As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Planejar a zona de pouso do AWS Control Tower
Quando você passa pelo processo de configuração, o AWS Control Tower inicia um recurso principal associado à sua conta, chamado zona de pouso, que serve como uma casa para suas organizações e suas contas.
nota
É possível ter uma zona de pouso por organização.
Consulte informações sobre algumas das práticas recomendadas a serem seguidas ao planejar e configurar a zona de pouso em AWS estratégia de várias contas para sua landing zone do AWS Control Tower.
Maneiras de configurar o AWS Control Tower
É possível configurar uma zona de pouso do AWS Control Tower em uma organização existente ou começar criando uma organização que contenha sua zona de pouso do AWS Control Tower.
-
Iniciar o AWS Control Tower em uma organização existente: Esta seção é para clientes que já AWS Organizations estão prontos para serem adotados pela AWS Control Tower.
-
Iniciar o AWS Control Tower em uma nova organização: Esta seção é para clientes sem contas existentes AWS Organizations OUs, e.
nota
Se você já tem uma AWS Organizations landing zone, você pode estender a governança do AWS Control Tower da zona de pouso existente para algumas ou todas as suas contas existentes OUs e dentro de uma organização. Consulte Govern existing organizations and accounts.
Comparar funcionalidades
Aqui está uma breve comparação das diferenças entre adicionar o AWS Control Tower a uma organização existente ou estender a governança do AWS Control Tower para contas OUs e contas. Além disso, algumas considerações especiais se aplicam se você estiver migrando da solução AWS Landing Zone para o AWS Control Tower.
Sobre a adição a uma organização existente: adicionar o AWS Control Tower a uma organização existente é algo que você pode fazer no Console da AWS . Nesse caso, você já tem uma organização que você criou no AWS Organizations serviço, essa organização não está atualmente registrada no AWS Control Tower e você deseja adicionar uma landing zone posteriormente.
Quando você adiciona uma landing zone a uma organização existente, o AWS Control Tower configura uma estrutura paralela, no AWS Organizations nível. Isso não altera as contas OUs e em sua organização existente.
Sobre a extensão da governança: A extensão da governança se aplica a contas específicas OUs dentro de uma única organização que já está registrada no AWS Control Tower, o que significa que já existe uma landing zone para essa organização. Estender a governança significa que os controles do AWS Control Tower são estendidos para que suas restrições se apliquem às contas específicas OUs dessa organização registrada. Nesse caso, você não está lançando uma nova zona de pouso, está apenas expandindo a zona de pouso atual para sua organização.
Importante
Consideração especial: Se você está usando atualmente a solução AWS Landing Zone (ALZ)
Iniciar o AWS Control Tower em uma organização existente
Ao configurar uma landing zone do AWS Control Tower em uma organização existente, você pode começar a trabalhar imediatamente, paralelamente ao seu AWS Organizations ambiente atual. Seus outros OUs criados dentro permanecem AWS Organizations inalterados, porque não estão registrados no AWS Control Tower. Você pode continuar a usá-las OUs e as contas exatamente como estão.
O AWS Control Tower consolida usando a conta de gerenciamento da organização existente como sua conta de gerenciamento. Nenhuma nova conta de gerenciamento é necessária. É possível iniciar sua zona de pouso do AWS Control Tower por sua conta de gerenciamento existente.
nota
Para configurar o AWS Control Tower em uma organização existente, seus limites de serviço devem permitir a criação de pelo menos duas contas adicionais.
Efeitos da adição do AWS Control Tower à sua organização existente
O AWS Control Tower adiciona duas contas à sua organização: uma conta de auditoria e uma conta de registro em log. Essas contas mantêm um registro das ações realizadas por sua equipe, em suas contas de usuário final individuais. As contas de Auditoria e Arquivamento de logs aparecem na UO de Segurança na zona de pouso do AWS Control Tower.
Quando você configura sua landing zone, as contas adicionadas pelo AWS Control Tower se tornam parte de sua organização existente e AWS Organizations, como tal, tornam-se parte do faturamento de sua organização atual.
Resumo dos recursos
Habilitar o AWS Control Tower em uma AWS Organizations organização existente proporciona vários aprimoramentos importantes para a organização.
-
Ele permite a cobrança unificada em todos os grupos da organização, pois as contas adicionadas pelo AWS Control Tower farão parte da sua organização existente.
-
Ele permite administrar todas as contas de uma conta de gerenciamento em sua UO.
-
Ele simplifica a forma como você aplica os controles que abrangem a segurança e a conformidade para contas novas e existentes.
Importante
Lançar sua zona de pouso da AWS Control Tower em uma AWS Organizations organização existente não permite que você estenda a governança da AWS Control Tower dessa organização para outras OUs ou contas que não estejam registradas na AWS Control Tower.
Para executar o AWS Control Tower em sua organização existente, siga o processo descrito em Conceitos básicos do AWS Control Tower.
Para obter mais informações sobre como o AWS Control Tower interage com AWS Organizations organizações existentes, consulteAdministrar organizações e contas com o AWS Control Tower.
Iniciar o AWS Control Tower em uma nova organização
Se você é novo no AWS Control Tower e ainda não trabalhou com ele AWS Organizations, o melhor lugar para começar é com nosso Configurar documento.
O AWS Control Tower configura uma organização automaticamente quando você não tem uma configurada.
