操作方法 AWS 区域与 Cont AWS rol Tower 配合使用 - AWS Control Tower
配置您的 Cont AWS rol Tower 区域配置区域时避免混合治理OU 级别区域拒绝控制的注意事项

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

操作方法 AWS 区域与 Cont AWS rol Tower 配合使用

目前,以下版本支持 Cont AWS rol Tower AWS 区域:

  • 美国东部(弗吉尼亚州北部)

  • 美国东部(俄亥俄州)

  • 美国西部(俄勒冈州)

  • 加拿大(中部)

  • 亚太地区(悉尼)

  • 亚太地区(新加坡)

  • 欧洲地区(法兰克福)

  • 欧洲地区(爱尔兰)

  • Europe (London)

  • 欧洲地区(斯德哥尔摩)

  • 亚太地区(孟买)

  • 亚太地区(首尔)

  • Asia Pacific (Tokyo)

  • 欧洲地区(巴黎)

  • 南美洲(圣保罗)

  • 美国西部(加利福尼亚北部)

  • 亚太地区(香港)

  • 亚太地区(雅加达)

  • 亚太地区(大阪)

  • 欧洲地区(米兰)

  • 非洲(开普敦)

  • 中东(巴林)

  • 以色列(特拉维夫)

  • 中东 (UAE)

  • 欧洲(西班牙)

  • 亚太地区(海得拉巴)

  • 欧洲(苏黎世)

  • 亚太地区(墨尔本)

  • 加拿大西部(卡尔加里)

关于你的家乡地区

当你创建着陆区时,你用来进入着陆区域的区域 AWS 管理控制台成为您的家 AWS Contro AWS l Tower 的区域。在创建过程中,一些资源是在主区域中配置的。其他资源,例如OUs和 AWS 账户,是全球性的。

选择主区域后,您无法对其进行更改。

控件和区域

目前,所有预防性控制措施都在全球范围内发挥作用。但是,Detective 和主动控制仅在支持 Cont AWS rol Tower 的地区起作用。有关在新区域中激活 Contro AWS l Tower 时控件行为的更多信息,请参阅配置您的 Cont AWS rol Tower 区域

配置您的 Cont AWS rol Tower 区域

本节描述了当你将 Cont AWS rol Tower 着陆区扩展到新的着陆区时可能出现的行为 AWS 区域,或者从 landing zone 配置中移除区域。通常,此操作是通过 Cont AWS rol Tower 控制台的更新功能执行的。

注意

我们建议您避免将 Cont AWS rol Tower 着陆区扩展到 AWS 您不需要运行工作负载的区域。选择退出某个区域并不会阻止您在该区域部署资源,但这些资源将不在 Cont AWS rol Tower 的管理范围内。

在配置新区域期间,Cont AWS rol Tower 会更新着陆区,这意味着它会为你的着陆区设定基线

  • 在所有新选定的地区积极开展业务,以及

  • 停止管理已取消选定地区的资源。

在此着陆区更新过程中,不会更新您的组织单位 (OUs) 中由 Cont AWS rol Tower 管理的个人帐户。因此,您必须通过重新注册来更新您的OUs帐户。

配置 Contro AWS l Tower 区域时,请注意以下建议和限制:

  • 选择您计划托管的区域 AWS 资源或工作负载。

  • 选择退出某个区域并不会阻止您在该区域部署资源,但这些资源将不在 Cont AWS rol Tower 的管理范围内。

当你为新区域配置着陆区时,Cont AWS rol Tower 侦探控件将遵守以下规则:

  • 存在的东西保持不变。在现有区域中,现有账户的护栏行为,无论是侦查还是预防性的,都保持不变。OUs

  • 您不能对OUs包含未更新的现有账户应用新的侦探控件。将 Cont AWS rol Tower 着陆区配置为新区域(通过更新着陆区)后,必须先更新现有账户中的现有账户,OUs然后才能对这些账户OUs和账户启用新的侦探控件。

  • 更新账户后,您现有的侦探控件就会开始在新配置的区域中起作用。当你更新 Cont AWS rol Tower 着陆区以配置新区域,然后更新账户时,已在 OU 上启用的侦探控件将开始在新配置的区域中使用该账户。

配置 Cont AWS rol Tower 区域

  1. 登录 Cont AWS rol Tower 控制台,网址为 https://console.aws.amazon.com/controltower

  2. 在左窗格导航菜单中,选择着陆区设置

  3. 着陆区设置页面的详细信息部分,选择右上角的修改设置按钮。您将被引导到更新着陆区工作流程,因为管理新区域或从管理中移除区域需要您更新到最新的着陆区版本。

  4. 在 “额外” AWS 要进行治理的区域,请搜索您想要治理(或停止治理)的区域。州/省 /市/自治区列显示您当前管理的区域,以及您不管理的区域。

  5. 选中要管理的每个其他地区的复选框。取消选中要从中移除监管的每个地区的复选框。

    注意

    如果您选择不管理某个区域,您仍然可以在该区域部署资源,但这些资源将不在 Cont AWS rol Tower 的管理范围内。

  6. 完成工作流程的其余部分,然后选择更新 landing zon e。

  7. landing zone 设置完成后,请重新注册OUs以更新新区域中的账户。有关更多信息,请参阅 何时更新 AWS Control Tower 业务单元和账户

配置新区域后,另一种配置或更新个人账户的方法是使用 S ervice Catalog API 框架AWS CLI在批处理过程中更新帐户。有关更多信息,请参阅 使用自动化配置和更新账户

配置区域时避免混合治理

将 Cont AWS rol Tower 管理范围扩展到新账户后,更新组织单位中的所有账户非常重要 AWS 区域,以及从某个区域中移除 Cont AWS rol Tower 治理之后。

如果@@ 管理 OU 的控制与管理 OU 中每个账户的控制不完全匹配,则可能会出现混合治理的情况。如果在 Cont AWS rol Tower 将治理范围扩展到新账户后未更新账户,则组织单位中就会出现混合治理 AWS 区域,或者移除治理。

在这种情况下,与组织单位中的其他账户相比,或者与着陆区的整体治理状况相比,OU 中的某些账户在不同区域应用的控制措施可能有所不同。

在混合治理的 OU 中,如果您配置一个新账户,则该新账户将获得与 landing zone 相同的(更新)区域和组织单位治理状态。但是,尚未更新的现有账户不会收到更新的地区治理状况。

通常,混合治理可能会在 Control Tower AWS 控制台中创建矛盾或不准确的状态指示器。例如,在混合治理期间,对于尚未更新的账户,选择加入区域显示为 “未受管辖” 状态,处于已注册OUs状态。

注意

AWSControl Tower 不允许在混合治理状态下启用控件。

混合治理期间的控制行为

  • 在混合治理期间,Cont AWS rol Tower 无法始终如一地部署基于以下内容的控件 AWS Config OU 已显示为 “受管” 的区域中的规则(即侦探控件),因为 OU 中的某些账户尚未更新。您可能会收到一条FAILED_TO_ENABLE错误消息。

  • 在混合治理期间,如果您在 OU 中的任何账户尚未更新时将着陆区的管理范围扩展到可选区域,则在 OU 上的EnableControlAPI操作将失败,无法进行侦查和主动控制。您将收到一条FAILED_TO_ENABLE错误消息,因为 OU 中未更新的成员账户尚未被选入这些区域。

  • 在混合治理期间,Sec urity Hub 服务托管标准:Cont AWS rol Tower 中的控件无法准确报告着陆区域配置与未更新的账户不匹配的区域的合规性。

  • 混合治理不会改变SCP基于控制的行为(预防性控制),这些控制统一适用于每个受管辖区域中组织中的每个账户。

注意

混合治理与漂移不同,也不报告为漂移。

修复混合治理

  • 为在控制台的 Organizations 页面上显示 “更新可用状态” 的 OU 中的每个账户选择 “更新账户”。

  • Organizations 页面上选择 “重新注册 OU”,如果账户少于 1000 个,则该页面会自动更新 OU 中的所有账户。 OUs

OU 级别区域拒绝控制的注意事项

OU 级区域拒绝控制的主要考虑因素是确定如果两者都被激活,它将如何与着陆区域 Region deny 控件进行交互。有关更多信息,请参阅应用于 OU 的区域拒绝控制