Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower

Eine effiziente Möglichkeit, mehrere bestehende AWS Konten in AWS Control Tower zu integrieren, besteht darin, die Verwaltung durch AWS Control Tower auf eine gesamte Organisationseinheit (OU) auszudehnen.

Um die AWS Control Tower Tower-Governance für eine bestehende Organisationseinheit, die mit erstellt wurde AWS Organizations, und deren Konten zu aktivieren, registrieren Sie die Organisationseinheit in Ihrer AWS Control Tower Tower-Landing landing zone. Sie können Organisationseinheiten registrieren, die bis zu 300 Konten enthalten. Wenn eine Organisationseinheit mehr als 300 Konten enthält, können Sie sie nicht in AWS Control Tower registrieren.

Wenn Sie eine OU registrieren, werden ihre Mitgliedskonten in der AWS Control Tower Tower-Landing landing zone registriert. Sie unterliegen den Kontrollen, die für ihre Organisationseinheit gelten.

Was passiert mit meinen Konten, wenn ich meine OU registriere?

AWS Control Tower benötigt die Genehmigung, um einen vertrauenswürdigen Zugriff zwischen AWS CloudFormation und in AWS Organizations Ihrem Namen einzurichten, AWS CloudFormation sodass Ihr Stack automatisch für die Konten in Ihrer Organisation bereitgestellt werden kann.

Teilweise Registrierung von Konten nach der Registrierung einer Organisationseinheit

Es ist möglich, eine Organisationseinheit erfolgreich zu registrieren, bestimmte Konten können jedoch weiterhin abgemeldet werden. Falls ja, erfüllen diese Konten einige der Voraussetzungen für die Registrierung nicht. Wenn eine Kontoregistrierung im Rahmen des Prozesses „Organisationseinheit registrieren“ nicht erfolgreich ist, zeigt der Kontostatus auf der Kontoseite die Meldung Registrierung fehlgeschlagen an. Möglicherweise sehen Sie auch Kontoinformationen auf Ihrer OU-Seite, z. B. 4 von 5, im Feld Konten.

Wenn Sie beispielsweise 4 von 5 sehen, bedeutet das, dass Ihre Organisationseinheit insgesamt 5 Konten hat und 4 davon erfolgreich registriert wurden, aber ein Konto konnte während des Prozesses „Organisationseinheit registrieren“ nicht registriert werden. Sie können die Option Organisationseinheit erneut registrieren wählen, um Konten zur Registrierung hinzuzufügen, nachdem Sie sichergestellt haben, dass die Konten die Registrierungsvoraussetzungen erfüllen.

IAM-Benutzervoraussetzungen für die Registrierung einer Organisationseinheit

Ihre AWS Identity and Access Management (IAM-) Identität (Benutzer oder Rolle) oder IAM Identity Center-Benutzeridentität muss im entsprechenden Account Factory Factory-Portfolio enthalten sein, wenn Sie den Vorgang „Organisationseinheit registrieren“ ausführen, auch wenn Sie bereits über die entsprechenden Berechtigungen verfügenAdmin. Andernfalls schlägt die Erstellung der bereitgestellten Produkte bei der Registrierung fehl. Ein Fehler tritt auf, weil AWS Control Tower bei der Registrierung einer Organisationseinheit auf die Anmeldeinformationen des IAM-Benutzers oder der IAM Identity Center-Benutzeridentität angewiesen ist.

Das entsprechende Portfolio wurde von AWS Control Tower erstellt und heißt AWS Control Tower Account Factory Portfolio. Navigieren Sie dazu, indem Sie Service Catalog > Account Factory > AWS Control Tower Account Factory Portfolio wählen. Wählen Sie dann die Registerkarte Gruppen, Rollen und Benutzer aus, um Ihre IAM- oder IAM Identity Center-Identität einzusehen. Weitere Informationen dazu, wie Sie Zugriff gewähren, finden Sie in der Dokumentation für. AWS Service Catalog