本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如果您管理 AWS Control Tower 以外的資源
AWS Control Tower 會代您設定帳戶、組織單位和其他資源,但您是這些資源的擁有者。您可以在 AWS Control Tower 內或外部變更這些資源。在 AWS Control Tower 外部變更資源最常見的地方是主控 AWS Organizations 台。本主題說明在 AWS Control Tower 外部進行變更時,如何協調 AWS Control Tower 資源的變更。
在 AWS Control Tower 主控台之外重新命名、刪除和移動資源會導致主控台不同步。許多變更都可以自動協調。某些變更需要重設您的 landing zone,才能更新 AWS Control Tall 主控台中顯示的資訊。
一般而言,您在 AWS Control Twer 主控台外部對 AWS Control Tower 資源進行的變更會在您的 landing zone 域建立可解析的漂移狀態。如需這些變更的詳細資訊,請參閱資源的可修復變更。
需要重設 landing zone 域的工作
-
刪除安全 OU(一種特殊情況,不要輕心完成。)
-
從安全性 OU 移除共用帳戶 (不建議使用)。
-
更新、附加或卸離與安全性 OU 相關聯的 SCP。
AWS Control Tower 自動更新的變更
-
變更已註冊帳戶的電子郵件地址
-
重新命名已註冊的帳戶
-
建立新的頂層組織單位 (OU)
-
重新命名註冊的 OU
-
刪除已登錄的 OU (安全性 OU 除外,需要更新)。
-
刪除已註冊的帳戶 (安全性 OU 中的共用帳戶除外)。
注意
AWS Service Catalog 與 AWS Control Tower 以不同的方式處理變更。 AWS Service Catalog 在調和您的變更時,可能會造成治理狀態的變更。如需更新已佈建產品的詳細資訊,請參閱 AWS Service Catalog 說明文件中的更新已佈建產品。
參考 AWS Control Tower 外的資源
當您在 AWS Control Tower 外建立新的 OU 和帳戶時,即使可能會顯示這些帳戶,它們也不會受 AWS Control Tower 管理。
建立 OU
在 AWS Control Tower 外建立的組織單位 (OU) 稱為「未註冊」。它們會顯示在組織頁面中,但不受 AWS Control Tower 控制管理。
創建一個帳戶
在 AWS Control Tower 外建立的帳戶稱為「取消註冊」。屬於 AWS Control Tower 註冊之 OU 的已註冊和取消註冊帳戶會顯示在組織頁面中。不屬於已註冊 OU 的帳戶可以使用 AWS Organizations 主控台來邀請。此加入邀請不會在 AWS Control Tower 中註冊帳戶,也不會將 AWS Control Tower 管理延伸到該帳戶。若要透過註冊帳戶來擴展管理,請前往組織頁面或 AWS Control Tower 中的帳戶詳細資料頁面,然後選擇註冊帳戶。
從外部變更 AWS Control Tower 資源名稱
您可以在 AWS Control Tower 主控台外部變更組織單位 (OU) 和帳戶的名稱,主控台會自動更新以反映這些變更。
重新命名 OU
在中 AWS Organizations,您可以使用 AWS Organizations API 或主控台來變更 OU 的名稱。當您在 AWS Control Tower 外部變更 OU 名稱時,AWS Control 塔主控台會自動反映名稱變更。不過,如果您使用佈建帳戶 AWS Service Catalog,也必須重設 landing zone,以確保 AWS Control Tower 與之保持一致 AWS Organizations。重設工作流程可確保基礎和其他 OU 的服務之間的一致性。您可以從「著陸區設定」 頁面解決此類漂移問題。請參閱中的「解決漂移」一節偵測並解決 AWS Control Tower 中的漂移。
AWS Control Tower 會在 AWS Control Tower 儀表板的組織頁面上顯示 OU 的名稱。您可以查看 landing zone 重設作業何時成功。
重新命名已註冊的帳戶
每個 AWS 帳戶都有一個顯示名稱,該名稱可由 AWS Billing and Cost Management 控制台中帳戶的 root 用戶進行更改。當您重新命名已註冊 AWS Control Tower 的帳戶時,名稱變更會自動反映在 AWS Control Tower 中。如需有關變更帳戶名稱的詳細資訊,請參閱AWS 帳AWS 單使用手冊中的管理帳戶。
刪除安全性 OU
這種類型的偏離是一種特殊情況。如果您刪除安全性 OU,您會看到錯誤訊息頁面,提示您重設 landing zone。您必須先重設 landing zone,才能在 AWS Control Tower 中採取任何其他動作。
-
您將無法在 AWS Control Tower 主控台中執行任何動作,而且在重設完成 AWS Service Catalog 之前,您將無法在中建立任何新帳戶。
-
您將無法檢視「著陸區設定」 頁面,以便在該處看到「重設」按鈕。
在此情況下,landing zone 重設程序會建立新的安全性 OU,並將這兩個共用帳戶移至新的安全性 OU。AWS Control Tower 會將日誌存檔和稽核帳戶標記為已漂移。相同的過程解決了這些帳戶中的漂移。
如果您決定必須刪除安全性 OU,以下是您必須知道的事項:
刪除安全性 OU 之前,您必須確定它不包含任何帳戶。具體而言,您必須從 OU 移除記錄封存和稽核帳戶。我們建議您將這些帳戶移至另一個 OU。
注意
刪除您的安全性 OU 的動作不會在沒有適當考量的情況下執行。如果暫時暫停記錄,並且可能無法強制執行某些控制項,此動作可能會造成符合性問題。
如需有關偏離的一般資訊,請參閱 偵測並解決 AWS Control Tower 中的漂移 中的「解決偏離」。
從安全性 OU 移除帳戶
我們不建議您從組織中移除任何共用帳戶,或將其移出 [安全性 OU]。如果您意外移除了共用帳戶,您可以依照本節中的修復步驟來還原帳戶。
-
從 AWS Control Tower 主控台內部:若要啟動修復程序,請按照半手動修復步驟操作。確保您用來存取 AWS Control 塔主控台的使用者或角色具有執行許可
organizations:InviteAccountToOrganization。如果您沒有這些許可,請按照手動修復步驟操作,這些步驟同時使用 AWS Control Tower 主控台和 AWS Organizations 主控台。 -
從 AWS Organizations 主控台開始:此修復程序需要稍長、完全手動的程序。按照手動修復步驟操作時,您將在主控 AWS Organizations 台和 AWS Control Tower 台之間切換。在中工作時 AWS Organizations,您需要具有
AWSOrganizationsFullAccess受管理策略或同等策略的使用者或角色。在 AWS Control Tower 主控台中工作時,您需要具有AWSControlTowerServiceRolePolicy受管政策或同等政策的使用者或角色,以及執行所有 AWS Control Tall 動作 (控制塔:*) 的許可。 -
如果補救步驟無法還原帳戶,請聯絡 AWS Support。
通過以下方式刪除共享帳戶的結果 AWS Organizations:
-
該帳戶不再受到具有服務控制政策 (SCP) 的 AWS Control Tower 強制性控制措施的保護。結果:AWS Control Tower 在帳戶中建立的資源可能會遭到修改或刪除。
-
該帳戶不再位於 AWS Organizations 管理帳戶下。結果: AWS Organizations 管理帳戶的管理員不再能看到帳戶的支出。
-
該帳戶不再保證受到監控 AWS Config。結果: AWS Organizations 管理帳號的管理員可能無法偵測資源變更。
-
該帳戶不再在組織中。結果:AWS Control Tower 更新和重設將失敗。
使用 AWS Control 塔主控台還原共用帳戶 (半手動程序)
-
登入 AWS Control Tower 主控台主控台,網址為 https://console.aws.amazon.com/controltower
。您必須以 IAM 使用者、IAM 身分中心的使用者身分或具有權限的角色登入才能執行 organizations:InviteAccountToOrganization。如果您沒有此類權限,請使用本主題稍後所述的手動修復程序。 -
在 [偵測到的登陸區域漂移] 頁面上,選擇 [重新邀請],藉由重新邀請共用帳戶加入組織,以修復共用帳戶的移除問題。系統會將自動產生的電子郵件傳送至帳戶的電子郵件地址。
-
接受邀請,將共用帳戶帶回組織。執行以下任意一項:
-
登入已移除的共用帳戶,然後前往 https://console.aws.amazon.com/organizations/home#/invites
-
如果您可以存取重新邀請帳戶時傳送的電子郵件訊息,請登入已移除的帳戶,然後按一下訊息中的連結,直接瀏覽至帳戶邀請。
-
如果已移除的共用帳戶不在其他組織中,請登入該帳戶,開啟 AWS Organizations 主控台並瀏覽至 [邀請]。
-
-
再次登入管理帳戶,或重新載入 AWS Control Tower 主控台 (如果已開啟)。您將看到著陸區漂移頁面。選擇「重設」以修復 landing zone 域。
-
等待重置過程完成。
如果修復成功,共用帳戶會以正常狀態和符合性顯示。
如果補救步驟無法還原帳戶,請聯絡 AWS Support。
使用 AWS Control Tower 和 AWS Organizations 主控台還原共用帳戶 (手動修復)
-
請在以下位置登入 AWS Organizations 主控台https://console.aws.amazon.com/organizations/
。您必須以 IAM 使用者、IAM 身分中心的使用者身分登入,或使用 AWSOrganizationsFullAccess受管政策或同等政策的角色登入。 -
邀請共用帳戶回到組織。如需邀請帳戶的需求、先決條件和程序的詳細資訊 AWS Organizations,請參閱AWS Organizations 使用者指南中的邀請 AWS 帳戶加入您的組織。
-
登入已移除的共用帳戶,然後前往 https://console.aws.amazon.com/organizations/home#/invites
接受邀請。 -
再次登入管理帳戶。
-
使用
AWSControlTowerServiceRolePolicy受管政策或同等政策以使用者或角色身分登入 AWS Control Tower 主控台,以及執行所有 AWS Control Tall 動作 (控制塔:*) 的許可。 -
您將看到 landing zone 漂移頁面,其中包含重置著陸區的選項。選擇「重設」以修復 landing zone 域。
-
等待重置過程完成。
如果修復成功,共用帳戶會以正常狀態和符合性顯示。
如果補救步驟無法還原帳戶,請聯絡 AWS Support。
自動更新的外部變更
AWS Control Tower 會自動更新您對帳戶電子郵件地址所做的變更,但 Account Factory 不會自動更新這些變更。
變更受控管帳戶的電子郵件地址
AWS Control Tower 會根據主控台體驗的要求擷取和顯示電子郵件地址。因此,共用和其他帳戶的電子郵件地址會在您變更後更新並一致地顯示在 AWS Control Tower 中。
注意
在中 AWS Service Catalog,Account Factory 會顯示您建立已佈建產品時,在主控台中指定的參數。不過,當帳戶電子郵件地址變更時,不會自動更新原始的帳戶電子郵件地址。這是因為帳戶在概念上包含在佈建的產品中;它與佈建的產品不同。若要更新此數值,您必須更新佈建的產品,而這可能導致控管狀態發生變更。
套用外部 AWS Config 規則
AWS Control Tower 顯示部署到 AWS Control Tower 註冊組織單位的所有 AWS Config 規則的合規狀態,包括在 AWS Control Twer 主控台外部啟用的規則。
刪除 AWS Control Tower 外部的 AWS Control Tower 資源
您可以刪除 AWS Control Tower 中的 OU 和帳戶,而且不需要採取任何進一步的動作即可查看更新。刪除 OU 時,Account Factory 會自動更新,但刪除帳戶時則不會更新。
刪除已登錄的 OU (安全性 OU 除外)
在中 AWS Organizations,您可以使用 API 或主控台移除空的組織單位 (OU)。無法刪除包含帳戶的 OU。
刪除 OU AWS Organizations 時,AWS Control Tower 會收到來自的通知。它會更新 Account Factory 中的 OU 清單,以便註冊 OU 的清單保持一致。
注意
在中 AWS Service Catalog,Account Factory 已更新,以從您可以佈建帳戶的可用 OU 清單中移除已刪除的 OU。
從 OU 刪除註冊的帳戶
刪除註冊帳戶時,AWS Control Tower 會收到通知並進行更新,以便資訊保持一致。
注意
在中 AWS Service Catalog,不會更新代表受管理帳戶的 Account Factory 佈建產品以刪除帳戶。相反地,佈建的產品會顯示為 TAINTED 和錯誤狀態。若要清理,請移至 AWS Service Catalog,選擇已佈建的產品,然後選擇 Terminate (終止)。
