本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Organizations 指引
AWS Control Tower 與 密切相關 AWS Organizations。以下是一些關於它們如何最佳地共同運作來保護您 AWS 環境的具體指導。
您可以在 AWS Organizations 文件中找到保護 AWS Control Tower 管理帳戶和成員帳戶安全的最佳實務相關指導。
-
請勿更新連接至向 AWS Control Tower 註冊之 OU 的現有服務控制政策 (SCPs)。這樣做可能會導致控制項進入未知狀態,這將會要求您重設登陸區域或在 AWS Control Tower 中重新註冊 OU。反之,您可以使用 AWS Organizations 建立新的 SCPs,並將它們連接到 OUs,而不是編輯 AWS Control Tower 建立SCPs。
-
將已註冊的個別帳戶從已註冊的 OU 外部移至 AWS Control Tower,會導致必須解決的偏離。請參閱 控管偏離的類型。
-
如果您使用 AWS Organizations 在向 AWS Control Tower 註冊的組織中建立、邀請或移動帳戶,AWS Control Tower 不會註冊這些帳戶,也不會記錄這些變更。如果您需要透過 SSO 存取這些帳戶,請參閱成員帳戶存取
。 -
如果您使用 AWS Organizations 將 OU 移至 AWS Control Tower 建立的組織,則 AWS Control Tower 不會註冊外部 OU。
-
AWS Control Tower 處理許可篩選的方式與 AWS Organizations 處理方式不同。如果您的帳戶是使用 AWS Control Tower 帳戶工廠佈建,最終使用者可以在 AWS Control Tower 主控台中查看所有 OUs 的名稱和父項,即使他們沒有 AWS Organizations 直接從 擷取這些名稱和父項的許可。
-
AWS Control Tower 不支援組織混合許可,例如檢視 OU 父項的許可,但不支援檢視 OU 名稱。因此,AWS Control Tower 管理員應擁有完整許可。
-
必須 AWS Organizations
FullAWSAccess套用 SCP,且不應與其他 SCPs 合併。此 SCP 的變更不會報告為偏離;不過,如果拒絕存取特定資源,某些變更可能會以無法預測的方式影響 AWS Control Tower 功能。例如,如果 SCP 分離或修改,帳戶可能會失去對記錄器的 AWS Config 存取權或在 CloudTrail 日誌中建立間隙。 -
請勿使用 AWS Organizations
DisableAWSServiceAccessAPI 來關閉 AWS Control Tower 服務對已設定登陸區域之組織的存取。如果您這樣做,某些 AWS Control Tower 偏離偵測功能可能無法正常運作,如果沒有來自 的訊息支援 AWS Organizations。這些偏離偵測功能有助於保證 AWS Control Tower 可以準確報告組織中組織單位、帳戶和控制項的合規狀態。如需詳細資訊,請參閱 API_DisableAWSServiceAccessAWS Organizations API 參考中的 。
