Fügen Sie die erforderliche IAM-Rolle manuell zu einer vorhandenen hinzu AWS-Konto und registrieren Sie sie - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fügen Sie die erforderliche IAM-Rolle manuell zu einer vorhandenen hinzu AWS-Konto und registrieren Sie sie

Wenn Sie Ihre AWS Control Tower-Landing landing zone bereits eingerichtet haben, können Sie damit beginnen, die Konten Ihrer Organisation in einer OU zu registrieren, die bei AWS Control Tower registriert ist. Wenn Sie Ihre landing zone noch nicht eingerichtet haben, folgen Sie den Schritten, die im AWS Control Tower Tower-Benutzerhandbuch unter Erste Schritte, Schritt 2 beschrieben sind. Wenn die landing zone fertig ist, führen Sie die folgenden Schritte aus, um bestehende Konten manuell unter die Verwaltung durch AWS Control Tower zu bringen.

Lesen Sie sich unbedingt die zuvor Voraussetzungen für die Registrierung in diesem Kapitel genannten Punkte durch.

Bevor Sie ein Konto bei AWS Control Tower registrieren, müssen Sie AWS Control Tower die Erlaubnis zur Verwaltung dieses Kontos erteilen. Dazu fügen Sie eine Rolle hinzu, die vollen Zugriff auf das Konto hat, wie in den folgenden Schritten gezeigt. Diese Schritte müssen für jedes Konto ausgeführt werden, das Sie registrieren.

Für jedes Konto:

Schritt 1: Melden Sie sich mit Administratorzugriff auf das Verwaltungskonto der Organisation an, die derzeit das Konto enthält, das Sie registrieren möchten.

Wenn Sie dieses Konto beispielsweise erstellt haben AWS Organizations und sich mit einer kontoübergreifenden IAM-Rolle anmelden, können Sie die folgenden Schritte ausführen:

  1. Melden Sie sich beim Verwaltungskonto Ihrer Organisation an.

  2. Wechseln Sie zu AWS Organizations.

  3. Wählen Sie unter Konten das Konto aus, das Sie registrieren möchten, und kopieren Sie die zugehörige Konto-ID.

  4. Öffnen Sie das Dropdownmenü für das Konto in der oberen Navigationsleiste und wählen Sie „Rolle wechseln“.

  5. Füllen Sie im Formular „Rolle wechseln“ die folgenden Felder aus:

    • Geben Sie unter Konto die Konto-ID ein, die Sie kopiert haben.

    • Geben Sie unter Rolle den Namen der IAM-Rolle ein, die den kontoübergreifenden Zugriff auf dieses Konto ermöglicht. Der Name dieser Rolle wurde bei der Erstellung des Kontos definiert. Wenn Sie bei der Erstellung des Kontos keinen Rollennamen angegeben haben, geben Sie den Standardrollennamen einOrganizationAccountAccessRole.

  6. Wählen Sie Switch Role.

  7. Sie sollten jetzt AWS Management Console als Kind angemeldet sein.

  8. Wenn Sie fertig sind, bleiben Sie für den nächsten Teil des Vorgangs im Kinderkonto.

  9. Notieren Sie sich die Verwaltungskonto-ID, da Sie sie im nächsten Schritt eingeben müssen.

Schritt 2: Erteilen Sie AWS Control Tower die Erlaubnis, das Konto zu verwalten.

  1. Gehen Sie zu IAM.

  2. Gehen Sie zu Rollen.

  3. Wählen Sie Rolle erstellen aus.

  4. Wenn Sie gefragt werden, für welchen Dienst die Rolle bestimmt ist, wählen Sie Benutzerdefinierte Vertrauensrichtlinie.

  5. Kopieren Sie das hier gezeigte Codebeispiel und fügen Sie es in das Richtliniendokument ein. Ersetzen Sie die Zeichenfolge Management Account IDdurch die tatsächliche Verwaltungskonto-ID Ihres Verwaltungskontos. Hier ist die Richtlinie zum Einfügen:

    {
   "Version":"2012-10-17",
   "Statement":[
      {
      "Effect":"Allow",
      "Principal":{
         "AWS": "arn:aws:iam::Management Account ID:root"
         },
         "Action": "sts:AssumeRole",
         "Condition": {} 
      }
   ]
  }

  6. Wenn Sie aufgefordert werden, Richtlinien anzuhängen, wählen Sie AdministratorAccess.

  7. Wählen Sie Weiter: Tags aus.

  8. Möglicherweise wird ein optionaler Bildschirm mit dem Titel Tags hinzufügen angezeigt. Überspringe diesen Bildschirm vorerst, indem du Weiter:Rezension wählst

  9. Geben Sie auf dem Überprüfungsbildschirm im Feld Rollenname den Text ein. AWSControlTowerExecution

  10. Geben Sie in das Feld Beschreibung eine kurze Beschreibung ein, z. B. Erlaubt vollen Kontozugriff für die Registrierung.

  11. Wählen Sie Rolle erstellen aus.

Schritt 3: Registrieren Sie das Konto, indem Sie es in eine registrierte Organisationseinheit verschieben, und überprüfen Sie die Registrierung.

Nachdem Sie die erforderlichen Berechtigungen eingerichtet haben, indem Sie die Rolle erstellt haben, gehen Sie wie folgt vor, um das Konto zu registrieren und die Registrierung zu überprüfen.

  1. Melden Sie sich erneut als Admin an und gehen Sie zu AWS Control Tower.

  2. Registrieren Sie das Konto.

    • Wählen Sie auf der Seite Organisation in AWS Control Tower Ihr Konto aus und wählen Sie dann oben rechts im Dropdownmenü Aktionen die Option Registrieren aus.

    • Folgen Sie den Schritten zur Registrierung eines einzelnen Kontos, wie auf der Seite gezeigt. Schritte zur Registrierung eines Kontos

  3. Überprüfen Sie die Registrierung.

    • Wählen Sie in AWS Control Tower in der linken Navigationsleiste Organisation aus.

    • Suchen Sie nach dem Konto, das Sie kürzlich registriert haben. Im Anfangsstatus wird der Status „Registrierung“ angezeigt.

    • Wenn sich der Status auf Eingeschrieben ändert, war die Verschiebung erfolgreich.

Um diesen Vorgang fortzusetzen, melden Sie sich bei jedem Konto in Ihrer Organisation an, das Sie bei AWS Control Tower registrieren möchten. Wiederholen Sie die erforderlichen Schritte und die Registrierungsschritte für jedes Konto.