將 AWS 成員帳戶從 AWS Organizations 遷移到 AWS Control Tower - AWS Prescriptive Guidance

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 AWS 成員帳戶從 AWS Organizations 遷移到 AWS Control Tower

由小魯道夫創作。 Cerrada (AWS)

Envronment (En 生產

技能:管理與管治;現代化

AWS 服務:AWS Organizations Control Tower

Summary

此模式描述如何將 Amazon Web Services (AWS) 帳戶從 AWS Organizations (該組織是由管理帳戶管理的成員帳戶) 遷移到 AWS Control Tower。透過在 AWS Control Tower 註冊帳戶,您可以利用預防性和偵測防護裝置和簡化帳戶管理的功能。如果您的 AWS Organizations 管理帳戶遭到入侵,而且您想要將成員帳戶移至受 AWS Control Tower 管理的新組織,則可能還想遷移成員帳戶。 

AWS Control Tower 提供了一個結合並整合其他多項 AWS 服務 (包括 AWS Organizations) 功能的架構,並確保您的多帳戶環境中的一致合規和管理。透過 AWS Control Tower,您可以遵循一組規定的規則和定義來擴展 AWS Organizations 的功能。例如,您可以使用防護來確保已建立安全性記錄檔和必要的跨帳戶存取權限,而不會變更。

先決條件和限制

先決條件

  • 作用中的 AWS 帳戶

  • 在 AWS Organizations 中的目標組織中設定的 AWS Control Tower (如需指示,請參閱設定在 AWS 控制塔文件中)

  • AWS Control Tower 的管理員登入資料 (AWSControlTowerAdmins群組)

  • 來源 AWS 帳戶的管理員登入資料

限制

  • AWS Organizations 中的來源管理帳戶必須與 AWS Control Tower 中的目標管理帳戶不同。

產品版本

  • AWS Control Tower 2.3 版 (2020 年 2 月) 或更新版本 (請參閱版本備註)

Architecture

下圖說明遷移程序和參考架構。此模式會將 AWS 帳戶從來源組織遷移到受 AWS Control Tower 管理的目標組織。 

註冊程序包含下列步驟:

  1. 帳戶會將來源組織留在 AWS Organizations 中。

  2. 帳戶會變成獨立帳戶。這表示它不屬於任何組織,因此管理和帳單由帳戶管理員獨立管理。

  3. 目標組織會傳送帳號加入組織的邀請。 

  4. 獨立帳戶接受邀請並成為目標組織的成員。

  5. 該帳戶已註冊在 AWS Control Tower,並移至已註冊的組織單位 (OU)。(我們建議您查看 AWS Control Tower 儀表板,確認註冊。) 此時,已登錄 OU 中啟用的所有防護都會生效。

Tools

AWS 服務

  • AWS Organizations— AWS Organizations 是一項帳戶管理服務,可讓您將多個 AWS 帳戶整合到單一實體 (機構),您可以建立並集中管理。

  • AWS Control Tower— AWS Control Tower 整合了其他服務的功能,包括 AWS Organizations、AWS 單一登入 (AWS SSO) 和 AWS Service Catalog Twer),協助您在整個組織和 AWS 雲端所有帳戶中,強制執行和管理大規模的安全、操作和合規管理規則。

Epics

任務描述所需技能
確認成員帳戶可以執行為獨立帳戶。

確認將離開來源組織的成員帳戶具有讓它以獨立帳戶形式運作所需的資訊。例如,如果成員帳戶沒有帳單資訊,則無法以獨立帳戶的形式運作,因為 AWS 會使用付款資訊來為帳戶未附加至組織時發生的任何可計費 AWS 活動收費。

通常,如果您使用 AWS Organizations 主控台、API 或 AWS 命令列界面 (CLI) 命令建立成員帳戶,則不會自動收集獨立帳戶所需的資訊。若要新增此資訊,請登入帳戶,並指定支援方案、連絡資訊和付款方式。

如需從組織移除帳戶前需要知道的詳細資訊,請參閱從組織移除帳戶前(在 AWS Organations 文件中)。

帳戶管理員
從其來源組織中移除成員帳戶。

遵循 AWS Organizations 文件中的指示,從組織移除成員帳戶。您可以登入組織的管理帳戶和移除成員帳戶,或登入會員帳戶並離開組織

如果您沒有系統管理員層級認證可移除或離開帳戶,請向組織的系統管理員尋求協助。

如果會員帳戶遺失支援方案、連絡資訊或付款資訊,系統會提示您提供並驗證該資訊。

當您離開組織時,您會被重新導向至入門頁面,您可以在其中檢視帳戶加入其他組織的邀請。

重要:此時,您的帳戶是獨立帳戶。如果您執行的工作負載不在 AWS 免費方案涵蓋範圍內,將根據您為帳戶提供的付款和帳單資訊向您收費。

管理帳戶管理員或帳戶管理員
確認成員帳戶不再是來源組織的一部分。

在 AWS Organizations 主控台中,您應該不會再看到離開組織按鈕。因此,您應該看到來自其他組織的待決邀請(如果有的話)。

帳戶管理員
從您離開組織移除授予帳戶存取權的 IAM 角色。

當您從來源組織移除帳戶時,AWS Organizations 或管理員建立的 AWS Identity and Access Management (IAM) 角色不會自動刪除。若要終止來源組織管理帳戶的存取權,您必須手動刪除 IAM 角色。如需詳細資訊,請參閱「」刪除角色或執行個體描述檔在 IAM 文件中。

當成員帳戶離開組織時,所有附加到該帳戶的標籤都會被刪除。獨立帳戶不支援標籤。

帳戶管理員
任務描述所需技能
登入 AWS Control Tower。

以管理員身分登入 AWS Control Tower 主控台。 

目前,沒有直接的方法可以將 AWS 帳戶從來源組織移至由 AWS Control Tower 管理的 OU 中的組織。不過,當您將 AWS Control Tower 管理的 OU 註冊到已受 AWS 控制塔管理的 OU 時,您可以將 AWS 控制塔管理延伸到現有的 AWS 帳戶。這就是為什麼您必須登入 AWS Control Tower 才能執行此步驟。

AWS Control Tower 管理員
邀請會員帳號。
  1. 登入至 AWS Organizations 主控台,導覽至AWS Accounts(憑證已建立!) 頁面上的名稱有些許差異。 

  2. 新增 AWS 帳戶頁面,選擇邀請現有的 AWS 帳戶。 

  3. 填寫帳戶資訊,包括 12 位數的帳戶號碼 (不含破折號),以及選擇性的說明和標籤,然後選擇傳送邀請

重要:確認帳戶轉移不會影響任何應用程式或網路連線。

此動作會傳送邀請電子郵件,其中包含成員帳戶的連結。當帳戶管理員遵循連結並接受邀請時,會員帳戶會出現在AWS 帳戶(憑證已建立!) 頁面上的名稱有些許差異。如需詳細資訊,請參閱「」邀請 AWS 帳戶加入您的組織(在 AWS Organations 文件中)。

AWS Control Tower 管理員
測試應用程式和連線能力。

當成員帳戶已註冊到新組織時,它會出現在根目錄內的 OU 中。它也會出現在 AWS Control Tower 主控台中,標示為尚未註冊帳戶,因為它尚未註冊在 AWS 控制塔註冊的 OU 中。

請確認下列內容:

  • 查看 AWS Control Tower 儀表板,查看是否有任何違反防護措施。

  • 檢查網路網路連線 (VPN 或 AWS Direct Connect 線),確認網路連線不受傳輸影響。

  • (應用程式擁有者) 測試與此帳戶相關聯的應用程式,以確認它們如預期般執行,而且相依性不受帳戶傳輸的影響。

AWS Control Tower 管理員、成員帳戶管理員、應用程式擁有者
任務描述所需技能
檢閱守護並修復任何違規。

檢閱目標 OU 中定義的防護,尤其是預防性防護,並修正任何違規。 

的數量強制性的預防防護在您設定 AWS Control Tower landing zone 時,則會啟用此功能。無法停用這些功能。在註冊帳戶之前,您必須檢閱這些強制監護並修正成員帳戶 (手動或使用指令碼)。

請注意:預防防護措施可確保 AWS Control Tower 註冊的帳戶符合規定,並防止違反政策。任何違反預防防護措施可能會影響註冊。成功註冊後,Detective 守護違規會出現在 AWS Control Tower 儀表板中 (如果偵測到)。這些程序不會影響註冊程序。如需詳細資訊,請參閱「」AWS Control Tower (AWS Control Tower)在 AWS 文件中。

AWS Control Tower 管理員,成員帳戶管理員
修復護欄違規後,檢查是否有連線問題。

在某些情況下,您可能需要關閉特定連接埠或停用服務,以修正護欄違規情況。在註冊帳戶之前,請確定已修復使用這些連接埠和服務的應用程式。

應用程式擁有
任務描述所需技能
登入 AWS Control Tower 主控台。

使用管理員帳戶登入 AWS Control Tower。請勿使用根使用者 (管理帳戶) 登入資料來註冊 AWS Organizations 帳戶。這將顯示錯誤訊息。

AWS Control Tower 管理員
註冊帳戶。
  1. 在 AWS Control Tower 的「Account Factory」頁面中,選擇註冊帳戶

  2. 填寫詳細資料,包括與您要註冊的帳戶相關聯的電子郵件地址、AWS Control Tower 中顯示的顯示名稱、AWS SSO 電子郵件地址、帳戶擁有者的名字和姓氏,以及您要註冊帳戶的 OU。AWS SSO 電子郵件地址是您偏好的使用者電子郵件地址。您可以使用與帳戶電子郵件相同的電子郵件地址。

  3. 選擇 Enroll acount (註冊帳戶)

如需詳細資訊,請參閱「」註冊現有帳戶在 AWS 控制塔文件中。

AWS Control Tower 管理員
任務描述所需技能
驗證帳戶。

從 AWS Control Tower,選擇帳戶。您剛註冊的帳戶的初始狀態為註冊。註冊完成後,其狀態會變更為註冊

AWS Control Tower 管理員,成員帳戶管理員
檢查護欄是否違反。

OU 中定義的防護會自動套用至已註冊的成員帳戶。監 AWS Control Tower 儀表板是否有違規行為,並據此修正。如需詳細資訊,請參閱「」AWS Control Tower (AWS Control Tower)在 AWS 文件中。

AWS Control Tower 管理員,成員帳戶管理員

文件

教學課程和影片

其他資訊

故障診斷

以下是您在 AWS Control Tower 及其解決方案中可能會遇到的兩個錯誤:

  • 發生未知的錯誤。稍後再試一次,或聯絡 AWS Support。當您在 AWS Control Tower 中使用根使用者登入資料 (管理帳戶) 註冊新帳戶時,就會發生此錯誤。AWS Service Catalog 無法將 Account Factory 組合或產品對應至根使用者,這會導致錯誤訊息。若要修復此錯誤,請使用非根的完整存取使用者 (系統管理員) 認證來註冊新帳戶。如需如何建立管理員使用者的詳細資訊,請參閱建立 IAM 使用者在 AWS 控制塔文件中。

  • AWS Control Tower活動頁面顯示獲得災難性漂移動作。此動作會反映服務的漂移檢查,且不會指出 AWS Control Tower 設定的任何問題。無需採取任何動作。