien et accepte l'invitation, le compte du membre apparaît Comptes AWSsur la page. Pour plus d'informations, consultez la section Gestion des invitations à un compte dans la AWS Organizations documentation.

Administrateur de la tour de contrôle AWS

Testez les applications et la connectivité.

Lorsque le compte du membre a été enregistré dans la nouvelle organisation, il apparaît dans l'unité d'organisation au sein d'une racine. Il apparaît également dans la AWS Control Tower console, marqué comme non inscrit dans les comptes, car il n'a pas encore été inscrit dans l'unité d'organisation AWS Control Tower enregistrée.

Vérifiez les paramètres suivants :

Consultez le AWS Control Tower tableau de bord pour voir s'il y a des violations des garde-corps.
Vérifiez la connectivité réseau (VPN ou AWS Direct Connect) pour vous assurer qu'elle n'a pas été affectée par le transfert.
(Propriétaires de l'application) Testez les applications associées à ce compte pour vérifier qu'elles s'exécutent comme prévu et que les dépendances n'ont pas été affectées par le transfert de compte.

Administrateur AWS Control Tower, administrateur du compte membre, propriétaires de l'application

Sous-tâche	Description	Compétences requises
Passez en revue les contrôles et corrigez les éventuelles violations.	Passez en revue les contrôles définis dans l'unité d'organisation cible, en particulier les contrôles préventifs, et corrigez les violations éventuelles. Un certain nombre de contrôles préventifs obligatoires sont activés par défaut lorsque vous configurez votre zone de AWS Control Tower landing zone. Ils ne peuvent pas être désactivés. Vous devez passer en revue ces contrôles obligatoires et corriger le compte du membre (manuellement ou à l'aide d'un script) avant d'enregistrer le compte. Note Les contrôles préventifs garantissent la conformité des comptes AWS Control Tower enregistrés et préviennent les violations des politiques. Toute violation des contrôles préventifs peut affecter l'inscription. Les violations du Detective Control apparaissent dans le AWS Control Tower tableau de bord, si elles sont détectées, après une inscription réussie. Ils n'ont aucune incidence sur le processus d'inscription. Pour plus d'informations, consultez la section À propos des contrôles dans la AWS Control Tower documentation.	Administrateur AWS Control Tower, administrateur du compte membre
Vérifiez les problèmes de connectivité après avoir corrigé les violations de contrôle.	Dans certains cas, vous devrez peut-être fermer des ports spécifiques ou désactiver des services pour corriger les violations de contrôle. Assurez-vous que les applications qui utilisent ces ports et services sont corrigées avant d'inscrire le compte.	Propriétaire de l'application

Sous-tâche

Description

Compétences requises

Passez en revue les contrôles et corrigez les éventuelles violations.

Passez en revue les contrôles définis dans l'unité d'organisation cible, en particulier les contrôles préventifs, et corrigez les violations éventuelles.

Un certain nombre de contrôles préventifs obligatoires sont activés par défaut lorsque vous configurez votre zone de AWS Control Tower landing zone. Ils ne peuvent pas être désactivés. Vous devez passer en revue ces contrôles obligatoires et corriger le compte du membre (manuellement ou à l'aide d'un script) avant d'enregistrer le compte.

Note

Les contrôles préventifs garantissent la conformité des comptes AWS Control Tower enregistrés et préviennent les violations des politiques. Toute violation des contrôles préventifs peut affecter l'inscription. Les violations du Detective Control apparaissent dans le AWS Control Tower tableau de bord, si elles sont détectées, après une inscription réussie. Ils n'ont aucune incidence sur le processus d'inscription. Pour plus d'informations, consultez la section À propos des contrôles dans la AWS Control Tower documentation.

Administrateur AWS Control Tower, administrateur du compte membre

Vérifiez les problèmes de connectivité après avoir corrigé les violations de contrôle.

Dans certains cas, vous devrez peut-être fermer des ports spécifiques ou désactiver des services pour corriger les violations de contrôle. Assurez-vous que les applications qui utilisent ces ports et services sont corrigées avant d'inscrire le compte.

Propriétaire de l'application

Sous-tâche	Description	Compétences requises
Connectez-vous à AWS Control Tower.	Connectez-vous à la console AWS Control Tower. Utilisez des informations de connexion dotées d'autorisations administratives pour AWS Control Tower. N'utilisez pas les informations d'identification de l'utilisateur root (compte de gestion) pour créer un AWS Organizations compte. Cela affichera un message d'erreur.	Administrateur de la tour de contrôle AWS
Enregistrez le compte.	Sur la page Account Factory AWS Control Tower, sélectionnez Inscrire un compte. Renseignez les informations, notamment l'adresse e-mail associée au compte que vous souhaitez enregistrer, le nom d'affichage qui apparaîtra AWS Control Tower, l'adresse e-mail du centre d'identité IAM, le prénom et le nom de famille du titulaire du compte et l'unité d'organisation dans laquelle vous souhaitez enregistrer le compte. L'adresse e-mail de l'IAM Identity Center est votre adresse e-mail utilisateur préférée. Vous pouvez utiliser la même adresse e-mail que celle du compte. Choisissez Inscrire un compte. Pour plus d'informations, consultez la section À propos de l'inscription de comptes existants dans la AWS Control Tower documentation.	Administrateur de la tour de contrôle AWS

Sous-tâche	Description	Compétences requises
Vérifiez le compte.	Dans AWS Control Tower, choisissez Comptes. L'état initial du compte que vous venez de créer est « Inscription ». Lorsque l'inscription est terminée, son état passe à Inscrit.	Administrateur AWS Control Tower, administrateur du compte membre
Vérifiez les violations des contrôles.	Les contrôles définis dans l'UO s'appliqueront automatiquement au compte du membre inscrit. Surveillez le AWS Control Tower tableau de bord pour détecter les violations et corrigez-les en conséquence. Pour plus d'informations, consultez la section À propos des contrôles dans la AWS Control Tower documentation.	Administrateur AWS Control Tower, administrateur du compte membre

Résolution des problèmes

Problème	Solution
Vous recevez le message d'erreur suivant : Une erreur inconnue s'est produite. Réessayez ultérieurement ou contactez le AWS Support.	Cette erreur se produit lorsque vous utilisez les informations d'identification de l'utilisateur root (compte de gestion) AWS Control Tower pour inscrire un nouveau compte. AWS Service Catalog Impossible de mapper le portefeuille ou le produit Account Factory à l'utilisateur root, ce qui entraîne le message d'erreur. Pour corriger cette erreur, utilisez des informations d'identification d'utilisateur (administrateur) à accès complet (administrateur) autres que root pour inscrire le nouveau compte. Pour plus d'informations sur la façon d'attribuer un accès administratif à un utilisateur administratif, consultez Getting started dans la documentation d'IAM Identity Center.
La page AWS Control Tower Activités affiche une action Get Catastrophic Drift.	Cette action reflète une vérification à la dérive du service et n'indique aucun problème de AWS Control Tower configuration. Aucune action n’est requise.

Problème

Solution

Vous recevez le message d'erreur suivant : Une erreur inconnue s'est produite. Réessayez ultérieurement ou contactez le AWS Support.

Cette erreur se produit lorsque vous utilisez les informations d'identification de l'utilisateur root (compte de gestion) AWS Control Tower pour inscrire un nouveau compte. AWS Service Catalog Impossible de mapper le portefeuille ou le produit Account Factory à l'utilisateur root, ce qui entraîne le message d'erreur. Pour corriger cette erreur, utilisez des informations d'identification d'utilisateur (administrateur) à accès complet (administrateur) autres que root pour inscrire le nouveau compte. Pour plus d'informations sur la façon d'attribuer un accès administratif à un utilisateur administratif, consultez Getting started dans la documentation d'IAM Identity Center.

La page AWS Control Tower Activités affiche une action Get Catastrophic Drift.

Cette action reflète une vérification à la dérive du service et n'indique aucun problème de AWS Control Tower configuration. Aucune action n’est requise.

Ressources connexes

Documentation

Terminologie et concepts (AWS Organizations documentation)
Qu'est-ce que c'est AWS Control Tower ? (AWS Control Tower documentation)
Supprimer un compte membre d'une organisation (AWS Organizations documentation)
Configuration (AWS Control Tower documentation)

Tutoriels et vidéos

AWS Control Tower atelier (atelier à rythme libre)
Qu'est-ce que c'est AWS Control Tower ? (vidéo)
Approvisionnement des utilisateurs AWS Control Tower (vidéo)

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Stratégie multi-comptes

Configurez des alertes pour les fermetures de comptes programmatiques dans AWS Organizations