Aggiungi manualmente il IAM ruolo richiesto a un ruolo esistente Account AWS e registralo - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiungi manualmente il IAM ruolo richiesto a un ruolo esistente Account AWS e registralo

Se hai già configurato la landing zone AWS della Control Tower, puoi iniziare a registrare gli account della tua organizzazione in un'unità organizzativa registrata presso AWS Control Tower. Se non hai configurato la landing zone, segui i passaggi descritti nella Guida per l'utente di AWS Control Tower alla Getting Started, Step 2. Una volta che la landing zone sarà pronta, completa i seguenti passaggi per far sì che gli account esistenti vengano gestiti manualmente da AWS Control Tower.

Assicuratevi di leggere quanto Prerequisiti per l'iscrizione indicato in precedenza in questo capitolo.

Prima di registrare un account con AWS Control Tower, devi concedere a AWS Control Tower l'autorizzazione a gestire quell'account. A tale scopo, aggiungerai un ruolo con accesso completo all'account, come illustrato nei passaggi seguenti. Questi passaggi devono essere eseguiti per ogni account che registri.

Per ogni account:

Passaggio 1: accedi con accesso da amministratore all'account di gestione dell'organizzazione che attualmente contiene l'account che desideri registrare.

Ad esempio, se hai creato questo account AWS Organizations e utilizzi un IAM ruolo multiaccount per accedere, puoi seguire questi passaggi:

  1. Accedi all'account di gestione della tua organizzazione.

  2. Passa a AWS Organizations.

  3. In Account, seleziona l'account che desideri registrare e copia l'ID dell'account.

  4. Apri il menu a discesa dell'account nella barra di navigazione in alto e scegli Cambia ruolo.

  5. Nel modulo Cambia ruolo, compila i seguenti campi:

    • In Account, inserisci l'ID dell'account che hai copiato.

    • In Ruolo, inserisci il nome del IAM ruolo che consente l'accesso a questo account da più account. Il nome di questo ruolo è stato definito al momento della creazione dell'account. Se non hai specificato un nome di ruolo quando hai creato l'account, inserisci il nome del ruolo predefinito,OrganizationAccountAccessRole.

  6. Seleziona Switch Role (Cambia ruolo).

  7. Ora dovresti aver effettuato l'accesso AWS Management Console come account secondario.

  8. Quando hai finito, resta nell'account per bambini per la parte successiva della procedura.

  9. Prendi nota dell'ID dell'account di gestione, perché dovrai inserirlo nel passaggio successivo.

Passaggio 2: autorizza AWS Control Tower a gestire l'account.

  1. Passa a IAM.

  2. Vai a Ruoli.

  3. Scegliere Crea ruolo.

  4. Quando ti viene chiesto di selezionare il servizio a cui è destinato il ruolo, scegli Politica di fiducia personalizzata.

  5. Copia l'esempio di codice mostrato qui e incollalo nel documento di policy. Sostituisci la stringa ID dell'account di gestione con l'effettivo ID dell'account di gestione del tuo account di gestione. Ecco la politica da incollare:

    {
   "Version":"2012-10-17",
   "Statement":[
      {
      "Effect":"Allow",
      "Principal":{
         "AWS": "arn:aws:iam::Management Account ID:root"
         },
         "Action": "sts:AssumeRole",
         "Condition": {} 
      }
   ]
  }

  6. Quando ti viene chiesto di allegare le politiche, scegli AdministratorAccess.

  7. Scegli Successivo: Tag.

  8. È possibile che venga visualizzata una schermata opzionale intitolata Aggiungi tag. Per ora salta questa schermata scegliendo Avanti:Revisione

  9. Nella schermata di revisione, nel campo Nome del ruolo, inserisci. AWSControlTowerExecution

  10. Inserisci una breve descrizione nella casella Descrizione, ad esempio Consente l'accesso completo all'account per l'iscrizione.

  11. Scegliere Crea ruolo.

Fase 3: Registrare l'account spostandolo in un'unità organizzativa registrata e verificare l'iscrizione.

Dopo aver impostato le autorizzazioni necessarie creando il ruolo, segui questi passaggi per registrare l'account e verificare l'iscrizione.

  1. Accedi nuovamente come amministratore e vai a AWS Control Tower.

  2. Registra l'account.

    • Dalla pagina Organizzazione in AWS Control Tower, seleziona il tuo account, quindi scegli Registrati dal menu a discesa Azioni in alto a destra.

    • Segui i passaggi per la registrazione di un account individuale, come mostrato nella pagina. Passaggi per registrare un account

  3. Verifica l'iscrizione.

    • Da AWS Control Tower, scegli Organizzazione nella barra di navigazione a sinistra.

    • Cerca l'account che hai registrato di recente. Il suo stato iniziale mostrerà lo stato di Iscrizione.

    • Quando lo stato cambia in Registrato, lo spostamento ha avuto esito positivo.

Per continuare questa procedura, accedi a ogni account dell'organizzazione che desideri registrare a AWS Control Tower. Ripeti i passaggi relativi ai prerequisiti e i passaggi di registrazione per ogni account.