Registra un account esistente - AWS Control Tower
Passaggi per registrare un accountCause comuni di mancata iscrizione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registra un account esistente

La funzione Enroll account è disponibile nella console AWS Control Tower, per le iscrizioni esistenti in Account AWS modo che siano gestite da AWS Control Tower. Per ulteriori informazioni, consulta Registrare un esistente. Account AWS

La funzionalità Enroll account (Registra account) è disponibile quando la landing zone non è in uno stato di deviazione. Per visualizzare questa funzionalità nella console:

  • Vai alla pagina Organizzazione in AWS Control Tower.

  • Trova il nome dell'account che desideri registrare. Per trovarlo, scegli Solo account dal menu a discesa in alto a destra, quindi individua il nome dell'account nella tabella filtrata.

  • Segui i passaggi per la registrazione di un singolo account, come mostrato nella sezione. Passaggi per registrare un account

Nota

Quando registri un indirizzo email esistente Account AWS, assicurati di verificare l'indirizzo email esistente. Altrimenti, potrebbe essere creato un nuovo account.

Alcuni errori possono richiedere di aggiornare la pagina e di riprovare. Se la landing zone si trova in uno stato di deviazione, potresti non essere in grado di utilizzare correttamente la funzionalità Enroll account (Registra account) . Dovrai fornire nuovi account tramite Account Factory fino a quando la deriva della tua landing zone non sarà risolta.

Quando registri account dalla console AWS Control Tower, devi accedere a un account con un utente con la AWSServiceCatalogEndUserFullAccess policy abilitata, oltre alle autorizzazioni di accesso di amministratore per utilizzare la console AWS Control Tower, e non puoi accedere come utente root.

Gli account che registri possono essere aggiornati tramite l'account factory AWS Control Tower, come faresti con qualsiasi altro account. AWS Service Catalog Le procedure di aggiornamento sono fornite nella sezione chiamata Aggiorna e sposta gli account di fabbrica dell'account con AWS Control Tower o con AWS Service Catalog.

Passaggi per registrare un account

Dopo aver AdministratorAccessimpostato l'autorizzazione (politica) nel tuo account esistente, segui questi passaggi per registrare l'account:

Per registrare un account individuale in AWS Control Tower

  • Vai alla pagina dell'organizzazione AWS di Control Tower.

  • Nella pagina Organizzazione, gli account idonei alla registrazione consentono di selezionare Iscriviti dal menu a discesa Azioni nella parte superiore della sezione. Questi account mostrano anche il pulsante Registra account quando vengono visualizzati nella pagina dei dettagli dell'account.

  • Quando scegli Registra account, vedrai una pagina di registrazione dell'account, in cui ti viene richiesto di aggiungere il AWSControlTowerExecution ruolo all'account. Per alcune istruzioni, consulta. Aggiungi manualmente il IAM ruolo richiesto a un ruolo esistente Account AWS e registralo

  • Quindi, selezionare un'unità organizzativa registrata dall'elenco a discesa. Se l'account si trova già in un'unità organizzativa registrata, questo elenco mostrerà l'unità organizzativa.

  • Scegli Enroll account (Registra account).

  • Verrà visualizzato un promemoria modale per aggiungere il AWSControlTowerExecution ruolo e confermare l'azione.

  • Scegli Iscriviti.

  • AWSControl Tower avvia il processo di registrazione e verrai reindirizzato alla pagina dei dettagli dell'account.

Cause comuni di mancata iscrizione

  • Per registrare un account esistente, il AWSControlTowerExecution ruolo deve essere presente nell'account che stai registrando.

  • Il tuo IAM preside potrebbe non avere le autorizzazioni necessarie per fornire un account.

  • AWS Security Token Service (AWS STS) è disabilitato Account AWS nella tua regione di residenza o in qualsiasi regione supportata da AWS Control Tower.

  • È possibile che tu abbia effettuato l'accesso a un account che deve essere aggiunto al portafoglio Account Factory in AWS Service Catalog. L'account deve essere aggiunto prima di poter accedere ad Account Factory in modo da poter creare o registrare un account in AWS Control Tower. Se l'utente o il ruolo appropriato non viene aggiunto al portafoglio Account Factory, riceverai un errore quando tenti di aggiungere un account. Per istruzioni su come concedere l'accesso ai AWS Service Catalog portafogli, consulta Concessione dell'accesso agli utenti.

  • È possibile che sia stato eseguito l'accesso come root.

  • L'account che stai cercando di registrare potrebbe avere AWS Config impostazioni residue. In particolare, l'account può disporre di un registratore di configurazione o di un canale di distribuzione. Questi devono essere eliminati o modificati tramite il AWS CLI prima di poter registrare un account. Per ulteriori informazioni, consulta Registrare account che dispongono di risorse esistenti AWS Config e Interagisci con AWS Control TowerAWS CloudShell.

  • Se l'account appartiene a un'altra unità organizzativa con un account di gestione, inclusa un'altra unità AWS organizzativa Control Tower, è necessario chiudere l'account nell'unità organizzativa corrente prima che possa entrare a far parte di un'altra unità organizzativa. Le risorse esistenti devono essere rimosse dall'unità organizzativa originale. In caso contrario, la registrazione avrà esito negativo.

  • L'approvvigionamento e la registrazione dell'account falliscono se le unità organizzative di destinazione SCPs non consentono di creare tutte le risorse necessarie per quell'account. Ad esempio, un'SCPunità organizzativa della destinazione può bloccare la creazione di risorse senza determinati tag. In questo caso, il provisioning o la registrazione dell'account falliscono, perché AWS Control Tower non supporta l'etichettatura delle risorse. Per assistenza, contatta il rappresentante del tuo account oppure. AWS Support

Per ulteriori informazioni su come AWS Control Tower funziona con i ruoli durante la creazione di nuovi account o la registrazione di account esistenti, consulta Ruoli e account.

Suggerimento

Se non è possibile confermare che un'unità esistente Account AWS soddisfi i prerequisiti di registrazione, è possibile configurare un'unità organizzativa di registrazione e registrare l'account in tale unità organizzativa. Una volta completata la registrazione, è possibile spostare l'account nell'unità organizzativa desiderata. Se l'iscrizione non va a buon fine, significa che nessun altro account è OUs interessato dall'errore.

Se hai dubbi sulla compatibilità degli account esistenti e delle relative configurazioni con AWS Control Tower, puoi seguire le best practice consigliate nella sezione seguente.

Consigliato: puoi impostare un approccio in due passaggi per la registrazione dell’account

  • Innanzitutto, utilizza un pacchetto di AWS Config conformità per valutare in che modo i tuoi account potrebbero essere influenzati da alcuni AWS controlli Control Tower. Per determinare in che modo l'iscrizione a AWS Control Tower può influire sui tuoi account, consulta Estendere la governance AWS della Control Tower utilizzando i AWS Config conformance pack.

  • Successivamente, potresti voler registrare l'account. Se i risultati di conformità sono soddisfacenti, il percorso di migrazione è più semplice perché puoi registrare l'account senza conseguenze impreviste.

  • Dopo aver effettuato la valutazione, se decidi di configurare una landing zone AWS della Control Tower, potresti dover rimuovere il canale di AWS Config consegna e il registratore di configurazione creati per la valutazione. Quindi sarai in grado di configurare AWS Control Tower con successo.

Nota

Il pacchetto di conformità funziona anche in situazioni in cui gli account sono OUs registrati da AWS Control Tower, ma i carichi di lavoro vengono eseguiti all'interno di AWS regioni che non dispongono del supporto AWS Control Tower. È possibile utilizzare il Conformance Pack per gestire le risorse negli account esistenti nelle regioni in cui AWS Control Tower non è distribuito.