Daftarkan akun yang ada - AWS Control Tower
Langkah-langkah untuk mendaftarkan akunPenyebab umum kegagalan pendaftaran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Daftarkan akun yang ada

Fitur akun Daftar tersedia di konsol AWS Control Tower, untuk mendaftar yang sudah ada Akun AWS sehingga diatur oleh AWS Control Tower. Untuk informasi selengkapnya, lihat Mendaftarkan yang sudah ada Akun AWS.

Kemampuan akun Pendaftaran tersedia saat landing zone Anda tidak dalam keadaan drift. Untuk melihat kemampuan ini di konsol:

  • Arahkan ke halaman Organisasi di AWS Control Tower.

  • Temukan nama akun yang ingin Anda daftarkan. Untuk menemukannya, pilih Akun hanya dari menu tarik-turun di kanan atas, lalu cari nama akun di tabel yang difilter.

  • Ikuti langkah-langkah untuk mendaftarkan akun individual, seperti yang ditunjukkan di Langkah-langkah untuk mendaftarkan akun bagian.

catatan

Saat Anda mendaftarkan yang sudah ada Akun AWS, pastikan untuk memverifikasi alamat email yang ada. Jika tidak, akun baru dapat dibuat.

Kesalahan tertentu mungkin mengharuskan Anda me-refresh halaman dan mencoba lagi. Jika landing zone Anda dalam keadaan drift, Anda mungkin tidak dapat menggunakan kemampuan akun Daftar dengan sukses. Anda harus menyediakan akun baru melalui Account Factory hingga drift landing zone Anda teratasi.

Saat mendaftarkan akun dari konsol AWS Control Tower, Anda harus masuk ke akun dengan pengguna yang AWSServiceCatalogEndUserFullAccess kebijakan tersebut diaktifkan, bersama dengan izin akses Administrator untuk menggunakan konsol AWS Control Tower, dan Anda tidak dapat masuk sebagai pengguna root.

Akun yang Anda daftarkan dapat diperbarui melalui AWS Service Catalog dan pabrik akun AWS Control Tower, karena Anda akan memperbarui akun lainnya. Prosedur pembaruan diberikan di bagian yang disebutPerbarui dan pindahkan akun pabrik akun dengan AWS Control Tower atau dengan AWS Service Catalog.

Langkah-langkah untuk mendaftarkan akun

Setelah AdministratorAccessizin (kebijakan) diberlakukan di akun Anda yang ada, ikuti langkah-langkah berikut untuk mendaftarkan akun:

Untuk mendaftarkan akun individual di AWS Control Tower

  • Arahkan ke halaman AWS Control Tower Organization.

  • Pada halaman Organisasi, akun yang memenuhi syarat untuk didaftarkan memungkinkan Anda memilih Mendaftar dari menu tarik-turun Tindakan di bagian atas bagian. Akun-akun ini juga menampilkan tombol Daftarkan akun saat Anda melihatnya di halaman Detail akun.

  • Ketika Anda memilih Daftarkan akun, Anda akan melihat halaman Daftar akun, di mana Anda diminta untuk menambahkan AWSControlTowerExecution peran ke akun. Untuk beberapa instruksi, lihatTambahkan peran IAM yang diperlukan secara manual ke yang sudah ada Akun AWS dan daftarkan.

  • Selanjutnya, pilih OU terdaftar dari daftar drop-down. Jika akun sudah dalam OU terdaftar, daftar ini akan menampilkan OU.

  • Pilih Daftarkan akun.

  • Anda akan melihat pengingat modal untuk menambahkan AWSControlTowerExecution peran dan mengonfirmasi tindakan.

  • Pilih Mendaftar.

  • AWS Control Tower memulai proses pendaftaran, dan Anda diarahkan kembali ke halaman detail Akun.

Penyebab umum kegagalan pendaftaran

  • Untuk mendaftarkan akun yang ada, AWSControlTowerExecution peran harus ada di akun yang Anda daftarkan.

  • Prinsipal IAM Anda mungkin tidak memiliki izin yang diperlukan untuk menyediakan akun.

  • AWS Security Token Service (AWS STS) dinonaktifkan di Wilayah asal Anda, atau di Wilayah mana pun yang didukung oleh AWS Control Tower. Akun AWS

  • Anda dapat masuk ke akun yang perlu ditambahkan ke Portofolio Account Factory di AWS Service Catalog. Akun harus ditambahkan sebelum Anda memiliki akses ke Account Factory sehingga Anda dapat membuat atau mendaftarkan akun di AWS Control Tower. Jika pengguna atau peran yang sesuai tidak ditambahkan ke portofolio Account Factory, Anda akan menerima kesalahan saat mencoba menambahkan akun. Untuk petunjuk tentang cara memberikan akses ke AWS Service Catalog portofolio, lihat Memberikan akses kepada pengguna.

  • Anda dapat masuk sebagai root.

  • Akun yang Anda coba daftarkan mungkin memiliki AWS Config pengaturan yang tersisa. Secara khusus, akun mungkin memiliki perekam konfigurasi atau saluran pengiriman. Ini harus dihapus atau dimodifikasi melalui AWS CLI sebelum Anda dapat mendaftarkan akun. Lihat informasi yang lebih lengkap di Daftarkan akun yang memiliki sumber daya yang ada AWS Config dan Berinteraksi dengan menggunakan AWS Control TowerAWS CloudShell.

  • Jika akun tersebut milik OU lain dengan akun manajemen, termasuk AWS Control Tower OU lainnya, Anda harus mengakhiri akun di OU saat ini sebelum dapat bergabung dengan OU lain. Sumber daya yang ada harus dihapus di OU asli. Jika tidak, pendaftaran akan gagal.

  • Penyediaan dan pendaftaran akun gagal jika SCP OU tujuan Anda tidak mengizinkan Anda membuat semua sumber daya yang diperlukan untuk akun tersebut. Misalnya, SCP di OU tujuan Anda dapat memblokir pembuatan sumber daya tanpa tag tertentu. Dalam hal ini, penyediaan atau pendaftaran akun gagal, karena AWS Control Tower tidak mendukung penandaan sumber daya. Untuk bantuan, hubungi perwakilan akun Anda, atau AWS Support.

Untuk informasi selengkapnya tentang cara AWS Control Tower bekerja dengan peran saat Anda membuat akun baru atau mendaftarkan akun yang ada, lihat Peran dan akun.

Tip

Jika Anda tidak dapat mengonfirmasi bahwa yang sudah ada Akun AWS memenuhi prasyarat pendaftaran, Anda dapat mengatur OU Pendaftaran dan mendaftarkan akun ke OU tersebut. Setelah pendaftaran berhasil, Anda dapat memindahkan akun ke OU yang diinginkan. Jika pendaftaran gagal, tidak ada akun atau OU lain yang terpengaruh oleh kegagalan tersebut.

Jika Anda ragu bahwa akun yang ada dan konfigurasinya kompatibel dengan AWS Control Tower, Anda dapat mengikuti praktik terbaik yang direkomendasikan di bagian berikut.

Direkomendasikan: Anda dapat mengatur pendekatan dua langkah untuk pendaftaran akun

  • Pertama, gunakan paket AWS Config kesesuaian untuk mengevaluasi bagaimana akun Anda mungkin terpengaruh oleh beberapa kontrol AWS Control Tower. Untuk menentukan bagaimana pendaftaran ke AWS Control Tower dapat memengaruhi akun Anda, lihat Memperluas tata kelola AWS Control Tower menggunakan AWS Config paket kesesuaian.

  • Selanjutnya, Anda mungkin ingin mendaftarkan akun. Jika hasil kepatuhan memuaskan, jalur migrasi lebih mudah karena Anda dapat mendaftarkan akun tanpa konsekuensi yang tidak terduga.

  • Setelah melakukan evaluasi, jika memutuskan untuk menyiapkan landing zone AWS Control Tower, Anda mungkin perlu menghapus saluran AWS Config pengiriman dan perekam konfigurasi yang dibuat untuk evaluasi Anda. Kemudian Anda akan dapat mengatur AWS Control Tower dengan sukses.

catatan

Paket kesesuaian juga berfungsi dalam situasi di mana akun berada di OU yang terdaftar oleh AWS Control Tower, tetapi beban kerja berjalan di dalam AWS Wilayah yang tidak memiliki dukungan AWS Control Tower. Anda dapat menggunakan paket kesesuaian untuk mengelola sumber daya di akun yang ada di Wilayah di mana AWS Control Tower tidak digunakan.