AWS Control Tower 中的巢狀 OUs

本章列出在 AWS Control Tower 中使用巢狀 OUs 時，您要注意的期望和考量事項。在大多數情況下，使用巢狀 OUs 與使用平面 OU 結構相同。註冊和重新註冊功能可與巢狀 OUs 搭配使用，但本章中記下的已變更行為除外。

影片演練

此影片 (4：46) 說明如何在 AWS Control Tower 中管理巢狀 OU 部署。若要獲得更佳的觀賞效果，請選取影片右下角的圖示，將影片放大至全螢幕。並提供字幕。

如需巢狀 OUs 和登陸區域的最佳實務指引，請參閱部落格文章使用巢狀 OUs 組織 AWS Control Tower 登陸區域。

從平面 OU 結構擴展到巢狀 OU 結構

如果您使用平面 OU 結構建立 AWS Control Tower 登陸區域，則可以將其擴展到巢狀 OU 結構。

此程序有四個主要步驟：

1. 在 AWS Control Tower 中建立您想要的巢狀 OU 結構。

2. 前往 AWS Organizations 主控台，並使用其大量移動功能，將帳戶從來源 OU （平面） 移至目的地 OU （巢狀）。方法如下：

   1. 前往您要從中移動帳戶的 OU。

   2. 選取 OU 中的所有帳戶。

   3. 選擇移動。

      注意

      此步驟必須在 AWS Organizations 主控台的 中完成，因為 AWS Control Tower 沒有移動功能。

3. 前往 AWS Control Tower 中的巢狀 OU，然後註冊或重新註冊。巢狀 OU 中的所有帳戶都會註冊。

   • 如果您在 AWS Control Tower 中建立 OU，請重新註冊 OU。

   • 如果您已在 中建立 OU AWS Organizations，請第一次註冊 OU。

4. 移動並註冊帳戶後，請從 AWS Organizations 主控台或從 AWS Control Tower 主控台刪除空白的頂層 OU。

巢狀 OU 註冊預先檢查

為了支援成功註冊您的巢狀 OUs 及其成員帳戶，AWS Control Tower 會執行一系列的預先檢查。註冊任何最上層 OU 或巢狀 OU 時，會執行這些相同的預先檢查。如需詳細資訊，請參閱註冊或重新註冊期間失敗的常見原因。

• 如果所有預先檢查都通過，AWS Control Tower 會自動開始註冊您的 OU。

• 如果任何預先檢查失敗，AWS Control Tower 會停止註冊程序，並提供您必須先修正的項目清單，才能註冊 OU。

巢狀 OUs和角色

AWS Control Tower 會將AWSControlTowerExecution角色部署到目標 OU 下的帳戶，以及所有 OUs 中的帳戶，即使您的意圖是只註冊目標 OU。此角色為具有 AWSControlTowerExecution角色的任何帳戶提供管理帳戶管理員許可的任何使用者。角色可用來執行 AWS Control Tower 控制項通常不允許的動作。

您可以從您未計劃註冊的未註冊帳戶中刪除此角色。如果您刪除此角色，則無法向 AWS Control Tower 註冊帳戶，或註冊直接父系 OUs，除非您將角色還原到帳戶。若要從帳戶刪除AWSControlTowerExecution角色，您必須在AWSControlTowerExecution角色下登入，因為不允許其他 IAM 主體刪除 AWS Control Tower 管理的角色。

如需如何限制角色存取的資訊，請參閱角色信任關係的選用條件。

巢狀 OUs 和帳戶註冊和重新註冊期間會發生什麼情況

當您註冊或重新註冊巢狀 OU 時，AWS Control Tower 會註冊目標 OU 的所有未註冊帳戶，並更新所有已註冊的帳戶。以下是預期事項。

AWS Control Tower 會執行下列任務

• 將AWSControlTowerExecution角色新增至此 OU 下的所有未註冊帳戶，以及其巢狀 OUs 中的所有未註冊帳戶。

• 註冊未註冊的成員帳戶。

• 重新註冊已註冊的成員帳戶。

• 為新註冊的成員帳戶建立 IAM Identity Center 登入。

• 更新現有的已註冊成員帳戶，以反映您的登陸區域變更。

• 更新為此 OU 及其成員帳戶設定的控制項。

巢狀 OU 註冊的考量事項

• 您無法在核心 OU （安全 OU) 下註冊 OU。

• 巢狀 OUs 必須單獨註冊。

• 除非其父 OU 已註冊，否則您無法註冊 OU。

• 您無法註冊 OU，除非樹狀結構中所有較高的 OUs 都已成功註冊 （有些可能已刪除）。

• 您可以註冊處於偏離較高 OU 下的 OU，但該動作無法修復偏離。

巢狀 OU 限制

• OUs最多可巢狀在根目錄深處 5 個層級。

• 目標 OUs 下的巢狀 OU 必須分別註冊或重新註冊。

• 如果目標 OU 位於階層中的層級 2 或以下，也就是說，如果不是最上層 OU，則在此 OUs 及其下的所有 OUs 上啟用的預防性控制會自動強制執行。

• OU 註冊失敗不會傳播階層樹狀結構。您可以在父系的 OUs 詳細資訊頁面上查看巢狀 OU 狀態的詳細資訊。

• OU 註冊失敗不會向下傳播階層樹狀結構。

• AWS Control Tower 不會修改任何新帳戶或現有帳戶的 VPC 設定。

巢狀 OUs和合規

從 AWS Control Tower 主控台，您可以在組織頁面中檢視不合規OUs 和帳戶，以便更大規模地了解合規。

巢狀 OUs 和帳戶的合規考量

• OU 的合規不是根據其下巢狀 OUs的合規來決定。

• 控制項的合規狀態是根據啟用控制項的所有 OUs 計算，包括巢狀 OUs。請參閱 OUs和帳戶的 AWS Control Tower 合規狀態。

• OU 只有在帳戶不合規時才會顯示為不合規，無論 OU 在 OU 階層中的位置為何。

• 如果巢狀 OU 不合規，其父 OU 不會自動被視為不合規。

• 在 OU 詳細資訊或帳戶詳細資訊頁面上，您可以檢視可能導致您的 OUs或帳戶顯示不合規狀態的不合規資源清單。

巢狀 OUs和漂移

在某些情況下，偏離可能會阻止巢狀 OUs 的註冊。

漂移和巢狀 OUs 的預期

• 您可以在具有漂移父OUs 上啟用控制項，但不能直接在漂移OUs 上啟用控制項。

• 只要不是頂層漂移的 OU，您就可以在漂移的 OU 下啟用偵測控制。

• 強制控制項僅在最上層 OUs 上啟用。當您註冊巢狀 OU 時，會略過強制性控制項。

• 一個強制性控制項會保護 AWS Config 資源；因此，該控制項必須處於非偏離狀態，才能註冊巢狀 OUs。如果漂移，AWS Control Tower 會封鎖巢狀 OUs 的註冊。

• 如果頂層 OU 處於偏離狀態，則保護 AWS Config 資源的控制項可能處於偏離狀態。在這種情況下，AWS Control Tower 會封鎖任何需要建立或更新 AWS Config 資源的動作，包括偵測控制項的應用。

巢狀 OUs和控制項

當您在已註冊的 OU 上啟用控制項時，預防性和偵測性控制項的行為不同。對於巢狀 OUs，主動控制的行為類似於偵測性控制。

預防性控制

• 在巢狀 OUs 上強制執行預防性控制。

• 強制預防性控制會在 OU 及其巢狀 OUs 下的所有帳戶上執行。

• 預防性控制會影響目標 OUs 下巢狀化的所有帳戶和 OU，即使這些帳戶和 OUs 未註冊。

偵測和主動控制

• 巢狀 OUs不會自動繼承偵測或主動控制；這些控制必須個別啟用。

• 偵測和主動控制只會部署到登陸區域操作區域中的註冊帳戶。

啟用的控制狀態和繼承

您可以在 OU 詳細資訊頁面上檢視每個 OU 的繼承控制項。

提示

您可以使用控制項繼承來協助保持在 OU 的 SCP 配額內。例如，您可以在 OU 階層的頂層 OU 啟用控制項，而不是直接為巢狀 OU 啟用 。

繼承狀態

• 狀態繼承表示控制項僅由繼承啟用，且尚未直接套用至 OU。

• 狀態已啟用表示控制在此 OU 上強制執行，無論其在其他 OUs 上的狀態為何。

• 狀態失敗表示此 OU 不會強制執行控制項，無論其在其他 OUs 上的狀態為何。

注意

狀態繼承表示控制項已套用到樹狀目錄中較高的 OU，並且在此 OU 上強制執行，但不會直接新增至此 OU。

如果您的登陸區域不是目前版本

啟用控制項資料表中的每一列代表一個個別 OU 上已啟用的控制項。

巢狀 OUs和根目錄

根不是 OU，而且無法註冊或重新註冊。您也無法直接在根中建立帳戶。根不能不合規或具有生命週期狀態，例如已註冊或偏離。

不過，根是所有帳戶和 OUs 的最上層容器。在巢狀 OUs 的內容中，它是所有其他 OUs 巢狀所在的節點。