Registrieren Sie ein bestehendes Konto - AWS Control Tower
Schritte zur Registrierung eines KontosHäufige Ursachen für eine fehlgeschlagene Registrierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Registrieren Sie ein bestehendes Konto

Die Funktion Konto registrieren ist in der AWS Control Tower-Konsole verfügbar und ermöglicht die Registrierung vorhandener Konten, AWS-Konten sodass diese von AWS Control Tower verwaltet werden. Weitere Informationen finden Sie unter Ein vorhandenes Konto registrieren. AWS-Konto

Die Funktion Enroll account (Konto anmelden) ist verfügbar, wenn sich Ihre Landing Zone nicht in einem Abweichungsstatus befindet. So zeigen Sie diese Funktion in der Konsole an:

  • Navigieren Sie zur Seite Organisation in AWS Control Tower.

  • Suchen Sie den Namen des Kontos, das Sie registrieren möchten. Um ihn zu finden, wählen Sie im Dropdownmenü oben rechts die Option Nur Konten aus und suchen Sie dann in der gefilterten Tabelle nach dem Kontonamen.

  • Folgen Sie den Schritten zur Registrierung eines einzelnen Kontos, wie im Schritte zur Registrierung eines Kontos Abschnitt gezeigt.

Anmerkung

Wenn Sie ein vorhandenes Konto registrieren, stellen Sie sicher AWS-Konto, dass Sie die bestehende E-Mail-Adresse verifizieren. Andernfalls kann ein neues Konto erstellt werden.

Bestimmte Fehler erfordern es möglicherweise, dass Sie die Seite aktualisieren und es erneut versuchen. Wenn sich Ihre Landing Zone in einem Abweichungsstatus befindet, können Sie die Funktion Enroll account (Konto anmelden) möglicherweise nicht erfolgreich verwenden. Sie müssen neue Konten über Account Factory einrichten, bis Ihr Problem in der landing zone behoben ist.

Wenn Sie Konten über die AWS Control Tower Tower-Konsole registrieren, müssen Sie bei einem Konto mit einem Benutzer angemeldet sein, für den die AWSServiceCatalogEndUserFullAccess Richtlinie aktiviert ist, sowie über Administratorzugriffsberechtigungen für die Nutzung der AWS Control Tower Tower-Konsole verfügen. Sie können nicht als Root-Benutzer angemeldet sein.

Konten, die Sie registrieren, können über die AWS Control Tower Account Factory aktualisiert werden, so wie Sie jedes andere Konto aktualisieren würden. AWS Service Catalog Aktualisierungsverfahren werden im Abschnitt Aktualisierung und Verschiebung von Accountfactory-Konten mit AWS Control Tower oder mit AWS Service Catalog genannt.

Schritte zur Registrierung eines Kontos

Nachdem die AdministratorAccessGenehmigung (Richtlinie) für Ihr bestehendes Konto gilt, gehen Sie wie folgt vor, um das Konto zu registrieren:

Um ein einzelnes Konto bei AWS Control Tower zu registrieren

  • Navigieren Sie zur Seite AWS Control Tower Organization.

  • Auf der Seite Organisation können Sie bei Konten, die für eine Registrierung in Frage kommen, oben im Abschnitt im Dropdownmenü „Aktionen“ die Option „Registrieren“ auswählen. Bei diesen Konten wird außerdem die Schaltfläche „Konto registrieren“ angezeigt, wenn Sie sie auf der Seite mit den Kontodetails aufrufen.

  • Wenn Sie „Konto registrieren“ wählen, wird die Seite „Konto registrieren“ angezeigt, auf der Sie aufgefordert werden, die AWSControlTowerExecution Rolle dem Konto hinzuzufügen. Einige Anweisungen finden Sie unter. Fügen Sie die erforderliche IAM-Rolle manuell zu einer vorhandenen hinzu AWS-Konto und registrieren Sie sie

  • Wählen Sie als Nächstes eine registrierte Organisationseinheit aus der Dropdownliste aus. Wenn sich das Konto bereits in einer registrierten OU befindet, wird die OU in dieser Liste angezeigt.

  • Wählen Sie Enroll account (Konto anmelden).

  • Es wird eine modale Erinnerung angezeigt, in der Sie aufgefordert werden, die AWSControlTowerExecution Rolle hinzuzufügen und die Aktion zu bestätigen.

  • Wählen Sie „Anmelden“.

  • AWS Control Tower beginnt mit der Registrierung und Sie werden zurück zur Seite mit den Kontodetails geleitet.

Häufige Ursachen für eine fehlgeschlagene Registrierung

  • Um ein bestehendes Konto zu registrieren, muss die AWSControlTowerExecution Rolle in dem Konto vorhanden sein, das Sie registrieren.

  • Ihrem IAM-Prinzipal fehlen die erforderlichen Berechtigungen zum Bereitstellen eines Kontos.

  • AWS Security Token Service (AWS STS) ist in Ihrer Heimatregion oder AWS-Konto in einer anderen Region, die von AWS Control Tower unterstützt wird, deaktiviert.

  • Möglicherweise sind Sie bei einem Konto angemeldet, das dem Account Factory Portfolio hinzugefügt werden muss AWS Service Catalog. Das Konto muss hinzugefügt werden, bevor Sie Zugriff auf Account Factory haben, damit Sie ein Konto bei AWS Control Tower erstellen oder registrieren können. Wenn der entsprechende Benutzer oder die entsprechende Rolle nicht zum Account Factory Factory-Portfolio hinzugefügt wird, erhalten Sie eine Fehlermeldung, wenn Sie versuchen, ein Konto hinzuzufügen. Anweisungen, wie Sie Zugriff auf AWS Service Catalog Portfolios gewähren, finden Sie unter Benutzern Zugriff gewähren.

  • Möglicherweise sind Sie als Stammbenutzer angemeldet.

  • Das Konto, das Sie registrieren möchten, hat möglicherweise AWS Config Resteinstellungen. Insbesondere kann das Konto über einen Konfigurationsrekorder oder einen Zustellungskanal verfügen. Diese müssen über gelöscht oder geändert werden, AWS CLI bevor Sie ein Konto registrieren können. Weitere Informationen finden Sie unter Registrieren von Konten mit vorhandenen AWS Config Ressourcen und Interaktion mit AWS Control Tower mithilfe von AWS CloudShell.

  • Wenn das Konto zu einer anderen Organisationseinheit mit einem Verwaltungskonto gehört, einschließlich einer anderen AWS Control Tower Tower-Organisationseinheit, müssen Sie das Konto in der aktuellen Organisationseinheit kündigen, bevor es einer anderen Organisationseinheit beitreten kann. Bestehende Ressourcen müssen in der ursprünglichen Organisationseinheit entfernt werden. Andernfalls schlägt die Anmeldung fehl.

  • Die Kontobereitstellung und Registrierung schlägt fehl, wenn die SCPs Ihrer Ziel-OU es Ihnen nicht ermöglichen, alle für dieses Konto erforderlichen Ressourcen zu erstellen. Beispielsweise kann ein SCP in Ihrer Ziel-OU die Ressourcenerstellung ohne bestimmte Tags blockieren. In diesem Fall schlägt die Kontobereitstellung oder Registrierung fehl, da AWS Control Tower das Taggen von Ressourcen nicht unterstützt. Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren Kundenbetreuer, oder. AWS Support

Weitere Informationen darüber, wie AWS Control Tower mit Rollen arbeitet, wenn Sie neue Konten erstellen oder bestehende Konten registrieren, finden Sie unter Rollen und Konten.

Tipp

Wenn Sie nicht bestätigen können, dass eine bestehende Organisationseinheit die Registrierungsvoraussetzungen AWS-Konto erfüllt, können Sie eine Registrierungs-OU einrichten und das Konto in dieser OU registrieren. Nach erfolgreicher Registrierung können Sie das Konto in die gewünschte Organisationseinheit verschieben. Wenn die Registrierung fehlschlägt, sind keine anderen Konten oder Organisationseinheiten von dem Fehler betroffen.

Wenn Sie Zweifel haben, ob Ihre bestehenden Konten und deren Konfigurationen mit AWS Control Tower kompatibel sind, können Sie die im folgenden Abschnitt empfohlenen Best Practices befolgen.

Empfohlen: Sie können ein zweistufiges Konzept für die Kontoregistrierung einrichten

  • Verwenden Sie zunächst ein AWS Config Konformitätspaket, um zu bewerten, wie Ihre Konten von einigen AWS Control Tower Tower-Kontrollen betroffen sein könnten. Informationen darüber, wie sich die Registrierung bei AWS Control Tower auf Ihre Konten auswirken kann, finden Sie unter Erweitern der AWS Control Tower Tower-Governance mithilfe von AWS Config Konformitätspaketen.

  • Anschließend können Sie das Konto anmelden. Wenn die Compliance-Ergebnisse zufriedenstellend sind, ist der Migrationspfad einfacher, da Sie das Konto ohne unerwartete Folgen anmelden können.

  • Wenn Sie sich nach Abschluss Ihrer Evaluierung für die Einrichtung einer AWS Control Tower Tower-Landezone entscheiden, müssen Sie möglicherweise den AWS Config Lieferkanal und den Konfigurationsrekorder entfernen, die für Ihre Evaluierung erstellt wurden. Dann können Sie AWS Control Tower erfolgreich einrichten.

Anmerkung

Das Conformance Pack funktioniert auch in Situationen, in denen sich die Konten in von AWS Control Tower registrierten Organisationseinheiten befinden, die Workloads jedoch in AWS Regionen ausgeführt werden, die keinen AWS Control Tower Tower-Support bieten. Sie können das Conformance Pack verwenden, um Ressourcen in Konten zu verwalten, die in Regionen existieren, in denen AWS Control Tower nicht bereitgestellt wird.