Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower
Un moyen efficace d'intégrer plusieurs AWS comptes existants dans AWS Control Tower consiste à étendre la gouvernance par AWS Control Tower à l'ensemble d'une unité organisationnelle (UO).
Pour activer la gouvernance d'AWS Control Tower sur une unité d'organisation existante créée avec ses comptes AWS Organizations, enregistrez l'unité d'organisation auprès de votre zone d'accueil AWS Control Tower. Vous pouvez enregistrer des unités d'organisation contenant jusqu'à 300 comptes. Si une unité d'organisation contient plus de 300 comptes, vous ne pouvez pas l'enregistrer dans AWS Control Tower.
Lorsque vous enregistrez une UO, les comptes de ses membres sont inscrits dans la zone de landing zone AWS Control Tower. Ils sont régis par les contrôles qui s'appliquent à leur unité d'organisation.
Note
Si vous ne possédez pas encore de zone d'atterrissage AWS Control Tower, commencez par configurer une zone d'atterrissage, soit dans une nouvelle organisation créée par AWS Control Tower, soit dans une AWS Organizations organisation existante. Pour plus de détails sur la configuration d'une zone d'atterrissage, consultezCommencer à utiliser AWS Control Tower.
Qu'arrive-t-il à mes comptes lorsque j'enregistre mon unité d'organisation ?
AWS Control Tower a besoin d'une autorisation pour établir un accès fiable entre vous AWS CloudFormation et en votre nom, afin de AWS CloudFormation pouvoir déployer automatiquement votre stack AWS Organizations sur les comptes de votre organisation.
-
Le
AWSControlTowerExecutionrôle est ajouté à tous les comptes dont le statut est Non inscrit. -
Les contrôles obligatoires sont activés par défaut sur votre unité d'organisation et sur tous ses comptes lorsque vous enregistrez votre unité d'organisation.
Inscription partielle des comptes après l'enregistrement d'une UO
Il est possible d'enregistrer une unité d'organisation avec succès, mais certains comptes peuvent rester non inscrits. Si tel est le cas, ces comptes ne répondent pas à certaines des conditions requises pour l'inscription. Si l'inscription d'un compte dans le cadre du processus d'enregistrement de l'unité d'organisation échoue, le statut du compte sur la page des comptes indique que l'inscription a échoué. Vous pouvez également voir des informations de compte sur la page de votre UO, telles que 4 sur 5, dans le champ des comptes.
Par exemple, si vous voyez 4 sur 5, cela signifie que votre unité d'organisation possède 5 comptes au total, dont 4 se sont inscrits avec succès, mais qu'un compte n'a pas pu être inscrit pendant le processus d'enregistrement de l'unité d'organisation. Vous pouvez choisir Re-Register OU pour intégrer les comptes à l'inscription, une fois que vous vous êtes assuré qu'ils répondent aux conditions d'inscription.
Conditions requises pour l'enregistrement d'une UO par les utilisateurs IAM
Votre identité AWS Identity and Access Management (IAM) (utilisateur ou rôle) ou votre identité d'utilisateur IAM Identity Center doit être incluse dans le portefeuille Account Factory approprié lorsque vous effectuez l'opération Register OU, même si vous disposez déjà des Admin autorisations. Dans le cas contraire, la création des produits approvisionnés échouera lors de l'enregistrement. L'échec se produit car AWS Control Tower s'appuie sur les informations d'identification de l'utilisateur IAM ou sur l'identité de l'utilisateur IAM Identity Center lors de l'enregistrement d'une unité d'organisation.
Le portefeuille correspondant est celui créé par AWS Control Tower, appelé AWS Control Tower Account Factory Portfolio. Pour y accéder, sélectionnez Service Catalog > Account Factory > AWS Control Tower Account Factory Portfolio. Sélectionnez ensuite l'onglet Groupes, rôles et utilisateurs pour afficher votre identité IAM ou IAM Identity Center. Pour plus d'informations sur la façon d'accorder l'accès, consultez la documentation de AWS Service Catalog.
