Pré-requisito: verificações automáticas de pré-lançamento para sua conta de gerenciamento - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisito: verificações automáticas de pré-lançamento para sua conta de gerenciamento

Antes de configurar a landing zone, o AWS Control Tower executa automaticamente uma série de verificações de pré-lançamento em sua conta. Não é necessária nenhuma ação de sua parte para essas verificações, que garantem que sua conta de gerenciamento esteja pronta para as mudanças que estabelecem sua landing zone. Aqui estão as verificações que o AWS Control Tower executa antes de configurar uma landing zone:

  • Os limites de serviço existentes para o Conta da AWS devem ser suficientes para o lançamento do AWS Control Tower. Para ter mais informações, consulte Limitações e cotas na AWS Control Tower.

  • Eles Conta da AWS devem ser assinantes dos seguintes AWS serviços:

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    nota

    Por padrão, todas as contas são inscritas nesses serviços.

Considerações para clientes AWS IAM Identity Center (IAM Identity Center)

  • Se o AWS IAM Identity Center (IAM Identity Center) já estiver configurado, a região de origem do AWS Control Tower deve ser a mesma que a região do IAM Identity Center.

  • O IAM Identity Center só pode ser instalado na conta de gerenciamento de uma organização.

  • Três opções se aplicam ao seu diretório do IAM Identity Center, com base na fonte de identidade que você escolher:

    • Armazenamento de usuários do IAM Identity Center: se o AWS Control Tower estiver configurado com o IAM Identity Center, o AWS Control Tower cria grupos no diretório do IAM Identity Center e provisiona o acesso a esses grupos, para o usuário selecionado, para contas de membros.

    • Active Directory: se o IAM Identity Center for AWS Control Tower estiver configurado com o Active Directory, o AWS Control Tower não gerenciará o diretório do IAM Identity Center. Ele não atribui usuários ou grupos a novas AWS contas.

    • Provedor de identidade externo: se o IAM Identity Center for AWS Control Tower estiver configurado com um provedor de identidade externo (IdP), o AWS Control Tower criará grupos no diretório do IAM Identity Center e provisiona o acesso a esses grupos para o usuário selecionado para contas de membros. Você pode especificar um usuário existente do seu IdP externo no Account Factory durante a criação da conta, e o AWS Control Tower concede a esse usuário acesso à conta recém-vendida ao sincronizar usuários com o mesmo nome entre o IAM Identity Center e o IdP externo. Você também pode criar grupos em seu IdP externo para corresponder aos nomes dos grupos padrão no AWS Control Tower. Quando você atribui usuários a esses grupos, esses usuários terão acesso às suas contas inscritas.

    Para obter mais informações sobre como trabalhar com o IAM Identity Center e o AWS Control Tower, consulte Coisas que você deve saber sobre as contas do IAM Identity Center e o AWS Control Tower

Considerações para AWS Config e para clientes AWS CloudTrail

  • Conta da AWS Não é possível ter acesso confiável habilitado na conta de gerenciamento da organização para AWS Config ou CloudTrail. Para obter informações sobre como desabilitar o acesso confiável, consulte a AWS Organizations documentação sobre como habilitar ou desabilitar o acesso confiável.

  • Se você tem um AWS Config gravador, canal de entrega ou configuração de agregação existente em qualquer conta existente que planeja inscrever no AWS Control Tower, você deve modificar ou remover essas configurações antes de começar a cadastrar as contas, depois que sua landing zone estiver configurada. Essa pré-verificação não se aplica à conta de gerenciamento do AWS Control Tower durante o lançamento da landing zone. Para ter mais informações, consulte Inscrever contas que tenham recursos existentes AWS Config.

  • Se você estiver executando cargas de trabalho efêmeras a partir de contas no AWS Control Tower, poderá observar um aumento nos custos associados ao Config. AWS Entre em contato com seu representante de AWS conta para obter informações mais específicas sobre como gerenciar esses custos.

  • Quando você inscreve uma conta no AWS Control Tower, sua conta é governada pela AWS CloudTrail trilha da organização da AWS Control Tower. Se você já tiver uma implantação de uma CloudTrail trilha na conta, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la no AWS Control Tower. Para obter informações sobre trilhas em nível organizacional e o AWS Control Tower, consulte. Definição de preço

nota

Durante o lançamento, os endpoints do AWS Security Token Service (STS) devem ser ativados na conta de gerenciamento para todas as regiões governadas pelo AWS Control Tower. Caso contrário, a execução pode falhar no meio do processo de configuração.