Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Migrer un compte AWS membre de AWS Organizations vers AWS Control Tower
Créée par Rodolfo Jr. Cerrada () AWS
Environnement : Production | Technologies : gestion et gouvernance ; modernisation | AWSservices : AWS Organizations ; AWS Control Tower |
Récapitulatif
Ce modèle décrit comment migrer un compte Amazon Web Services (AWS) depuis AWS Organizations, où il s'agit d'un compte membre régi par un compte de gestion, vers AWS Control Tower. En inscrivant le compte dans AWS Control Tower, vous pouvez bénéficier de dispositifs de sécurité et de fonctionnalités de prévention et de détection qui rationalisent la gouvernance de votre compte. Vous souhaiterez peut-être également migrer votre compte membre si votre compte de gestion AWS Organizations a été compromis, et si vous souhaitez transférer les comptes membres vers une nouvelle organisation régie par AWS Control Tower.
AWSControl Tower fournit un cadre qui combine et intègre les fonctionnalités de plusieurs autres AWS services, dont AWS Organizations, et garantit une conformité et une gouvernance cohérentes dans votre environnement multi-comptes. Avec AWS Control Tower, vous pouvez suivre un ensemble de règles et de définitions prescrites qui étendent les capacités des AWS Organizations. Par exemple, vous pouvez utiliser des garde-fous pour vous assurer que les journaux de sécurité et les autorisations d'accès entre comptes nécessaires sont créés, et non modifiés.
Conditions préalables et limitations
Prérequis
Un AWS compte actif
AWSConfiguration de la Control Tower dans votre organisation cible dans AWS Organizations (pour obtenir des instructions, voir Configuration dans la documentation AWS de la Control Tower)
Informations d'identification d'administrateur pour AWS Control Tower (membre du AWSControlTowerAdminsgroupe)
Informations d'identification de l'administrateur pour le AWS compte source
Limites
Le compte de gestion source dans AWS Organizations doit être différent du compte de gestion cible dans AWS Control Tower.
Versions du produit
AWSControl Tower version 2.3 (février 2020) ou ultérieure (voir les notes de publication)
Architecture
Le schéma suivant illustre le processus de migration et l'architecture de référence. Ce modèle fait migrer le AWS compte de l'organisation source vers une organisation cible régie par AWS Control Tower.
Le processus d'inscription comprend les étapes suivantes :
Le compte quitte l'organisation source dans AWS Organizations.
Le compte devient un compte autonome. Cela signifie qu'il n'appartient à aucune organisation, de sorte que la gouvernance et la facturation sont gérées indépendamment par les administrateurs de compte.
L'organisation cible envoie une invitation pour que le compte rejoigne l'organisation.
Le compte autonome accepte l'invitation et devient membre de l'organisation cible.
Le compte est inscrit dans AWS Control Tower et transféré vers une unité organisationnelle (UO) enregistrée. (Nous vous recommandons de consulter le tableau de bord de AWS Control Tower pour confirmer l'inscription.) À ce stade, tous les garde-corps activés dans l'unité d'organisation enregistrée prennent effet.
Outils
AWSservices
AWSOrganizations est un service de gestion de comptes qui vous permet de consolider plusieurs AWS comptes en une seule entité (une organisation) que vous créez et gérez de manière centralisée.
AWSControl Tower intègre les fonctionnalités d'autres services, notamment AWS Organizations, AWS IAM Identity Center (successeur de Single Sign-On) et AWS Service Catalog, pour vous aider à appliquer et à gérer les règles de gouvernance relatives à la sécurité, aux opérations et à la conformité à grande échelle dans l'ensemble de vos organisations et comptes dans le AWS cloud. AWS
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
Vérifiez que le compte du membre peut fonctionner en tant que compte autonome. | Vérifiez que le compte membre qui quittera l'organisation source contient les informations nécessaires pour fonctionner en tant que compte autonome. Par exemple, si le compte membre ne contient pas d'informations de facturation, il ne peut pas fonctionner comme un compte autonome, car il AWS utilise les informations de paiement pour facturer toute AWS activité facturable qui se produit alors que le compte n'est pas rattaché à une organisation. Généralement, si vous avez créé le compte membre à l'aide de la console AWS Organizations ou des commandes AWS Command Line Interface (CLI), les informations requises pour les comptes autonomes ne sont pas automatiquement collectées. API Pour ajouter ces informations, connectez-vous au compte et spécifiez un plan d'assistance, des informations de contact et un mode de paiement. Pour plus d'informations sur ce que vous devez savoir avant de supprimer un compte d'une organisation, consultez la section Avant de supprimer un compte d'une organisation dans la documentation AWS Organizations. | Administrateur du compte |
Supprimez le compte membre de son organisation source. | Suivez les instructions de la documentation AWS des Organisations pour supprimer un compte membre d'une organisation. Vous pouvez vous connecter au compte de gestion de l'organisation et supprimer le compte membre, ou vous connecter au compte membre et quitter l'organisation. Si vous ne disposez pas des informations d'identification de niveau administrateur pour supprimer ou quitter le compte, demandez de l'aide à l'administrateur de votre organisation. S'il manque un plan d'assistance, des coordonnées ou des informations de paiement sur le compte du membre, vous serez invité à fournir et à vérifier ces informations. Lorsque vous quittez l'organisation, vous êtes redirigé vers la page Getting Started de la console AWS Organizations, où vous pouvez consulter les invitations à rejoindre d'autres organisations pour votre compte. Important : à ce stade, votre compte est un compte autonome. Si vos charges de travail ne sont pas couvertes par le niveau AWS gratuit, vous serez débité conformément aux informations de paiement et de facturation que vous avez fournies pour le compte. | Administrateur du compte de gestion ou administrateur du compte |
Vérifiez que le compte du membre ne fait plus partie de l'organisation source. | Dans la console AWS Organizations, vous ne devriez plus voir le bouton Quitter l'organisation. Au lieu de cela, vous devriez voir les invitations en attente, le cas échéant, provenant d'autres organisations. | Administrateur du compte |
Supprimez les IAM rôles qui accordent l'accès à votre compte à l'organisation que vous avez quittée. | Lorsque vous supprimez le compte de l'organisation source, les rôles AWS Identity and Access Management (IAM) créés par AWS Organizations ou par les administrateurs ne sont pas automatiquement supprimés. Pour mettre fin à l'accès depuis le compte de gestion de l'organisation source, vous devez supprimer manuellement les IAM rôles. Pour plus d'informations, consultez la section Suppression de rôles ou de profils d'instance dans la IAM documentation. Lorsqu'un compte membre quitte une organisation, toutes les balises associées au compte sont supprimées. Les comptes autonomes ne prennent pas en charge les tags. | Administrateur du compte |
| Tâche | Description | Compétences requises |
|---|---|---|
Connectez-vous à AWS Control Tower. | Connectez-vous à la console AWS Control Tower en tant qu'administrateur. À l'heure actuelle, il n'existe aucun moyen direct de transférer un AWS compte d'une organisation source vers une organisation au sein d'une unité d'organisation régie par AWS Control Tower. Cependant, vous pouvez étendre la gouvernance de AWS Control Tower à un AWS compte existant lorsque vous l'inscrivez dans une unité d'organisation déjà administrée par AWS Control Tower. C'est pourquoi vous devez vous connecter à AWS Control Tower pour cette étape. | AWSAdministrateur de la Control Tower |
Invitez le compte membre. |
Important : Vérifiez qu'aucune application ou connexion réseau ne sera affectée par le transfert de compte. Cette action envoie un e-mail d'invitation contenant un lien vers le compte du membre. Lorsque l'administrateur du compte suit le lien et accepte l'invitation, le compte du membre apparaît sur la page AWSdes comptes. Pour plus d'informations, consultez la section Inviter un AWS compte à rejoindre votre organisation dans la documentation AWS Organizations. | AWSAdministrateur de la Control Tower |
Testez les applications et la connectivité. | Lorsque le compte du membre a été enregistré dans la nouvelle organisation, il apparaît dans l'unité d'organisation au sein d'une racine. Il apparaît également dans la console AWS Control Tower, marqué comme non inscrit dans les comptes, car il n'a pas encore été inscrit dans l'unité d'organisation enregistrée dans la AWS Control Tower. Vérifiez les paramètres suivants :
| AWSAdministrateur de la Control Tower, Administrateur du compte membre, Propriétaires de l'application |
| Tâche | Description | Compétences requises |
|---|---|---|
Passez en revue les rambardes et corrigez les violations. | Passez en revue les garde-corps définis dans l'unité d'organisation cible, en particulier les garde-corps préventifs, et corrigez les violations éventuelles. Un certain nombre de garde-corps préventifs obligatoires sont activés par défaut lorsque vous configurez la zone d'atterrissage de votre AWS Control Tower. Ils ne peuvent pas être désactivés. Vous devez passer en revue ces garde-fous obligatoires et corriger le compte du membre (manuellement ou à l'aide d'un script) avant d'enregistrer le compte. Remarque : des garde-fous préventifs permettent de garantir la conformité des comptes enregistrés auprès de AWS Control Tower et d'empêcher les violations des politiques. Toute violation des garde-fous préventifs peut affecter l'inscription. Les violations des garde-corps détectées par Detective apparaissent dans le tableau de bord AWS de la Control Tower, si elles sont détectées, une fois l'inscription réussie. Ils n'ont aucune incidence sur le processus d'inscription. Pour plus d'informations, consultez la section Guardrails in AWS Control Tower dans la AWS documentation. | AWSAdministrateur de la Control Tower, administrateur du compte membre |
Vérifiez les problèmes de connectivité après avoir corrigé les violations des garde-corps. | Dans certains cas, vous devrez peut-être fermer des ports spécifiques ou désactiver des services pour corriger les violations des garde-corps. Assurez-vous que les applications qui utilisent ces ports et services sont corrigées avant d'inscrire le compte. | Propriétaire de l'application |
| Tâche | Description | Compétences requises |
|---|---|---|
Connectez-vous à la console AWS Control Tower. | Utilisez des identifiants de connexion dotés d'autorisations administratives pour AWS Control Tower. N'utilisez pas les informations d'identification de l'utilisateur root (compte de gestion) pour inscrire un compte AWS Organizations. Cela affichera un message d'erreur. | AWSAdministrateur de la Control Tower |
Enregistrez le compte. |
Pour plus d'informations, consultez la section Enregistrer un compte existant dans la documentation AWS de Control Tower. | AWSAdministrateur de la Control Tower |
| Tâche | Description | Compétences requises |
|---|---|---|
Vérifiez le compte. | Dans AWS Control Tower, sélectionnez Accounts. L'état initial du compte que vous venez de créer est « Inscription ». Lorsque l'inscription est terminée, son état passe à Inscrit. | AWSAdministrateur de la Control Tower, administrateur du compte membre |
Vérifiez les violations du garde-corps. | Les garde-fous définis dans l'UO s'appliqueront automatiquement au compte du membre inscrit. Surveillez le tableau de bord de la AWS Control Tower pour détecter les violations et corrigez-les en conséquence. Pour plus d'informations, consultez la section Guardrails in AWS Control Tower dans la AWS documentation. | AWSAdministrateur de la Control Tower, administrateur du compte membre |
Résolution des problèmes
| Problème | Solution |
|---|---|
Vous recevez le message d'erreur suivant : Une erreur inconnue s'est produite. Réessayez ultérieurement ou contactez le AWS Support. | Cette erreur se produit lorsque vous utilisez les informations d'identification de l'utilisateur root (compte de gestion) dans AWS Control Tower pour créer un nouveau compte. AWSService Catalog ne parvient pas à associer le portefeuille ou le produit Account Factory à l'utilisateur root, ce qui entraîne le message d'erreur. Pour corriger cette erreur, utilisez des informations d'identification d'utilisateur (administrateur) à accès complet (administrateur) autres que root pour inscrire le nouveau compte. Pour plus d'informations sur la façon d'attribuer un accès administratif à un utilisateur administratif, consultez la documentation Getting Started in the AWS IAM Identity Center (successeur de AWS Single Sign-On). |
La page AWS Control Tower Activities affiche une action Get Catastrophic Drift. | Cette action reflète une vérification à la dérive du service et n'indique aucun problème lié à la configuration AWS de la Control Tower. Aucune action n’est requise. |
Ressources connexes
Documentation
AWSTerminologie et concepts relatifs aux AWS organisations (documentation des organisations)
Qu'est-ce que AWS Control Tower ? (Documentation AWS de la Control Tower)
Supprimer un compte membre de votre organisation (documentation AWS Organizations)
Création d'un compte administrateur dans AWS Control Tower (documentation AWS Control Tower)
Tutoriels et vidéos
