Linee guida per la creazione e la modifica delle risorse AWS Control Tower - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Linee guida per la creazione e la modifica delle risorse AWS Control Tower

Consigliamo le seguenti best practice per creare e modificare risorse in AWS Control Tower. Queste linee guida potrebbero cambiare quando il servizio viene aggiornato. Ricorda che il modello di responsabilità condivisa si applica al tuo ambiente AWS Control Tower.

Informazioni generali

  • Non modificare o eliminare alcuna risorsa creata da AWS Control Tower, incluse le risorse nell'account di gestione, negli account condivisi e negli account dei membri. Se modifichi queste risorse, ti potrebbe essere richiesto di aggiornare la landing zone o registrare nuovamente un'unità organizzativa e la modifica può comportare rapporti di conformità imprecisi.

    In particolare:

    • Mantieni un AWS Config registratore attivo. Se elimini il tuo registratore Config, i controlli investigativi non possono rilevare e segnalare la deriva. Le risorse non conformi possono essere segnalate come conformi a causa di informazioni insufficienti.

    • Non modificare o eliminare i ruoli AWS Identity and Access Management (IAM) creati all'interno degli account condivisi nell'unità organizzativa (OU) di sicurezza. La modifica di questi ruoli può richiedere l'aggiornamento della landing zone.

    • Non eliminare il AWSControlTowerExecution ruolo dai tuoi account membro, nemmeno negli account non registrati. In caso affermativo, non sarà possibile registrare questi account con AWS Control Tower o registrare le relative unità organizzative principali.

  • Non impedirne l'utilizzo Regioni AWS tramite SCP o AWS Security Token Service ().AWS STS In questo modo AWS Control Tower entrerà in uno stato non definito. Se non autorizzi le Regioni con AWS STS, la funzionalità fallirà in quelle regioni, poiché l'autenticazione non sarebbe disponibile in quelle regioni. Affidati invece alla funzionalità di negazione della regione AWS Control Tower, come illustrato nel controllo, Deny access to in AWS base alla richiesta Regione AWS, che funziona a livello di landing zone, o alla regione di controllo Deny control applicata all'unità organizzativa, che funziona a livello di unità organizzativa per limitare l'accesso alle regioni.

  • L' AWS Organizations FullAWSAccessSCP deve essere applicato e non deve essere unito ad altri SCP. Le modifiche a questo SCP non vengono segnalate come deviazioni; tuttavia, alcune modifiche possono influire sulla funzionalità di AWS Control Tower in modi imprevedibili, se l'accesso a determinate risorse viene negato. Ad esempio, se l'SCP viene scollegato o modificato, un account potrebbe perdere l'accesso a un AWS Config registratore o creare una lacuna nella registrazione. CloudTrail

  • Non utilizzare l' AWS Organizations DisableAWSServiceAccessAPI per disattivare l'accesso del servizio AWS Control Tower all'organizzazione in cui hai configurato la landing zone. In tal caso, alcune funzionalità di rilevamento della deriva di AWS Control Tower potrebbero non funzionare correttamente senza il supporto di messaggistica di. AWS Organizations Queste funzionalità di rilevamento delle deviazioni aiutano a garantire che AWS Control Tower sia in grado di riportare in modo accurato lo stato di conformità delle unità organizzative, degli account e dei controlli dell'organizzazione. Per ulteriori informazioni, consulta API_DisableAWSServiceAccessl' AWS Organizations API Reference.

  • In generale, AWS Control Tower esegue una singola azione alla volta, che deve essere completata prima che possa iniziare un'altra azione. Ad esempio, se si tenta di effettuare il provisioning di un account mentre il processo di attivazione di un controllo è già in corso, il provisioning dell'account avrà esito negativo.

    Eccezione:

    • AWS Control Tower consente azioni simultanee per distribuire controlli opzionali. Per ulteriori informazioni, consulta Distribuzione simultanea per i controlli opzionali.

    • AWS Control Tower consente fino a dieci azioni simultanee di creazione, aggiornamento o registrazione sugli account, con Account Factory.

Nota

Per ulteriori informazioni sulle risorse create da AWS Control Tower, consultaCosa sono gli account condivisi?.

Suggerimenti su account e unità organizzative

  • Si consiglia di mantenere ogni unità organizzativa registrata fino a un massimo di 300 account, in modo da poter aggiornare tali account con la funzionalità di nuova registrazione dell'unità organizzativa ogni volta che sono necessari aggiornamenti degli account, ad esempio quando si configurano nuove regioni per la governance.

  • Per ridurre il tempo necessario per la registrazione di un'unità organizzativa, si consiglia di mantenere il numero di account per unità organizzativa a circa 150, anche se il limite è di 300 account per unità organizzativa. Come regola generale, il tempo necessario per registrare un'unità organizzativa aumenta in base al numero di regioni in cui opera l'unità organizzativa, moltiplicato per il numero di account nell'unità organizzativa.

  • Secondo le stime, un'unità organizzativa con 150 account richiede circa 2 ore per la registrazione e l'attivazione dei controlli e circa 1 ora per la nuova registrazione. Inoltre, un'unità organizzativa con molti controlli richiede più tempo per la registrazione rispetto a un'unità organizzativa con pochi controlli.

  • Una delle preoccupazioni legate alla concessione di un periodo di tempo più lungo per la registrazione di un'unità organizzativa è che questo processo blocca altre azioni. Alcuni clienti sono disposti a concedere tempi più lunghi per registrare o registrare nuovamente un'unità organizzativa, perché preferiscono consentire più account in ciascuna unità organizzativa.