Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Registrar una unidad organizativa existente con AWS Control Tower
Una forma eficiente de incorporar varias existentes AWS Las cuentas en la Torre de AWS Control tienen como objetivo extender la gobernanza AWS de la Torre de Control a toda una unidad organizativa (OU).
Para permitir el gobierno de la Torre de AWS Control sobre una OU existente que se creó con AWS Organizations y sus cuentas, registre la OU en la zona de aterrizaje de la Torre de AWS Control Tower. Puede registrar cuentas OUs que contengan hasta 300. Si una OU contiene más de 300 cuentas, no puede registrarla en AWS Control Tower.
Al registrar una OU, las cuentas de sus miembros se inscriben en la zona de aterrizaje de la AWS Control Tower. Se rigen por los controles que se aplican a su OU.
nota
Si aún no tienes una zona de aterrizaje de la Torre de AWS Control, comienza por configurar una zona de aterrizaje, ya sea en una nueva organización creada por AWS Control Tower o en una existente AWS Organizations organización. Para obtener más información sobre cómo configurar una landing zone, consulteIntroducción a AWS Control Tower.
¿Qué ocurre con mis cuentas cuando registro mi OU?
AWSControl Tower requiere permiso para establecer un acceso confiable entre AWS CloudFormation y AWS Organizations en tu nombre, para que AWS CloudFormation puede implementar su pila en las cuentas de su organización automáticamente.
-
El
AWSControlTowerExecutionrol se agrega a todas las cuentas con el estado No inscrito. -
Los controles obligatorios se activan de forma predeterminada en la OU y en todas sus cuentas al registrar la OU.
Inscripción parcial de las cuentas después de registrar una OU
Es posible registrar una OU correctamente, pero es posible que algunas cuentas permanezcan sin inscribir. Si es así, estas cuentas no cumplen con algunos de los requisitos previos para la inscripción. Si la inscripción de una cuenta como parte del proceso de Register OU no se realiza correctamente, el estado de la cuenta en la página de cuentas indica que la inscripción ha fallado. También puede ver la información de la cuenta en la página de la OU, por ejemplo, 4 de 5, en el campo de cuentas.
Por ejemplo, si ve 4 de 5, significa que su OU tiene 5 cuentas en total y 4 de ellas se inscribieron correctamente, pero una cuenta no se pudo inscribir durante el proceso de registro de la OU. Puede optar por volver a registrar la OU para incluir las cuentas en la inscripción, después de asegurarse de que cumplen los requisitos previos de inscripción.
IAMrequisitos previos de usuario para registrar una OU
Sus AWS Identity and Access Management (IAM) la identidad (usuario o rol) o la IAM identidad de usuario de Identity Center deben incluirse en la cartera de Account Factory correspondiente al realizar la operación Register OU, incluso si ya tiene Admin permisos. De lo contrario, la creación de los productos aprovisionados fallará durante el registro. El error se produce porque AWS Control Tower se basa en las credenciales del IAM usuario o en la IAM identidad del usuario de Identity Center al registrar una OU.
El portafolio relevante es uno creado por AWS Control Tower, llamado AWSControl Tower Account Factory Portfolio. Navegue hasta él seleccionando Service Catalog > Account Factory > AWS Control Tower Account Factory Portfolio. A continuación, seleccione la pestaña denominada Grupos, funciones y usuarios para ver su IAM identidad IAM o la de Identity Center. Para obtener más información sobre cómo conceder el acceso, consulte la documentación de AWS Service Catalog.
