將AWS成員帳戶從 AWS Organizations 遷移至 AWS Control Tower

由 Rodolfo Jr. Cerrada 建立 （AWS）

環境：生產

技術：管理與治理；現代化

AWS 服務： AWS Organizations；AWSControl Tower

Summary

此模式說明如何將 Amazon Web Services （AWS） 帳戶從 AWS Organizations 遷移至 AWS Control Tower，而 Organizations 是受管理帳戶管治的成員帳戶。透過在 AWS Control Tower 中註冊 帳戶，您可以利用預防性和偵測性防護機制和功能來簡化您的帳戶管理。如果您的 AWS Organizations 管理帳戶已遭入侵，而且您想要將成員帳戶移至受 AWS Control Tower 管理的新組織，您可能也會想要遷移成員帳戶。 

AWS Control Tower 提供的架構結合了並整合包括 AWS Organizations 在內的多種AWS其他服務的功能，並確保跨多帳戶環境的一致性與治理。透過 AWS Control Tower，您可以遵循一組可擴展 AWS Organizations 功能的規定規則和定義。例如，您可以使用 guardrails 來確保安全日誌和必要的跨帳戶存取許可已建立，而不會變更。

先決條件和限制

先決條件

• 作用中AWS帳戶

• AWS 在 AWS Organizations 的目標組織中設定 Control Tower （如需指示，請參閱 AWS Control Tower 文件中的設定）

• AWS Control Tower 的管理員憑證 （AWSControlTowerAdmins群組成員）

• 來源AWS帳戶的管理員憑證

限制

• AWS Organizations 中的來源管理帳戶必須與 AWS Control Tower 中的目標管理帳戶不同。

產品版本

• AWS Control Tower 2.3 版 （2020 年 2 月） 或更新版本 （請參閱版本備註 ）

架構

下圖說明遷移程序和參考架構。此模式會將AWS帳戶從來源組織遷移至受 AWS Control Tower 管理的目標組織。 

註冊程序包含下列步驟：

1. 帳戶會在 AWS Organizations 中離開來源組織。

2. 帳戶會成為獨立帳戶。這表示它不屬於任何組織，因此治理和計費是由帳戶管理員獨立管理。

3. 目標組織會傳送邀請，讓帳戶加入組織。 

4. 獨立帳戶接受邀請，並成為目標組織的成員。

5. 帳戶已註冊 AWS Control Tower，並移至已註冊的組織單位 （OU）。（我們建議您檢查 AWS Control Tower 儀表板以確認註冊。） 此時，在註冊的 OU 中啟用的所有防護欄都會生效。

工具

AWS 服務

• AWS Organizations 是一種帳戶管理服務，可讓您將多個AWS帳戶合併到您建立並集中管理的單一實體 （組織 ）。

• AWS Control Tower 整合了其他 服務的功能，包括 AWS Organizations、AWSIAMIdentity Center （接續到AWS單一登入） AWS和服務目錄，以協助您在 AWS Cloud 中的所有組織和帳戶中大規模強制執行和管理安全、操作和合規的治理規則。

史詩

從來源組織移除成員帳戶

任務	描述	所需的技能
確認成員帳戶可以作為獨立帳戶執行。	確認將離開來源組織的成員帳戶具有作為獨立帳戶運作所需的資訊。例如，如果成員帳戶沒有帳單資訊，就無法以獨立帳戶運作，因為 AWS會使用付款資訊來收取帳戶未連接至組織時所發生的任何計費AWS活動的費用。 一般而言，如果您使用 AWS Organizations 主控台、 API或 AWS Command Line Interface （CLI） 命令建立成員帳戶，則不會自動收集獨立帳戶所需的資訊。若要新增此資訊，請登入 帳戶，並指定支援計畫、聯絡資訊和付款方式。 如需從組織移除帳戶之前需要知道的詳細資訊，請參閱 AWS Organizations 文件中的從組織移除帳戶之前。	帳戶管理員
從來源組織中移除成員帳戶。	請遵循 AWS Organizations 文件的指示，從組織中移除成員帳戶。您可以登入組織的管理帳戶並移除成員帳戶 ，或登入成員帳戶並離開組織 。 如果您沒有管理員層級憑證可移除或離開帳戶，請向組織的管理員尋求協助。 如果成員帳戶缺少支援計劃、聯絡資訊或付款資訊，系統會提示您提供並驗證該資訊。 當您離開組織時，系統會將您重新導向至 AWS Organizations 主控台的入門頁面，您可以在其中檢視帳戶加入其他組織的邀請。 重要 ：目前您的帳戶是獨立帳戶。如果您執行的工作負載未涵蓋在 AWS Free Tier 內，則會根據您為帳戶提供的付款和帳單資訊收費。	管理帳戶管理員或帳戶管理員
確認成員帳戶不再是來源組織的一部分。	在AWS組織主控台中，您不應再看到離開組織按鈕。相反地，您應該會看到來自其他組織的待處理邀請。	帳戶管理員
從您離開的組織中移除授予帳戶存取權IAM的角色。	當您從來源組織中移除帳戶時，AWS組織或管理員建立的 AWS Identity and Access Management （IAM） 角色不會自動刪除。若要終止來源組織的管理帳戶的存取權，您必須手動刪除IAM角色。如需詳細資訊，請參閱 IAM 文件中的刪除角色或執行個體設定檔。 當成員帳戶離開組織時，會刪除連接至帳戶的所有標籤。獨立帳戶不支援標籤。	帳戶管理員

邀請 帳戶加入新的 組織與 AWS Control Tower

任務	描述	所需的技能
登入 AWS Control Tower。	以管理員身分登入 AWS Control Tower 主控台。  目前，無法直接將AWS帳戶從來源組織移至受 AWS Control Tower 管理的 OU 中的組織。不過，當您將 AWS Control Tower 管理擴展到已受 Control Tower 控制的 OU 時，您可以將AWS該管理擴展到現有AWS帳戶。因此，您必須登入 AWS Control Tower 進行此步驟。	AWS Control Tower 管理員
邀請成員帳戶。	登入 AWS Organizations 主控台，然後導覽至AWS帳戶頁面。  在新增AWS帳戶頁面上，選擇邀請現有AWS帳戶。  完成帳戶資訊，包括 12 位數的帳號 （不含破折號） 以及選用的描述和標籤，然後選擇傳送邀請 。 重要事項：請確認任何應用程式或網路連線都不會受到帳戶轉移的影響。 此動作會傳送邀請電子郵件，其中包含成員帳戶的連結。當帳戶管理員遵循連結並接受邀請時，成員帳戶會出現在AWS帳戶頁面中。如需詳細資訊，請參閱 Organizations 文件中的邀請AWS帳戶加入您的AWS組織。	AWS Control Tower 管理員
測試應用程式和連線。	當成員帳戶已註冊至新組織時，其會出現在根內的 OU 中。它也會出現在 AWS Control Tower 主控台中，標記為未註冊帳戶，因為它尚未註冊 Control AWS Tower 註冊的 OU。 請確認下列內容： 檢查 AWS Control Tower 儀表板，查看是否有任何違反防護措施的行為。 檢查網路連線 （VPN 或 AWS Direct Connect），確保它不受傳輸影響。 （應用程式擁有者） 測試與此帳戶相關聯的應用程式，以驗證它們是否如預期般執行，且相依性不受帳戶轉移的影響。	AWS Control Tower 管理員、成員帳戶管理員、應用程式擁有者

準備帳戶以進行註冊

任務	描述	所需的技能
檢閱護欄並修正任何違規。	檢閱目標 OU 中定義的防護欄，特別是預防性防護欄，並修正任何違規。  設定 AWS Control Tower 登陸區域時，預設會啟用一些強制性的預防性防護機制。這些無法停用。您必須先檢閱這些強制性防護機制，並修正成員帳戶 （手動或使用指令碼），才能註冊帳戶。 注意：預防性防護機制可確保 AWS Control Tower 註冊帳戶合規，並防止違反政策。任何違反預防性防護機制的行為都可能會影響註冊。成功註冊後，如果偵測到偵查護欄違規，則會出現在 AWS Control Tower 儀表板中。它們不會影響註冊程序。如需詳細資訊，請參閱 AWS 文件中的 AWS Control Tower 中的 Guardrails。	AWS Control Tower 管理員、成員帳戶管理員
修正防護欄違規後，請檢查連線問題。	在某些情況下，您可能必須關閉特定連接埠或停用服務，以修正違反防護機制的行為。在您註冊 帳戶之前，請確定已修復使用這些連接埠和服務的應用程式。	應用程式擁有者

將帳戶註冊至 AWS Control Tower

任務	描述	所需的技能
登入 AWS Control Tower 主控台。	使用具有 AWS Control Tower 管理許可的登入憑證。請勿使用根使用者 （管理帳戶） 憑證來註冊 AWS Organizations 帳戶。這會顯示錯誤訊息。	AWS Control Tower 管理員
註冊 帳戶。	在 AWS Control Tower 中的 Account Factory 頁面中，選擇註冊帳戶 。 填寫詳細資訊，包括與您要註冊之帳戶相關聯的電子郵件地址、出現在 AWS Control Tower 中的顯示名稱、IAM身分中心電子郵件地址、帳戶擁有者的名字和姓氏，以及您要註冊帳戶的 OU。IAM Identity Center 電子郵件地址是您偏好的使用者電子郵件地址。您可以使用與帳戶電子郵件相同的電子郵件地址。 選擇 Enroll acount (註冊帳戶)。 如需詳細資訊，請參閱 AWS Control Tower 文件中的註冊現有帳戶。	AWS Control Tower 管理員

註冊後驗證帳戶

任務	描述	所需的技能
驗證帳戶。	從 AWS Control Tower 中，選擇帳戶 。您剛註冊的帳戶初始狀態為註冊 。註冊完成時，其狀態會變更為已註冊 。	AWS Control Tower 管理員、成員帳戶管理員
檢查護欄違規。	OU 中定義的護欄會自動套用至已註冊的成員帳戶。監控 AWS Control Tower 儀表板是否有違規，並相應地修正。如需詳細資訊，請參閱 AWS 文件中的 AWS Control Tower 中的 Guardrails。	AWS Control Tower 管理員、成員帳戶管理員

故障診斷

問題	解決方案
您會收到錯誤訊息：發生未知錯誤。請稍後再試，或聯絡 AWS 支援。	當您在 AWS Control Tower 中使用根使用者憑證 （管理帳戶） 註冊新帳戶時，就會發生此錯誤。AWS Service Catalog 無法將 Account Factory Portfolio 或產品對應至根使用者，這會導致錯誤訊息。若要修正此錯誤，請使用非根、完整存取的使用者 （管理員） 憑證來註冊新帳戶。如需如何將管理存取權指派給管理使用者的詳細資訊，請參閱AWSIAM身分中心 （接續至AWS單一登入） 文件中的入門。
AWS Control Tower 活動頁面會顯示 Get Catastrophic Drift 動作。	此動作反映服務的偏離檢查，並不表示 AWS Control Tower 設定的任何問題。無需採取任何動作。

相關資源

文件

• AWS 組織術語和概念 （AWS組織文件）

• 什麼是 AWS Control Tower？ （AWS Control Tower 文件）

• 從組織中移除成員帳戶 （AWS Organizations 文件）

• 在 AWS Control Tower （ Control Tower 文件） 中建立管理員帳戶 AWS

教學課程和影片

• AWS Control Tower 研討會 （自定進度研討會）

• 什麼是 AWS Control Tower？（影片）

• 在 AWS Control Tower 佈建使用者 （影片）

• 為現有組織啟用AWS控制塔 （影片）