Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Registra un'unità organizzativa esistente con AWS Control Tower
Un modo efficace per portare più AWS account esistenti in AWS Control Tower consiste nell'estendere la governance di AWS Control Tower a un'intera unità organizzativa (OU).
Per abilitare la governance di AWS Control Tower su un'unità organizzativa esistente creata con AWS Organizations e i relativi account, registra l'unità organizzativa nella landing zone di AWS Control Tower. Puoi registrare unità organizzative che contengono fino a 300 account. Se un'unità organizzativa contiene più di 300 account, non è possibile registrarla in AWS Control Tower.
Quando registri un'unità organizzativa, i relativi account membro vengono registrati nella landing zone di AWS Control Tower. Sono regolati dai controlli che si applicano alle rispettive unità organizzative.
Nota
Se non disponi già di una landing zone AWS Control Tower, inizia configurando una landing zone, in una nuova organizzazione creata da AWS Control Tower o in un' AWS Organizations organizzazione esistente. Per maggiori dettagli su come configurare una landing zone, consultaGuida introduttiva a AWS Control Tower.
Cosa succede ai miei account quando registro la mia unità organizzativa?
AWS Control Tower richiede l'autorizzazione per stabilire un accesso affidabile tra AWS CloudFormation e AWS Organizations per tuo conto, in modo da AWS CloudFormation poter distribuire automaticamente lo stack sugli account della tua organizzazione.
-
Il
AWSControlTowerExecutionruolo viene aggiunto a tutti gli account con lo stato Non registrato. -
I controlli obbligatori sono abilitati per impostazione predefinita sull'unità organizzativa e su tutti i relativi account al momento della registrazione dell'unità organizzativa.
Registrazione parziale degli account dopo la registrazione di un'unità organizzativa
È possibile registrare correttamente un'unità organizzativa, ma alcuni account potrebbero rimanere non registrati. In tal caso, questi account non soddisfano alcuni dei prerequisiti per l'iscrizione. Se la registrazione di un account come parte del processo Register OU non riesce, lo stato dell'account nella pagina degli account mostra Iscrizione non riuscita. È inoltre possibile visualizzare le informazioni sull'account nella pagina dell'unità organizzativa, ad esempio 4 su 5, nel campo account.
Ad esempio, se vedi 4 su 5, significa che l'unità organizzativa ha 5 account in totale e 4 di essi sono stati registrati con successo, ma un account non è riuscito a registrarsi durante la procedura di registrazione dell'unità organizzativa. Puoi scegliere Re-Register OU per attivare la registrazione degli account, dopo esserti assicurato che soddisfino i prerequisiti di registrazione.
Prerequisiti utente IAM per la registrazione di un'unità organizzativa
La tua identità AWS Identity and Access Management (IAM) (utente o ruolo) o l'identità utente IAM Identity Center devono essere incluse nel portafoglio Account Factory appropriato quando esegui l'operazione Register OU, anche se disponi già Admin delle autorizzazioni. In caso contrario, la creazione dei prodotti forniti avrà esito negativo durante la registrazione. L'errore si verifica perché AWS Control Tower si basa sulle credenziali dell'utente IAM o sull'identità utente IAM Identity Center durante la registrazione di un'unità organizzativa.
Il portafoglio pertinente è quello creato da AWS Control Tower, denominato AWS Control Tower Account Factory Portfolio. Accedi ad esso selezionando Service Catalog > Account Factory > AWS Control Tower Account Factory Portfolio. Quindi seleziona la scheda denominata Gruppi, ruoli e utenti per visualizzare la tua identità IAM o IAM Identity Center. Per ulteriori informazioni su come concedere l'accesso, consulta la documentazione per AWS Service Catalog.
