AWS Control Tower e AWS Organizations - AWS Organizations

AWS Control Tower e AWS Organizations

O AWS Control Tower oferece uma maneira simples de configurar e governar um ambiente de várias contas da AWS, seguindo as práticas recomendadas prescritivas. A orquestração do AWS Control Tower amplia os recursos de AWS Organizations. O AWS Control Tower aplica controles preventivos e de detecção (barreiras de proteção) para ajudar a evitar que suas organizações e contas divirjam das práticas recomendadas (drift).

A orquestração do AWS Control Tower amplia os recursos de AWS Organizations.

Para obter mais informações, consulte o Guia do usuário do AWS Control Tower.

Use as informações a seguir para ajudá-lo a integrar o AWS Control Tower ao AWS Organizations.

Funções necessárias para a integração

A função AWSControlTowerExecution deve estar presente em todas as contas cadastradas. Ela permite que o AWS Control Tower gerencie suas contas individuais e relate informações sobre elas nas contas de auditoria e registro em log.

Para saber mais sobre as funções usadas pelo AWS Control Tower, consulte How AWS Control Tower works with roles to create and manage accounts (Como o AWS Control Tower trabalha com perfis para criar e gerenciar contas) e Using Identity-Based Policies (IAM Policies) for AWS Control Tower (Uso de políticas baseadas em identidade (políticas do IAM) para o AWS Control Tower).

Entidades principais de serviço usadas pelo AWS Control Tower

O AWS Control Tower usa a entidade principal de serviço controltower.amazonaws.com.

Habilitar o acesso confiável no AWS Control Tower

O AWS Control Tower usa acesso confiável para detectar desvios de controles preventivos e para rastrear alterações na conta e na UO que causam desvios.

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando apenas as ferramentas do Organizations.

Para habilitar o acesso confiável no console do Organizations, escolha Enable access próximo a AWS Control Tower.

Você pode habilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para habilitar o acesso confiável a serviços usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    Você pode executar o comando a seguir para habilitar o AWS Control Tower como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal controltower.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Desabilitar o acesso confiável no AWS Control Tower

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Você pode desabilitar o acesso confiável usando apenas as ferramentas do Organizations.

Você pode desabilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

  • AWS CLI: disable-aws-service-access

    Você pode executar o comando a seguir para desabilitar o AWS Control Tower como um serviço confiável com o Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal controltower.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: DisableAWSServiceAccess