Panduan untuk membuat dan memodifikasi sumber daya AWS Control Tower - AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Panduan untuk membuat dan memodifikasi sumber daya AWS Control Tower

Kami merekomendasikan praktik terbaik berikut saat Anda membuat dan memodifikasi sumber daya di AWS Control Tower. Panduan ini mungkin berubah saat layanan diperbarui. Ingatlah bahwa model tanggung jawab bersama berlaku untuk lingkungan AWS Control Tower Anda.

Bimbingan Umum

  • Jangan mengubah atau menghapus sumber daya apa pun yang dibuat oleh AWS Control Tower, termasuk sumber daya di akun manajemen, di akun bersama, dan di akun anggota. Jika Anda memodifikasi sumber daya ini, Anda mungkin diminta untuk memperbarui landing zone atau mendaftarkan ulang OU, dan modifikasi dapat mengakibatkan pelaporan kepatuhan yang tidak akurat.

    Secara khusus:

    • Simpan AWS Config perekam aktif. Jika Anda menghapus perekam Config, kontrol detektif tidak dapat mendeteksi dan melaporkan penyimpangan. Sumber daya yang tidak sesuai dapat dilaporkan sebagai Compliant karena informasi yang tidak mencukupi.

    • Jangan mengubah atau menghapus peran AWS Identity and Access Management (IAM) yang dibuat dalam akun bersama di unit organisasi Keamanan (OU). Modifikasi peran ini dapat memerlukan pembaruan ke landing zone Anda.

    • Jangan hapus AWSControlTowerExecution peran dari akun anggota Anda, bahkan di akun yang tidak terdaftar. Jika ya, Anda tidak akan dapat mendaftarkan akun ini dengan AWS Control Tower, atau mendaftarkan OU induk langsung mereka.

  • Jangan melarang penggunaan apapun Wilayah AWS melalui SCP atau AWS Security Token Service ()AWS STS. Melakukannya akan menyebabkan AWS Control Tower memasuki status tidak terdefinisi. Jika Anda melarang Wilayah dengan AWS STS, fungsionalitas Anda akan gagal di Wilayah tersebut, karena otentikasi tidak akan tersedia di Wilayah tersebut. Sebagai gantinya, andalkan kemampuan penolakan Wilayah AWS Control Tower, seperti yang ditunjukkan dalam kontrol, Tolak akses AWS berdasarkan permintaan Wilayah AWS, yang berfungsi pada tingkat landing zone, atau kontrol Wilayah menolak kontrol yang diterapkan pada OU, yang bekerja di tingkat OU untuk membatasi akses ke Wilayah.

  • AWS Organizations FullAWSAccessSCP harus diterapkan dan tidak boleh digabungkan dengan SCP lainnya. Perubahan pada SCP ini tidak dilaporkan sebagai drift; namun, beberapa perubahan dapat memengaruhi fungsionalitas AWS Control Tower dengan cara yang tidak dapat diprediksi, jika akses ke sumber daya tertentu ditolak. Misalnya, jika SCP terlepas, atau dimodifikasi, akun mungkin kehilangan akses ke AWS Config perekam atau membuat celah dalam CloudTrail pencatatan.

  • Jangan gunakan AWS Organizations DisableAWSServiceAccess API untuk mematikan akses layanan AWS Control Tower ke organisasi tempat Anda menyiapkan landing zone. Jika Anda melakukannya, fitur deteksi drift AWS Control Tower tertentu mungkin tidak berfungsi dengan baik tanpa dukungan pesan dari AWS Organizations. Fitur deteksi drift ini membantu menjamin AWS Control Tower dapat melaporkan status kepatuhan unit organisasi, akun, dan kontrol di organisasi Anda secara akurat. Untuk informasi selengkapnya, lihat API_DisableAWSServiceAccessdi Referensi AWS Organizations API.

  • Secara umum, AWS Control Tower melakukan satu tindakan pada satu waktu, yang harus diselesaikan sebelum tindakan lain dapat dimulai. Misalnya, jika Anda mencoba menyediakan akun saat proses mengaktifkan kontrol sudah beroperasi, penyediaan akun akan gagal.

    Pengecualian:

    • AWS Control Tower memungkinkan tindakan bersamaan untuk menerapkan kontrol opsional. Untuk informasi selengkapnya, lihat Penerapan bersamaan untuk kontrol opsional.

    • AWS Control Tower memungkinkan hingga sepuluh tindakan membuat, memperbarui, atau mendaftarkan akun secara bersamaan, dengan Account Factory.

catatan

Untuk informasi selengkapnya tentang sumber daya yang dibuat oleh AWS Control Tower, lihatApa saja akun bersama?.

Kiat tentang akun dan OU

  • Kami menyarankan agar Anda menyimpan setiap OU yang terdaftar hingga maksimum 300 akun, sehingga Anda dapat memperbarui akun tersebut dengan kemampuan Register Ulang OU setiap kali pembaruan akun diperlukan, seperti saat Anda mengonfigurasi Wilayah baru untuk tata kelola.

  • Untuk mengurangi waktu yang diperlukan saat mendaftarkan OU, kami sarankan Anda menyimpan jumlah akun per OU menjadi sekitar 150, meskipun batasnya adalah 300 akun per OU. Sebagai aturan umum, waktu yang diperlukan untuk mendaftarkan OU meningkat sesuai dengan jumlah Wilayah di mana OU Anda beroperasi, dikalikan dengan jumlah akun di OU.

  • Sebagai perkiraan, OU dengan 150 akun membutuhkan sekitar 2 jam untuk mendaftar dan mengaktifkan kontrol, dan sekitar 1 jam untuk mendaftar ulang. Juga, OU yang memiliki banyak kontrol membutuhkan waktu lebih lama untuk mendaftar daripada OU dengan sedikit kontrol.

  • Satu kekhawatiran tentang mengizinkan jangka waktu yang lebih lama untuk mendaftarkan OU adalah bahwa proses ini memblokir tindakan lain. Beberapa pelanggan merasa nyaman membiarkan waktu yang lebih lama untuk mendaftar atau mendaftar ulang OU, karena mereka lebih suka mengizinkan lebih banyak akun di setiap OU.