Planejar sua landing zone do AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Planejar sua landing zone do AWS Control Tower

Quando você passar pelo processo de configuração, a AWS Control Tower iniciará um recurso importante associado à sua conta, chamadolanding zone, que serve como um lar para suas organizações e suas contas.

nota

É possível ter uma zona de destino por organização.

Para obter informações sobre algumas práticas recomendadas a serem seguidas durante o planejamento e configurar sua landing zone, consulteAWSestratégia de várias contas para sua landing zone da AWS Control Tower.

Maneiras de configurar a AWS Control Tower

Você pode configurar uma landing zone AWS Control Tower em uma organização existente ou pode começar criando uma nova organização que contenha sua landing zone da AWS Control Tower.

nota

Se você já tem umAWS Organizationslanding zone, você pode estender a governança da AWS Control Tower da zona de aterrissagem existente para algumas ou todas as suas OUs e contas existentes dentro de uma organização. ConsulteGovernar organizações e contas existentes.

Compare a funcionalidade

Aqui está uma breve comparação das diferenças entre adicionar a AWS Control Tower a uma organização existente ou estender a governança da AWS Control Tower para OUs e contas. Além disso, algumas considerações especiais se aplicam se você estiver migrando da solução AWS Landing Zone para a AWS Control Tower.

Sobre a adição a uma organização existente: Adicionar a AWS Control Tower a uma organização existente é algo que você pode realizar no console da AWS. Nesse caso, você já tem uma organização que criou no serviço AWS Organizations, essa organização não está atualmente registrada na AWS Control Tower e você desejaadicionar uma landing zone depois.

Quando vocêadicionaruma landing zone para uma organização existente, a AWS Control Tower configura uma estrutura parallel, no nível das AWS Organizations. Isso não altera as OUs e as contas dentro da sua organização existente.

Sobre como estender a governança: A ampliação da governança se aplica a OUs e contas específicasdentro de uma única organização que já está registradacom a AWS Control Tower, o que significa que já existe uma landing zone para essa organização. Estender a governança significa que os guarda-corpos da AWS Control Tower são estendidos para que suas restrições se apliquem às OUs e contas específicas dentro dessa organização registrada. Nesse caso, você não está lançando uma nova landing zone, você está apenas expandindo a landing zone atual para sua organização.

Importante

Consideração especial: Se você estiver usando oSolução AWS Landing Zone (ALZ)peloAWS Organizations, verifique com seuAWSarquiteta de soluções antes de tentar habilitar a AWS Control Tower em sua organização. A AWS Control Tower não pode realizar verificações prévias que determinem se a AWS Control Tower pode interferir na implantação da sua zona de aterrissagem atual. Para obter mais informações, consulte Passo a passo: Mover da ALZ para a AWS Control Tower. Além disso, para obter informações sobre como mover contas de uma landing zone para outra, consulteE se a conta não atender aos pré-requisitos?

Executar a AWS Control Tower em uma organização existente

Ao configurar uma landing zone do AWS Control Tower, é possível começar a trabalhar imediatamente, em parallel com suaAWS Organizationsambiente do. Suas outras OUs criadas dentroAWS Organizationsnão são alteradas, pois não estão registradas com a AWS Control Tower. É possível continuar a usar essas UOs e contas exatamente como estão.

A AWS Control Tower consolida, usando a conta de gerenciamento da sua organização existente como conta de gerenciamento. Nenhuma nova conta de gerenciamento é necessária. Você pode iniciar sua landing zone da AWS Control Tower a partir da sua conta de gerenciamento existente.

nota

Para configurar a AWS Control Tower (configurar a AWS Control Tower), seus limites de serviço devem permitir a criação de pelo menos duas contas adicionais.

Efeitos da adição da AWS Control Tower à sua organização atual

A AWS Control Tower cria duas contas em sua organização: uma conta de auditoria e uma conta de registro em log. Essas contas mantêm um registro das ações realizadas por sua equipe, em suas contas de usuário individuais. OAuditoriaeGuardar logscontas aparecem naSegurançaUO dentro da landing zone do AWS Control Tower.

Quando você configurar sua landing zone, as contas adicionadas pelo AWS Control Tower se tornarão parte do seuAWS Organizations, e, como tal, elas se tornarão parte da cobrança da sua organização existente.

Resumo dos recursos

Habilitando a AWS Control Tower em umAWS OrganizationsA organização fornece vários aprimoramentos importantes para a organização.

  • Ele permite a cobrança unificada em todos os grupos da sua organização, pois as contas adicionadas pelo AWS Control Tower farão parte da sua organização existente.

  • Ele oferece a capacidade de administrar todas as contas de uma conta de gerenciamento em sua UO.

  • Ele simplifica a forma como você aplica proteções que abrangem a segurança e a conformidade para contas novas e existentes.

Importante

Executar a landing zone do AWS Control Tower em umaAWS OrganizationsA organização não permite estender a governança do AWS Control Tower para outras UOs ou contas que não estão registradas com a AWS Control Tower.

Para executar a AWS Control Tower (Iniciar a AWS Control Tower), siga o processo descrito emConceitos básicos do AWS Control Tower.

Para obter mais informações sobre como a AWS Control Tower interage com AWS Organizations existentes, consulteHabilitar o AWS Control Tower em organizações e contas.

Executar a AWS Control Tower em uma nova organização

Se você é novo com a AWS Control Tower e ainda não trabalhou com oAWS Organizations, o melhor lugar para começar é com nossoConfiguraçãodocument.

A AWS Control Tower configura uma organização automaticamente quando você não tem uma configurada.