Añada manualmente el IAM rol requerido a uno existente Cuenta de AWS e inscríbalo - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Añada manualmente el IAM rol requerido a uno existente Cuenta de AWS e inscríbalo

Si ya configuraste la zona de aterrizaje de la Torre de AWS Control, puedes empezar a inscribir las cuentas de tu organización en una OU registrada en AWS Control Tower. Si no has configurado tu landing zone, sigue los pasos descritos en la Guía del usuario de la Torre de AWS Control, en Introducción, paso 2. Una vez que la landing zone esté lista, complete los siguientes pasos para que AWS Control Tower controle las cuentas existentes de forma manual.

Asegúrese de revisar lo Requisitos previos para la inscripción indicado anteriormente en este capítulo.

Antes de registrar una cuenta en AWS Control Tower, debes dar permiso a AWS Control Tower para administrar esa cuenta. Para ello, añadirá un rol que tenga acceso total a la cuenta, tal y como se indica en los pasos que se indican a continuación. Estos pasos se deben realizar para cada cuenta que inscriba.

Para cada cuenta:

Paso 1: inicie sesión con acceso de administrador en la cuenta de administración de la organización que contiene actualmente la cuenta que desea inscribir.

Por ejemplo, si creó esta cuenta desde AWS Organizations y utiliza un IAM rol multicuenta para iniciar sesión, puede seguir estos pasos:

  1. Inicia sesión en la cuenta de administración de tu organización.

  2. Vaya a AWS Organizations.

  3. En Cuentas, selecciona la cuenta que quieres inscribir y copia su ID de cuenta.

  4. Abre el menú desplegable de la cuenta en la barra de navegación superior y selecciona Cambiar rol.

  5. En el formulario Cambiar de rol, rellena los siguientes campos:

    • En Cuenta, introduce el ID de cuenta que copiaste.

    • En Función, introduzca el nombre de la IAM función que permite el acceso entre cuentas a esta cuenta. El nombre de este rol se definió cuando se creó la cuenta. Si no especificó un nombre de rol al crear la cuenta, introduzca el nombre de rol predeterminado,OrganizationAccountAccessRole.

  6. Elija Switch Role.

  7. Ahora debería iniciar sesión en la cuenta AWS Management Console como hijo.

  8. Cuando termines, permanece en la cuenta infantil durante la siguiente parte del procedimiento.

  9. Anota el identificador de la cuenta de administración, ya que tendrás que introducirlo en el siguiente paso.

Paso 2: AWS Otorga permiso a Control Tower para administrar la cuenta.

  1. Vaya a IAM.

  2. Ve a Funciones.

  3. Elija Crear rol.

  4. Cuando se te pida que selecciones el servicio al que corresponde el rol, selecciona Política de confianza personalizada.

  5. Copie el ejemplo de código que se muestra aquí y péguelo en el documento de política. Sustituya la cadena ID de cuenta de administración con el ID de cuenta de administración real de su cuenta de administración. Esta es la política para pegar:

    {
   "Version":"2012-10-17",
   "Statement":[
      {
      "Effect":"Allow",
      "Principal":{
         "AWS": "arn:aws:iam::Management Account ID:root"
         },
         "Action": "sts:AssumeRole",
         "Condition": {} 
      }
   ]
  }

  6. Cuando se le pida que adjunte políticas, elija AdministratorAccess.

  7. Elija Siguiente:Etiquetas.

  8. Es posible que veas una pantalla opcional titulada Añadir etiquetas. Omite esta pantalla por ahora seleccionando Next:Review

  9. En la pantalla de revisión, en el campo Nombre del rol, introduzca. AWSControlTowerExecution

  10. Introduzca una breve descripción en el cuadro Descripción, como por ejemplo Permite el acceso total a la cuenta para la inscripción.

  11. Elija Crear rol.

Paso 3: Para inscribir la cuenta, muévala a una unidad organizativa registrada y verifique la inscripción.

Una vez que haya configurado los permisos necesarios mediante la creación del rol, siga estos pasos para inscribir la cuenta y verificar la inscripción.

  1. Vuelve a iniciar sesión como administrador y ve a la Torre AWS de Control.

  2. Inscriba la cuenta.

    • En la página de la organización de AWS Control Tower, selecciona tu cuenta y, a continuación, selecciona Inscribirse en el menú desplegable Acciones de la esquina superior derecha.

    • Sigue los pasos para registrar una cuenta individual, tal y como se muestra en la Pasos para registrar una cuenta página.

  3. Verifica la inscripción.

    • En la Torre de AWS Control, selecciona Organización en el panel de navegación de la izquierda.

    • Busca la cuenta que has inscrito recientemente. Su estado inicial mostrará el estado de Inscripción.

    • Cuando el estado cambia a Inscrito, la mudanza se realizó correctamente.

Para continuar con este proceso, inicie sesión en cada cuenta de su organización que desee inscribir en AWS Control Tower. Repita los pasos previos y los pasos de inscripción para cada cuenta.