Enregistrer un compte existant - AWS Control Tower
Étapes pour créer un compteCauses courantes d'échec de l'inscription

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Enregistrer un compte existant

La fonction d'enregistrement du compte est disponible dans la console AWS Control Tower, permettant d'inscrire les utilisateurs existants Comptes AWS afin qu'ils soient régis par AWS Control Tower. Pour plus d'informations, voir Inscrire un existant Compte AWS.

La fonction Inscrire un compte est disponible lorsque votre zone de destination n'est pas en état de dérive. Pour afficher cette fonctionnalité dans la console :

  • Accédez à la page Organisation dans AWS Control Tower.

  • Trouvez le nom du compte que vous souhaitez enregistrer. Pour le trouver, choisissez Comptes uniquement dans le menu déroulant en haut à droite, puis recherchez le nom du compte dans le tableau filtré.

  • Suivez les étapes pour créer un compte individuel, comme indiqué dans la Étapes pour créer un compte section.

Note

Lorsque vous inscrivez une adresse e-mail existante Compte AWS, assurez-vous de vérifier l'adresse e-mail existante. Dans le cas contraire, un nouveau compte peut être créé.

Certaines erreurs peuvent nécessiter que vous actualisiez la page et que vous réessayiez. Si votre zone de destination est en état de dérive, il se peut que vous ne puissiez pas utiliser la fonction Inscrire un compte avec succès. Vous devrez créer de nouveaux comptes via Account Factory jusqu'à ce que votre problème de dérive de la zone d'atterrissage soit résolu.

Lorsque vous enregistrez des comptes depuis la console AWS Control Tower, vous devez être connecté à un compte dont la AWSServiceCatalogEndUserFullAccess politique est activée, ainsi que des autorisations d'accès d'administrateur pour utiliser la console AWS Control Tower, et vous ne pouvez pas être connecté en tant qu'utilisateur root.

Les comptes que vous inscrivez peuvent être mis à jour par le biais AWS Service Catalog de la fabrique de comptes AWS Control Tower, comme vous le feriez pour tout autre compte. Les procédures de mise à jour sont indiquées dans la section appelée Mettez à jour et déplacez les comptes Account Factory avec AWS Control Tower ou avec AWS Service Catalog.

Étapes pour créer un compte

Une fois que l'AdministratorAccessautorisation (politique) est en place sur votre compte existant, procédez comme suit pour enregistrer le compte :

Pour créer un compte individuel dans AWS Control Tower

  • Accédez à la page d'organisation AWS de la Control Tower.

  • Sur la page Organisation, les comptes éligibles à l'inscription vous permettent de sélectionner S'inscrire dans le menu déroulant Actions en haut de la section. Ces comptes affichent également un bouton d'inscription lorsque vous les consultez sur la page des détails du compte.

  • Lorsque vous choisissez Enregistrer un compte, vous verrez une page d'inscription sur laquelle vous êtes invité à ajouter le AWSControlTowerExecution rôle au compte. Pour obtenir des instructions, voirAjoutez manuellement le IAM rôle requis à un rôle existant Compte AWS et inscrivez-le.

  • Sélectionnez ensuite une unité d'organisation enregistrée dans la liste déroulante. Si le compte se trouve déjà dans une unité d'organisation enregistrée, cette liste affichera l'unité d'organisation.

  • Choisissez Inscrire un compte.

  • Vous verrez un rappel modal vous demandant d'ajouter le AWSControlTowerExecution rôle et de confirmer l'action.

  • Choisissez S'inscrire.

  • AWSControl Tower entame le processus d'inscription et vous êtes redirigé vers la page des détails du compte.

Causes courantes d'échec de l'inscription

  • Pour inscrire un compte existant, le AWSControlTowerExecution rôle doit être présent dans le compte que vous inscrivez.

  • Il se peut que votre IAM principal ne dispose pas des autorisations nécessaires pour créer un compte.

  • AWS Security Token Service (AWS STS) est désactivé Compte AWS dans votre région d'origine ou dans toute région prise en charge par AWS Control Tower.

  • Vous êtes peut-être connecté à un compte qui doit être ajouté à Account Factory Portfolio in AWS Service Catalog. Le compte doit être ajouté pour que vous puissiez accéder à Account Factory afin que vous puissiez créer ou enregistrer un compte dans AWS Control Tower. Si l'utilisateur ou le rôle approprié n'est pas ajouté au portefeuille Account Factory, vous recevrez un message d'erreur lorsque vous tenterez d'ajouter un compte. Pour savoir comment accorder l'accès aux AWS Service Catalog portefeuilles, consultez la section Accorder l'accès aux utilisateurs.

  • Vous pouvez être connecté en tant que racine.

  • Le compte que vous essayez d'enregistrer comporte peut-être des AWS Config paramètres résiduels. En particulier, le compte peut disposer d'un enregistreur de configuration ou d'un canal de diffusion. Vous devez les supprimer ou les modifier AWS CLI avant de pouvoir créer un compte. Pour plus d’informations, consultez Inscrire des comptes disposant de ressources existantes AWS Config et Interagissez avec AWS Control Tower via AWS CloudShell.

  • Si le compte appartient à une autre unité d'organisation dotée d'un compte de gestion, y compris une autre AWS unité organisationnelle de Control Tower, vous devez résilier le compte dans son unité d'organisation actuelle avant qu'il ne puisse rejoindre une autre unité d'organisation. Les ressources existantes doivent être supprimées dans l'unité d'organisation d'origine. Sinon, l'inscription échouera.

  • Le provisionnement et l'inscription du compte échouent si les unités d'organisation de votre destination SCPs ne vous permettent pas de créer toutes les ressources requises pour ce compte. Par exemple, une unité SCP d'organisation de votre destination peut bloquer la création de ressources sans certaines balises. Dans ce cas, le provisionnement ou l'inscription du compte échouent, car AWS Control Tower ne prend pas en charge le balisage des ressources. Pour obtenir de l'aide, contactez le représentant de votre compte, ou Support.

Pour plus d'informations sur la façon dont AWS Control Tower utilise les rôles lorsque vous créez de nouveaux comptes ou que vous inscrivez des comptes existants, consultez la section Rôles et comptes.

Astuce

Si vous ne pouvez pas confirmer qu'une unité existante Compte AWS répond aux conditions d'inscription, vous pouvez configurer une unité d'inscription et inscrire le compte dans cette unité d'organisation. Une fois l'inscription réussie, vous pouvez déplacer le compte vers l'unité d'organisation souhaitée. En cas d'échec de l'inscription, aucun autre compte OUs n'est concerné par l'échec.

Si vous avez des doutes quant à la compatibilité de vos comptes existants et de leurs configurations avec AWS Control Tower, vous pouvez suivre les meilleures pratiques recommandées dans la section suivante.

Recommandé : vous pouvez configurer une approche en deux étapes pour l'inscription de compte

  • Tout d'abord, utilisez un pack de AWS Config conformité pour évaluer dans quelle mesure vos comptes peuvent être affectés par certaines commandes de la AWS Control Tower. Pour déterminer dans quelle mesure l'inscription à AWS Control Tower peut affecter vos comptes, consultez Étendre la gouvernance de AWS Control Tower à l'aide de packs de AWS Config conformité.

  • Ensuite, vous pouvez inscrire le compte. Si les résultats de conformité sont satisfaisants, le chemin de migration est plus facile car vous pouvez inscrire le compte sans conséquences inattendues.

  • Une fois votre évaluation terminée, si vous décidez de créer une zone d'atterrissage pour la AWS Control Tower, vous devrez peut-être supprimer le canal de AWS Config diffusion et l'enregistreur de configuration créés pour votre évaluation. Vous serez alors en mesure de configurer AWS Control Tower avec succès.

Note

Le pack de conformité fonctionne également dans les situations où les comptes se trouvent dans un espace OUs enregistré par AWS Control Tower, mais où les charges de travail sont exécutées dans des AWS régions qui ne sont pas prises en charge par AWS Control Tower. Vous pouvez utiliser le pack de conformité pour gérer les ressources des comptes qui existent dans les régions où AWS Control Tower n'est pas déployée.