Registrieren Sie ein bestehendes Konto - AWS Control Tower
Schritte zur Registrierung eines KontosHäufige Ursachen für fehlgeschlagene Registrierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Registrieren Sie ein bestehendes Konto

Die Funktion Konto registrieren ist in der AWS Control Tower-Konsole verfügbar und ermöglicht die Registrierung vorhandener Konten, AWS-Konten sodass sie vom AWS Control Tower verwaltet werden. Weitere Informationen finden Sie unter Ein vorhandenes Konto registrieren. AWS-Konto

Die Funktion Enroll account (Konto anmelden) ist verfügbar, wenn sich Ihre Landing Zone nicht in einem Abweichungsstatus befindet. So zeigen Sie diese Funktion in der Konsole an:

  • Navigieren Sie zur Organisationsseite in AWS Control Tower.

  • Suchen Sie den Namen des Kontos, das Sie registrieren möchten. Um ihn zu finden, wählen Sie im Dropdownmenü oben rechts die Option Nur Konten aus und suchen Sie dann in der gefilterten Tabelle nach dem Kontonamen.

  • Folgen Sie den Schritten zur Registrierung eines einzelnen Kontos, wie im Schritte zur Registrierung eines Kontos Abschnitt gezeigt.

Anmerkung

Wenn Sie ein vorhandenes Konto registrieren AWS-Konto, achten Sie darauf, die bestehende E-Mail-Adresse zu überprüfen. Andernfalls kann ein neues Konto erstellt werden.

Bestimmte Fehler erfordern es möglicherweise, dass Sie die Seite aktualisieren und es erneut versuchen. Wenn sich Ihre Landing Zone in einem Abweichungsstatus befindet, können Sie die Funktion Enroll account (Konto anmelden) möglicherweise nicht erfolgreich verwenden. Sie müssen neue Konten über Account Factory einrichten, bis Ihr Problem in der landing zone behoben ist.

Wenn Sie Konten von der AWS Control Tower Tower-Konsole aus registrieren, müssen Sie bei einem Konto mit einem Benutzer angemeldet sein, für den die AWSServiceCatalogEndUserFullAccess Richtlinie aktiviert ist, sowie über Administratorzugriffsberechtigungen für die Verwendung der AWS Control Tower Tower-Konsole verfügen. Sie können nicht als Root-Benutzer angemeldet sein.

Konten, die Sie registrieren, können AWS über die Control Tower Account Factory aktualisiert werden, so wie Sie jedes andere Konto aktualisieren würden. AWS Service Catalog Aktualisierungsverfahren werden im Abschnitt Accounts auf Werkseinstellungen aktualisieren und verschieben mit AWS Control Tower oder mit AWS Service Catalog genannt.

Schritte zur Registrierung eines Kontos

Nachdem die AdministratorAccessGenehmigung (Richtlinie) für Ihr bestehendes Konto gilt, gehen Sie wie folgt vor, um das Konto zu registrieren:

Um ein individuelles Konto bei AWS Control Tower zu registrieren

  • Navigieren Sie zur AWS Control Tower Tower-Organisationsseite.

  • Auf der Seite Organisation können Sie bei Konten, die für eine Registrierung in Frage kommen, im Dropdownmenü „Aktionen“ oben im Abschnitt die Option „Registrieren“ auswählen. Bei diesen Konten wird außerdem die Schaltfläche „Konto registrieren“ angezeigt, wenn Sie sie auf der Seite mit den Kontodetails aufrufen.

  • Wenn Sie Konto registrieren wählen, wird die Seite Konto registrieren angezeigt, auf der Sie aufgefordert werden, die AWSControlTowerExecution Rolle dem Konto hinzuzufügen. Einige Anweisungen finden Sie unter. Fügen Sie die erforderliche IAM Rolle manuell zu einer vorhandenen hinzu AWS-Konto und registrieren Sie sie

  • Wählen Sie als Nächstes eine registrierte Organisationseinheit aus der Dropdownliste aus. Wenn sich das Konto bereits in einer registrierten OU befindet, wird die OU in dieser Liste angezeigt.

  • Wählen Sie Enroll account (Konto anmelden).

  • Es wird eine modale Erinnerung angezeigt, in der Sie aufgefordert werden, die AWSControlTowerExecution Rolle hinzuzufügen und die Aktion zu bestätigen.

  • Wählen Sie „Anmelden“.

  • AWSControl Tower beginnt mit der Registrierung und Sie werden zurück zur Seite mit den Kontodetails geleitet.

Häufige Ursachen für fehlgeschlagene Registrierung

  • Um ein bestehendes Konto zu registrieren, muss die AWSControlTowerExecution Rolle in dem Konto vorhanden sein, das Sie registrieren.

  • Ihrem IAM Schulleiter fehlen möglicherweise die erforderlichen Berechtigungen, um ein Konto einzurichten.

  • AWS Security Token Service (AWS STS) ist AWS-Konto in Ihrer Heimatregion oder in einer von AWS Control Tower unterstützten Region deaktiviert.

  • Möglicherweise sind Sie bei einem Konto angemeldet, das dem Account Factory Portfolio hinzugefügt werden muss AWS Service Catalog. Das Konto muss hinzugefügt werden, bevor Sie Zugriff auf Account Factory haben, damit Sie ein Konto bei AWS Control Tower erstellen oder registrieren können. Wenn der entsprechende Benutzer oder die entsprechende Rolle nicht zum Account Factory Factory-Portfolio hinzugefügt wird, erhalten Sie eine Fehlermeldung, wenn Sie versuchen, ein Konto hinzuzufügen. Anweisungen, wie Sie Zugriff auf AWS Service Catalog Portfolios gewähren, finden Sie unter Benutzern Zugriff gewähren.

  • Möglicherweise sind Sie als Stammbenutzer angemeldet.

  • Das Konto, das Sie registrieren möchten, hat möglicherweise AWS Config Resteinstellungen. Insbesondere kann das Konto über einen Konfigurationsrekorder oder einen Zustellungskanal verfügen. Diese müssen über gelöscht oder geändert werden, AWS CLI bevor Sie ein Konto registrieren können. Weitere Informationen erhalten Sie unter Registrieren von Konten mit vorhandenen AWS Config Ressourcen und Interagiere mit AWS Control Tower durch AWS CloudShell.

  • Wenn das Konto zu einer anderen Organisationseinheit mit einem Verwaltungskonto gehört, einschließlich einer anderen AWS Control Tower Tower-Organisationseinheit, müssen Sie das Konto in der aktuellen Organisationseinheit kündigen, bevor es einer anderen Organisationseinheit beitreten kann. Bestehende Ressourcen müssen in der ursprünglichen Organisationseinheit entfernt werden. Andernfalls schlägt die Anmeldung fehl.

  • Die Kontobereitstellung und Registrierung schlägt fehl, wenn Ihre Ziel-Organisationseinheiten es Ihnen SCPs nicht ermöglichen, alle für dieses Konto erforderlichen Ressourcen zu erstellen. Beispielsweise kann eine Organisationseinheit SCP in Ihrer Zielorganisation die Ressourcenerstellung ohne bestimmte Tags blockieren. In diesem Fall schlägt die Kontobereitstellung oder Registrierung fehl, da AWS Control Tower das Taggen von Ressourcen nicht unterstützt. Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren Kundenbetreuer, oder. AWS Support

Weitere Informationen darüber, wie AWS Control Tower mit Rollen arbeitet, wenn Sie neue Konten erstellen oder bestehende Konten registrieren, finden Sie unter Rollen und Konten.

Tipp

Wenn Sie nicht bestätigen können, dass eine bestehende Organisationseinheit die Registrierungsvoraussetzungen AWS-Konto erfüllt, können Sie eine Registrierungs-OU einrichten und das Konto in dieser OU registrieren. Nach erfolgreicher Registrierung können Sie das Konto in die gewünschte Organisationseinheit verschieben. Schlägt die Registrierung fehl, OUs sind keine anderen Konten von dem Fehler betroffen.

Wenn Sie Zweifel haben, ob Ihre bestehenden Konten und deren Konfigurationen mit AWS Control Tower kompatibel sind, können Sie die im folgenden Abschnitt empfohlenen Best Practices befolgen.

Empfohlen: Sie können ein zweistufiges Konzept für die Kontoregistrierung einrichten

  • Verwenden Sie zunächst ein AWS Config Konformitätspaket, um zu bewerten, wie Ihre Konten von einigen AWS Control Tower Tower-Kontrollen betroffen sein könnten. Informationen darüber, wie sich die Registrierung bei AWS Control Tower auf Ihre Konten auswirken kann, finden Sie unter Erweitern der AWS Control Tower Tower-Governance mithilfe von AWS Config Conformance Packs.

  • Anschließend können Sie das Konto anmelden. Wenn die Compliance-Ergebnisse zufriedenstellend sind, ist der Migrationspfad einfacher, da Sie das Konto ohne unerwartete Folgen anmelden können.

  • Wenn Sie sich nach Abschluss Ihrer Evaluierung dafür entscheiden, eine AWS Kontrollturm-Landezone einzurichten, müssen Sie möglicherweise den AWS Config Lieferkanal und den Konfigurationsrekorder entfernen, die für Ihre Evaluierung erstellt wurden. Dann können Sie den AWS Control Tower erfolgreich einrichten.

Anmerkung

Das Conformance Pack funktioniert auch in Situationen, in denen sich die Konten im vom AWS Control Tower OUs registrierten Bereich befinden, die Workloads jedoch in AWS Regionen ausgeführt werden, die AWS Control Tower nicht unterstützen. Sie können das Conformance Pack verwenden, um Ressourcen in Konten zu verwalten, die in Regionen existieren, in denen AWS Control Tower nicht bereitgestellt wird.