AWS Control Tower 中的巢狀 OU

本章列出在 AWS Control Tower 中使用巢狀 OU 時，您需要注意的期望和考量事項。在大多數方面，使用巢狀 OU 與使用扁平 OU 結構相同。「註冊」與「重新註冊」功能可與巢狀 OU 搭配使用，但本章所述的變更行為除外。

影片演練

此影片 (4:46) 說明如何在 AWS Control Tower 中管理巢狀 OU 部署。若要獲得更佳的觀賞效果，請選取影片右下角的圖示，將影片放大至全螢幕。並提供字幕。

如需巢狀 OU 和 landing zone 域的最佳實務指引，請參閱部落格文章使用巢狀 OU 組織 AWS Control Tower landing zone。

從平面 OU 結構展開為巢狀 OU 結構

如果您使用扁平 OU 結構建立 AWS Control Tower landing zone，則可以將其擴展為巢狀 OU 結構。

此過程有四個主要步驟：

1. 在 AWS Control Tower 中建立所需的巢狀 OU 結構。

2. 移至 AWS Organizations 主控台並使用其大量移動功能，將帳戶從來源 OU (平面) 移至目的地 OU (巢狀)。這裡是如何：

   1. 移至您要從中移動帳戶的 OU。

   2. 選取 OU 中的所有帳戶。

   3. 選擇「移動」。

      注意

      必須在主控 AWS Organizations 台中完成此步驟，因為 AWS Control Tower 沒有移動功能。

3. 前往 AWS Control Tower 中的巢狀 OU，然後註冊或重新註冊。巢狀 OU 中的所有帳戶都會註冊。

   • 如果您在 AWS Control Tower 中建立 OU，請重新註冊 OU。

   • 如果您在中建立 OU AWS Organizations，請第一次登錄 OU。

4. 移動並註冊帳戶後，請從主控 AWS Organizations 台或 AWS Control Tower 主控台刪除空白的頂層 OU。

巢狀 OU 登錄預先檢查

為了支援成功註冊巢狀 OU 及其成員帳戶，AWS Control Tower 會執行一系列的預先檢查。這些相同的預先檢查會在註冊任何頂層 OU 或巢狀 OU 時執行。如需詳細資訊，請參閱註冊或重新註冊期間失敗的常見原因。

• 如果所有預先檢查都通過，AWS Control Tower 會自動開始註冊您的 OU。

• 如果任何預先檢查失敗，AWS Control Tower 會停止註冊程序，並提供您必須修正的項目清單，然後才能註冊 OU。

巢狀 OU 和角色

AWS Control Tower 會將AWSControlTowerExecution角色部署到目標 OU 下的帳戶，以及嵌套在目標 OU 下的所有 OU 帳戶，即使您只想註冊目標 OU 也一樣。此角色會為管理帳戶的任何使用者授予任何具有該AWSControlTowerExecution角色之帳戶的管理員權限。角色可用來執行 AWS Control Tower 控制通常不允許的動作。

您可以從不打算註冊的未註冊帳戶中刪除此角色。如果刪除此角色，除非您將角色還原到帳戶，否則無法在 AWS Control Tower 註冊帳戶或註冊直屬父 OU。若要刪除帳戶中的AWSControlTowerExecution角色，您必須以該AWSControlTowerExecution角色登入，因為不允許其他 IAM 主體刪除 AWS Control Tower 所管理的角色。

如需如何限制角色存取權的詳細資訊，請參閱角色信任關係的選用條件。

巢狀 OU 和帳戶的註冊和重新註冊期間會發生什麼情況

當您註冊或重新註冊巢狀 OU 時，AWS Control Tower 會註冊目標 OU 的所有未註冊帳戶，並更新所有註冊帳戶。以下是可以期待的。

AWS Control Tower 執行下列任務

• 將AWSControlTowerExecution角色新增至此 OU 下的所有未註冊帳戶，以及其巢狀 OU 中的所有未註冊帳戶。

• 註冊未註冊的會員帳戶。

• 重新註冊註冊的會員帳戶。

• 為新註冊的成員帳戶建立 IAM 身分中心登入。

• 更新現有的註冊成員帳戶，以反映您的 landing zone 變更。

• 更新針對此 OU 及其成員帳戶設定的控制項。

巢狀 OU 註冊的考量事項

• 您無法在核心 OU (安全性 OU) 下註冊 OU。

• 巢狀 OU 必須個別註冊。

• 除非 OU 的父 OU 已註冊，否則您無法註冊 OU。

• 您無法註冊 OU，除非樹狀結構中較高層級的所有 OU 在某些時間都已成功註冊 (有些可能已刪除)。

• 您可以註冊位於漂移較高 OU 下的 OU，但該動作不會修復漂移。

巢狀 OU 限制

• OU 最多可以嵌套根深度為 5 個層級。

• 目標 OU 下的巢狀 OU 必須個別註冊或重新註冊。

• 如果目標 OU 位於階層中的層級 2 或以下，也就是說，如果它不是最上層 OU，則會自動在此 OU 及其下方的所有 OU 上強制執行在較高 OU 上啟用的預防性控制。

• OU 註冊失敗不會向上傳播階層樹狀結構。您可以在父項的 OU 詳細資料頁面上查看巢狀 OU 狀態的詳細資訊。

• OU 註冊失敗不會向下傳播階層樹狀結構。

• AWS Control Tower 不會修改任何新帳戶或現有帳戶的 VPC 設定。

巢狀 OU 與合規性

您可以從 AWS Control Tower 主控台檢視組織頁面中不合規的 OU 和帳戶，以便更大規模了解合規。

巢狀 OU 和帳戶符合性的考量

• OU 的相容性並不是根據巢狀在其下方的 OU 符合性來決定。

• 系統會針對啟用控制項的所有 OU (包括巢狀 OU) 計算控制項的相容性狀態。請參閱 OU 和帳戶的 AWS Control Tower 合規狀態。

• 只有當 OU 具有不相容的帳戶時，不論 OU 位於 OU 階層中的哪個位置，OU 才會顯示為不相容。

• 如果巢狀 OU 不相容，就不會自動將其父 OU 視為不相容。

• 在 OU 詳細資料或帳戶詳細資料頁面上，您可以檢視可能造成 OU 或帳號顯示不符合標準狀態的不相容資源清單。

巢狀 OU 和漂移

在某些情況下，漂移可能會阻止巢狀 OU 的註冊。

對漂移和巢狀 OU 的期望

• 您可以對具有漂移父母的 OU 啟用控制，但不能直接在漂移的 OU 上啟用控制。

• 您可以在漂移的 OU 下啟用偵探控制項，只要它不是最上層的漂移 OU 即可。

• 僅在頂層 OU 上啟用強制控制項。註冊巢狀 OU 時，會略過必要的控制項。

• 一個強制控制項可保護 AWS Config 資源；因此，該控制項必須處於非漂移狀態，才能登錄巢狀 OU。如果已移轉，AWS Control Tower 會封鎖巢狀 OU 的註冊。

• 如果頂層 OU 處於漂移狀態，則保護 AWS Config 資源的控制項可能處於漂移狀態。在此情況下，AWS Control Tower 會封鎖任何需要建立或更新 AWS Config 資源的動作，包括偵探控制的應用程式。

巢狀 OU 和控制項

當您在已註冊 OU 上啟用控制項時，預防性和偵測控制項會有不同的行為。對於巢狀 OU，主動式控制項的行為與偵測控制項類似。

預防性控制

• 預防性控制會在巢狀 OU 上強制執行。

• 強制性預防控制會對 OU 及其巢狀 OU 下的所有帳戶強制執行。

• 預防性控制會影響目標 OU 下巢狀的所有帳戶和 OU，即使這些帳戶和 OU 未註冊也一樣。

Detective 和主動控制

• 巢狀 OU 不會自動繼承偵測或主動控制；這些控制項必須個別啟用。

• Detective 和主動式控制功能只會部署至您登陸區營運區域中的註冊帳號。

啟用的控制狀態和繼承

您可以在 OU 詳細資料頁面上檢視每個 OU 的繼承控制項。

提示

您可以利用控制繼承來協助維持在 OU 的 SCP 配額內。例如，您可以在 OU 階層的頂層 OU 上啟用控制項，而不是直接為巢狀 OU 啟用。

繼承狀態

• [繼承] 狀態表示控制項僅透過繼承啟用，而且尚未直接套用至 OU。

• 狀態「已啟用」表示控制項會在此 OU 上強制執行，而不論其在其他 OU 上的狀態為何。

• 狀態「失敗」表示不會在此 OU 上強制執行控制項，無論其在其他 OU 上的狀態為何。

注意

[繼承] 狀態表示控制項已套用至樹狀結構中較高層級的 OU，而且它會在此 OU 上強制執行，但並未直接新增至此 OU。

如果您的 landing zone 不是當前版本

[已啟用] 控制項表格中的每一個資料列都代表一個個別 OU 上啟用的控制項。

巢狀 OU 與根

根不是 OU，無法註冊或重新註冊。您也無法直接在根目錄中建立帳號。根不能不相容或具有生命週期狀態，例如已註冊或處於漂移狀態。

不過，根目錄是所有帳戶和 OU 的最上層容器。在巢狀 OU 的環境中，它是所有其他 OU 都嵌套在其下的節點。