本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
注册现有 OU
在 AWS Control Tower 控制台的组织页面上,您可以按层次结构查看组织的所有业务实体和账户,包括在 AWS Control Tower 注册的 OU 和未注册的 OU。
通常,未注册的 OU 是在中创建的 AWS Organizations,并且不受任何其他 landing zone 的管辖。您可以注册最多包含 300 个账户的现有 OU。如果一个 OU 包含的账户超过 300 个,则无法在 AWS Control Tower 中对其进行注册。
注册现有 OU
-
登录 AWS Control Tower 控制台,网址为 https://console.aws.amazon.com/controltower
。 -
在左窗格导航菜单中,选择组织。
-
在 “组织” 页面上,选择要注册的 OU 旁边的单选按钮,然后从右上角的 “操作” 下拉菜单中选择 “注册组织单位”,或者选择 OU 的名称,以便您可以查看该 OU 的 OU 详细信息页面。
-
在 OU 详细信息页面上,您可以从右上角的操作下拉菜单中选择 “注册 OU”。
注册过程至少需要 10 分钟才能将监管范围扩展到 OU,每增加一个账户,最多需要 2 分钟。
注册现有 OU 的结果
在您注册现有 OU 后,该AWSControlTowerExecution角色允许 AWS Control Tower 将监管范围扩展到其个人账户。强制执行防护措施,并将有关账户活动的信息报告给您的审计和日志账户。
其他结果包括以下内容:
-
AWSControlTowerExecution允许通过 AWS Control Tower 审计账户进行审计。 -
AWSControlTowerExecution帮助您配置组织的日志记录,以便将每个账户的所有日志发送到日志帐户。 -
AWSControlTowerExecution确保您选择的 AWS Control Tower 控制措施自动应用于您的 OU 中的每个个人账户以及您在 AWS Control Tower 中创建的每个新账户。
对于注册的 OU,您可以根据 AWS Control Tower 控件所包含的审计和日志功能提供合规和安全报告。您的安全性和合规性团队可以验证是否满足所有要求,并且没有发生组织偏差。有关漂移的更多信息,请参阅在 AWS Control Tower 中检测并解决偏差。
注意
当 AWS Control Tower 显示 OU 及其账户时,可能会出现一种异常情况。如果您在已注册的 OU 中创建了一个账户,然后又将该注册账户转移到另一个未注册的 OU 中,特别是如果您使用 AWS Organizations 转移账户,则可以在您的 OU 详细信息页面中看到 “0 个账户中的 1 个” 的结果。此外,您可能在该未注册的 OU 中创建了另一个未注册的帐户。如果有未注册的帐户,主机可能会显示 OU 的 “1 of 1”。看来单个(新创建的)账户已注册,但事实并非如此。您必须注册新账户。
