Registrare un'unità organizzativa esistente

Nella console AWS Control Tower, nella pagina Organizzazione, puoi visualizzare tutti gli account OUs e gli account della tua organizzazione in una gerarchia, compresi OUs quelli registrati con AWS Control Tower e quelli non registrati.

In generale, i non registrati OUs sono stati creati in AWS Organizations e non sono governati da nessun'altra landing zone. È possibile registrare account esistenti OUs che contengono fino a 1000 account. Se un'unità organizzativa contiene più di 1000 account, non è possibile registrarla in AWS Control Tower.

Per registrare un'unità organizzativa esistente dalla console

1. Accedi alla console AWS Control Tower all'indirizzo https://console.aws.amazon.com/controltower.

2. Nel menu di navigazione a sinistra, scegli Organizzazione.

3. Nella pagina Organizzazione, seleziona il pulsante di opzione accanto all'unità organizzativa che desideri registrare, quindi seleziona Registra unità organizzativa dal menu a discesa Azioni in alto a destra o, in alternativa, seleziona il nome dell'unità organizzativa in modo da poter visualizzare la pagina dei dettagli dell'unità organizzativa per quell'unità organizzativa.

4. Nella pagina dei dettagli dell'unità organizzativa, in alto a destra, puoi selezionare Register OU dal menu a discesa Azioni.

Il processo di registrazione richiede almeno 10 minuti per estendere la governance all'unità organizzativa e fino a 2 minuti aggiuntivi per ogni account aggiuntivo.

Per registrare un'unità organizzativa esistente con APIs

Per registrare un'unità organizzativa esistente presso AWS Control Tower APIs, puoi chiamare l'EnableBaselineAPI con il AWSControlTowerBaseline comando baselineIdentifier sul campo. Per ulteriori informazioni, consulta Registrare un'unità organizzativa AWS Control Tower APIs solo con.

Risultati della registrazione di un'unità organizzativa esistente

Dopo aver registrato un'unità organizzativa esistente, il AWSControlTowerExecution ruolo consente ad AWS Control Tower di estendere la governance ai singoli account. I guardrail vengono applicati e le informazioni sulle attività degli account vengono riportate agli account di controllo e registrazione.

Tra gli altri risultati si annoverano i seguenti:

• AWSControlTowerExecution consente il controllo da parte dell'account di controllo AWS Control Tower.

• AWSControlTowerExecutionti aiuta a configurare la registrazione della tua organizzazione, in modo che tutti i log di ogni account vengano inviati all'account di registrazione.

• AWSControlTowerExecutionassicura che i controlli AWS Control Tower selezionati si applichino automaticamente a ogni singolo account nel tuo OUs account e a ogni nuovo account che crei in AWS Control Tower.

Per un'unità organizzativa registrata, puoi fornire report di conformità e sicurezza basati sulle funzionalità di audit e registrazione incorporate nei controlli di AWS Control Tower. I team di sicurezza e conformità possono verificare che tutti i requisiti siano soddisfatti e che non si sia verificata alcuna deriva organizzativa. Per ulteriori informazioni su drift, consulta. Rileva e risolvi la deriva in AWS Control Tower

Nota

Una situazione insolita può verificarsi quando AWS Control Tower visualizza OUs e i relativi account. Se hai creato un account in un'unità organizzativa registrata e successivamente trasferisci quell'account registrato in un'altra unità organizzativa non registrata, in particolare se utilizzi l'account AWS Organizations per spostare l'account, puoi vedere il risultato «1 di 0» account nella pagina dei dettagli dell'unità organizzativa. Inoltre, è possibile che l'utente abbia creato un altro account non registrato in quell'unità organizzativa non registrata. Se è presente un account non registrato, la console potrebbe indicare «1 di 1» per l'unità organizzativa. Sembrerà che l'account singolo (appena creato) sia registrato, ma in realtà non lo è. È necessario registrare il nuovo account.