Inscriba una cuenta existente - AWS Control Tower
Pasos para registrar una cuentaCausas comunes de fracaso en la inscripción

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Inscriba una cuenta existente

La función Inscribir cuentas está disponible en la consola de la Torre de AWS Control, para inscribir cuentas existentes de Cuentas de AWS forma que estén gobernadas por la Torre AWS de Control. Para obtener más información, consulte Inscribir una empresa existente Cuenta de AWS.

La función Enroll account (Inscribir cuenta) está disponible cuando la zona de inicio no se encuentra en un estado de desviación. Para ver esta capacidad en la consola:

  • Ve a la página de la organización en la Torre AWS de Control.

  • Busca el nombre de la cuenta que deseas inscribir. Para encontrarlo, selecciona Solo cuentas en el menú desplegable de la esquina superior derecha y, a continuación, busca el nombre de la cuenta en la tabla filtrada.

  • Sigue los pasos para registrar una cuenta individual, tal y como se muestra en la Pasos para registrar una cuenta sección.

nota

Cuando inscribas una existente Cuenta de AWS, asegúrate de verificar la dirección de correo electrónico existente. De lo contrario, es posible que se cree una cuenta nueva.

Algunos errores pueden requerir que actualice la página y lo intente de nuevo. Si su zona de inicio se encuentra en un estado de desviación, es posible que no pueda utilizar correctamente la función Enroll account (Inscribir cuenta) . Deberás aprovisionar nuevas cuentas a través de Account Factory hasta que se resuelva tu problema de zona de aterrizaje.

Al inscribir cuentas desde la consola de la Torre de AWS Control, debe iniciar sesión en una cuenta con un usuario que tenga la AWSServiceCatalogEndUserFullAccess política habilitada, junto con permisos de acceso de administrador para usar la consola de la Torre de AWS Control, y no puede iniciar sesión como usuario root.

Las cuentas que inscriba pueden actualizarse a través de la fábrica de AWS Service Catalog cuentas de la Torre de AWS Control Tower, del mismo modo que actualizaría cualquier otra cuenta. Los procedimientos de actualización se indican en la sección Actualice y mueva cuentas de fábrica con AWS Control Tower o con AWS Service Catalog.

Pasos para registrar una cuenta

Una vez que el AdministratorAccesspermiso (política) esté en vigor en tu cuenta actual, sigue estos pasos para inscribirla:

Para inscribir una cuenta individual en AWS Control Tower

  • Ve a la página de Organización de la Torre de AWS Control.

  • En la página de la organización, las cuentas que pueden inscribirse te permiten seleccionar Inscribirse en el menú desplegable Acciones situado en la parte superior de la sección. Estas cuentas también muestran el botón Inscribir una cuenta cuando las ves en la página de detalles de la cuenta.

  • Al seleccionar Inscribir una cuenta, verá la página Inscribir una cuenta, en la que se le solicitará que añada el AWSControlTowerExecution rol a la cuenta. Para obtener algunas instrucciones, consulteAñada manualmente el IAM rol requerido a uno existente Cuenta de AWS e inscríbalo.

  • A continuación, seleccione una unidad organizativa registrada de la lista desplegable. Si la cuenta ya está en una unidad organizativa registrada, esta lista mostrará la unidad organizativa.

  • Seleccione Enroll account (Inscribir cuenta).

  • Verás un recordatorio modal para añadir el AWSControlTowerExecution rol y confirmar la acción.

  • Selecciona Inscribir.

  • AWSControl Tower inicia el proceso de inscripción y se le redirige a la página de detalles de la cuenta.

Causas comunes de fracaso en la inscripción

  • Para inscribir una cuenta existente, el AWSControlTowerExecution rol debe estar presente en la cuenta que estás inscribiendo.

  • Es posible que tu IAM director carezca de los permisos necesarios para aprovisionar una cuenta.

  • AWS Security Token Service (AWS STS) está deshabilitado Cuenta de AWS en tu región de origen o en cualquier región compatible con AWS Control Tower.

  • Es posible que haya iniciado sesión en una cuenta que deba añadirse a la cartera de Account Factory en AWS Service Catalog. La cuenta debe añadirse antes de que puedas acceder a Account Factory para poder crear o inscribir una cuenta en AWS Control Tower. Si el usuario o rol apropiado no se agrega a la cartera de Account Factory, recibirás un error cuando intentes agregar una cuenta. Para obtener instrucciones sobre cómo conceder acceso a las AWS Service Catalog carteras, consulta Conceder acceso a los usuarios.

  • Es posible que haya iniciado sesión como usuario raíz.

  • Es posible que la cuenta que estás intentando inscribir tenga una AWS Config configuración residual. En concreto, la cuenta puede tener un grabador de configuración o un canal de entrega. Deben eliminarse o modificarse AWS CLI antes de poder registrar una cuenta. Para obtener más información, consulte Inscribir cuentas que cuenten con AWS Config recursos existentes y Interactúa AWS Control Tower con AWS CloudShell.

  • Si la cuenta pertenece a otra OU con una cuenta de administración, incluida otra OU de AWS Control Tower, debe cancelar la cuenta en su OU actual antes de que pueda unirse a otra OU. Los recursos existentes se deben eliminar de la OU original. De lo contrario, la inscripción fallará.

  • El aprovisionamiento y la inscripción de la cuenta fallan si las unidades organizativas de destino SCPs no le permiten crear todos los recursos necesarios para esa cuenta. Por ejemplo, una SCP unidad organizativa de destino puede bloquear la creación de recursos sin determinadas etiquetas. En este caso, se produce un error en el aprovisionamiento o la inscripción de la cuenta porque AWS Control Tower no admite el etiquetado de los recursos. Para obtener ayuda, póngase en contacto con su representante de cuentas o. AWS Support

Para obtener más información sobre cómo funciona AWS Control Tower con los roles al crear cuentas nuevas o al inscribir cuentas existentes, consulta Funciones y cuentas.

sugerencia

Si no puede confirmar que una cuenta existente Cuenta de AWS cumple con los requisitos de inscripción, puede configurar una unidad organizativa de inscripción e inscribir la cuenta en esa unidad organizativa. Una vez que la inscripción se haya realizado correctamente, puede mover la cuenta a la OU que desee. Si la inscripción no se realiza correctamente, ninguna otra cuenta OUs se verá afectada por el error.

Si tienes dudas sobre si tus cuentas actuales y sus configuraciones son compatibles con AWS Control Tower, puedes seguir las prácticas recomendadas en la siguiente sección.

Recomendado: puede configurar un enfoque de dos pasos para la inscripción de cuentas

  • En primer lugar, usa un paquete de AWS Config conformidad para evaluar cómo algunos controles de la Torre de AWS Control Tower pueden afectar tus cuentas. Para determinar cómo la inscripción en la Torre AWS de Control puede afectar a sus cuentas, consulte Ampliar la gobernanza de la Torre de AWS Control mediante paquetes de AWS Config conformidad.

  • A continuación, es posible que desee inscribir la cuenta. Si los resultados de conformidad son satisfactorios, la ruta de migración es más fácil porque puede inscribir la cuenta sin consecuencias inesperadas.

  • Una vez realizada la evaluación, si decides configurar una zona de aterrizaje de la Torre de AWS Control Tower, es posible que tengas que eliminar el canal de AWS Config entrega y el grabador de configuración que se crearon para la evaluación. Entonces podrás configurar la Torre de AWS Control correctamente.

nota

El paquete de conformidad también funciona en situaciones en las que las cuentas están OUs registradas por la Torre de AWS Control, pero las cargas de trabajo se ejecutan en AWS regiones que no son compatibles con la Torre de AWS Control. Puede usar el paquete de conformidad para administrar los recursos de las cuentas que existen en las regiones en las que la Torre de AWS Control no está desplegada.