Habilitar o AWS Control Tower em organizações e contas existentes - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar o AWS Control Tower em organizações e contas existentes

Se você tiverAWS OrganizationseAWS, você pode aplicar guardrails da AWS Control Tower a elas. A maioria dos clientes prefere inscrever grupos de contas registrando toda a unidade organizacional (UO) que contém as contas.

Terminology

  • Quando você traz uma organização existente para a AWS Control Tower, ela é chamadaregistrandoA organização, ouextensão da governançaPara a organização.

  • Quando você traz umAWSna AWS Control Tower, ela é chamadainscriçãoa conta.

Na AWS Control TowerUnidades organizacionais, você pode exibir todas as UOs do emAWS Organizations, incluindo UOs registradas na AWS Control Tower e aquelas que não estão registradas. OContaslista todas as contas em sua organização, independentemente da OU ou do status de inscrição na AWS Control Tower. Você pode exibir e registrar contas individualmente dentro das UOs, se as contas atenderem aos pré-requisitos para inscrição.

Sobre estender a governança a uma organização

É possível adicionar a governança da AWS Control Tower a uma organização existente configurando uma landing zone (LZ) conforme descrito no AWS Control Tower User Guide (Guia do usuário do emIntrodução, Etapa 2.

Veja o que esperar ao configurar sua landing zone da AWS Control Tower em uma organização existente.

  • É possível ter uma landing zone porAWS Organizationsorganização.

  • A AWS Control Tower usa a conta de gerenciamento da suaAWS Organizationsorganização como sua conta de gerenciamento. Nenhuma nova conta de gerenciamento é necessária.

  • O AWS Control Tower configura duas novas contas em uma UO registrada: uma conta de auditoria e uma conta de registro em log.

  • Os limites de serviço da sua organização devem permitir a criação dessas duas contas adicionais.

  • Depois de iniciar sua landing zone ou registrar uma UO, as proteções da AWS Control Tower aplicam-se automaticamente a todas as contas registradas nessa UO.

  • Você podeInscreverexistente adicionalAWSem uma UO que é regida pela AWS Control Tower, para que os guardrails se apliquem a essas contas.

  • Você pode adicionar mais UOs na AWS Control Tower e podeInscreva-seUOs existentes.

Para verificar outros pré-requisitos para registro e inscrição, consulteConceitos básicos da AWS Control Tower.

Veja mais detalhes sobre como a AWS Control Tower protege os guardasNãose aplicam às suas UOs em organizações da AWS que não têm zonas de destino da AWS Control Tower configuradas:

  • As novas contas criadas fora do AWS Control Tower Account Factory não são limitadas pelas proteções da UO registrada.

  • As novas contas criadas em UOs que não estão registradas na AWS Control Tower não são limitadas pelas proteções, a menos que vocêInscreverEssas contas na AWS Control Tower. Consulte Cadastrar uma conta da AWS existente para obter mais informações sobre como registrar contas.

  • Outras organizações existentes, contas existentes e novas UOs ou contas criadas fora da AWS Control Tower, não são limitadas pelas proteções da AWS Control Tower, a menos que você registre separadamente a UO ou inscreva a conta.

Para obter mais informações sobre como aplicar o AWS Control Tower às UOs e contas existentes, consulteRegistrar uma unidade organizacional existente na AWS Control Tower.

Para obter uma visão geral do processo de configuração de uma landing zone da AWS Control Tower em sua organização existente, consulte o vídeo na próxima seção.

nota

Durante a configuração, a AWS Control Tower realiza verificações prévias para evitar problemas comuns. No entanto, se você estiver usando oAWSSolução de zona de destino paraAWS Organizations, verifique com o seuAWSantes de tentar habilitar a AWS Control Tower em sua organização para determinar se a AWS Control Tower pode interferir com a implantação atual da landing zone. Além disso, consulteE se a conta não atender aos pré-requisitos?para obter informações sobre como mover contas de uma landing zone para outra.

Considerações sobre o AWS SSO e organizações existentes

  • Se o AWS Single Sign-On (SSO) já estiver configurado, a região de origem do AWS Control Tower deverá ser a mesma que a AWS SSO Region (região do SSO).

  • A AWS Control Tower não exclui uma configuração existente.

  • Se o AWS SSO já estiver habilitado e você estiver usando o SSO Directory, a AWS Control Tower adicionará recursos como conjuntos de permissões, grupos e assim por diante, e continuará como de costume.

  • Se outro diretório (externo, AD, Managed AD) estiver configurado, a AWS Control Tower não alterará a configuração existente. Para obter mais detalhes, consulte Considerações para aAWS Single Sign-On(AWS SSOClientes.

Acesso a outros serviços da AWS

Depois de trazer sua organização para a governança da AWS Control Tower, você ainda terá acesso a quaisquer serviços da AWS disponíveis por meio de AWS Organizations, por meio do console de AWS Organizations e das APIs. Para obter mais informações, consulte Serviços relacionados da AWS.

Habilitar uma zona de destino em AWS Organizations existentes

Este vídeo (7:48),Conceitos básicos da AWS Control Tower paraAWS Organizations, descreve como configurar e habilitar uma landing zone do AWS Control Tower em AWS Organizations existentes. Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.