Registra un account esistente - AWS Control Tower
Passaggi per registrare un accountCause comuni di mancata iscrizione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registra un account esistente

La funzionalità dell'account Enroll è disponibile nella console AWS Control Tower, per la registrazione degli account esistenti in Account AWS modo che siano governati da AWS Control Tower. Per ulteriori informazioni, consulta Registrare un esistente. Account AWS

La funzionalità Enroll account (Registra account) è disponibile quando la landing zone non è in uno stato di deviazione. Per visualizzare questa funzionalità nella console:

  • Vai alla pagina Organizzazione in AWS Control Tower.

  • Trova il nome dell'account che desideri registrare. Per trovarlo, scegli Solo account dal menu a discesa in alto a destra, quindi individua il nome dell'account nella tabella filtrata.

  • Segui i passaggi per la registrazione di un singolo account, come mostrato nella sezione. Passaggi per registrare un account

Nota

Quando registri un indirizzo email esistente Account AWS, assicurati di verificare l'indirizzo email esistente. Altrimenti, potrebbe essere creato un nuovo account.

Alcuni errori possono richiedere di aggiornare la pagina e di riprovare. Se la landing zone si trova in uno stato di deviazione, potresti non essere in grado di utilizzare correttamente la funzionalità Enroll account (Registra account) . Dovrai fornire nuovi account tramite Account Factory fino a quando la deriva della tua landing zone non sarà risolta.

Quando registri account dalla console AWS Control Tower, devi accedere a un account con un utente con la AWSServiceCatalogEndUserFullAccess policy abilitata, oltre alle autorizzazioni di accesso di amministratore per utilizzare la console AWS Control Tower, e non puoi accedere come utente root.

Gli account che registri possono essere aggiornati tramite l'account factory di AWS Service Catalog AWS Control Tower, come faresti con qualsiasi altro account. Le procedure di aggiornamento sono fornite nella sezione chiamata Aggiorna e sposta gli account factory degli account con AWS Control Tower o con AWS Service Catalog.

Passaggi per registrare un account

Dopo aver AdministratorAccessimpostato l'autorizzazione (politica) nel tuo account esistente, segui questi passaggi per registrare l'account:

Per registrare un account individuale in AWS Control Tower

  • Vai alla pagina AWS Control Tower Organization.

  • Nella pagina Organizzazione, gli account idonei alla registrazione consentono di selezionare Enroll dal menu a discesa Azioni nella parte superiore della sezione. Questi account mostrano anche il pulsante Registra account quando vengono visualizzati nella pagina dei dettagli dell'account.

  • Quando scegli Registra account, vedrai una pagina di registrazione dell'account, in cui ti viene richiesto di aggiungere il AWSControlTowerExecution ruolo all'account. Per alcune istruzioni, consulta. Aggiungi manualmente il ruolo IAM richiesto a un ruolo esistente Account AWS e registralo

  • Quindi, selezionare un'unità organizzativa registrata dall'elenco a discesa. Se l'account si trova già in un'unità organizzativa registrata, questo elenco mostrerà l'unità organizzativa.

  • Scegli Enroll account (Registra account).

  • Verrà visualizzato un promemoria modale per aggiungere il AWSControlTowerExecution ruolo e confermare l'azione.

  • Scegli Iscriviti.

  • AWS Control Tower avvia il processo di registrazione e verrai reindirizzato alla pagina dei dettagli dell'account.

Cause comuni di mancata iscrizione

  • Per registrare un account esistente, il AWSControlTowerExecution ruolo deve essere presente nell'account che stai registrando.

  • L'entità IAM potrebbe non disporre delle autorizzazioni necessarie per effettuare il provisioning di un account.

  • AWS Security Token Service (AWS STS) è disabilitato Account AWS nella tua regione d'origine o in qualsiasi regione supportata da AWS Control Tower.

  • È possibile che tu abbia effettuato l'accesso a un account che deve essere aggiunto al portafoglio Account Factory in AWS Service Catalog. L'account deve essere aggiunto prima di poter accedere ad Account Factory in modo da poter creare o registrare un account in AWS Control Tower. Se l'utente o il ruolo appropriato non viene aggiunto al portafoglio Account Factory, riceverai un errore quando tenti di aggiungere un account. Per istruzioni su come concedere l'accesso ai AWS Service Catalog portafogli, consulta Concessione dell'accesso agli utenti.

  • È possibile che sia stato eseguito l'accesso come root.

  • L'account che stai cercando di registrare potrebbe avere AWS Config impostazioni residue. In particolare, l'account può disporre di un registratore di configurazione o di un canale di distribuzione. Questi devono essere eliminati o modificati tramite il AWS CLI prima di poter registrare un account. Per ulteriori informazioni, consulta Registrare account che dispongono di risorse esistenti AWS Config e Interazione con l'utilizzo AWS Control TowerAWS CloudShell.

  • Se l'account appartiene a un'altra unità organizzativa con un account di gestione, inclusa un'altra unità organizzativa AWS Control Tower, è necessario chiudere l'account nell'unità organizzativa corrente prima che possa entrare a far parte di un'altra unità organizzativa. Le risorse esistenti devono essere rimosse dall'unità organizzativa originale. In caso contrario, la registrazione avrà esito negativo.

  • L'approvvigionamento e la registrazione dell'account falliscono se gli SCP dell'unità organizzativa di destinazione non consentono di creare tutte le risorse necessarie per quell'account. Ad esempio, un SCP nell'unità organizzativa di destinazione può bloccare la creazione di risorse senza determinati tag. In questo caso, il provisioning o la registrazione dell'account falliscono, perché AWS Control Tower non supporta il tagging delle risorse. Per assistenza, contatta il rappresentante del tuo account oppure. AWS Support

Per ulteriori informazioni su come AWS Control Tower funziona con i ruoli durante la creazione di nuovi account o la registrazione di account esistenti, consulta Ruoli e account.

Suggerimento

Se non è possibile confermare che un'unità esistente Account AWS soddisfi i prerequisiti di registrazione, è possibile configurare un'unità organizzativa di registrazione e registrare l'account in tale unità organizzativa. Una volta completata la registrazione, è possibile spostare l'account nell'unità organizzativa desiderata. Se la registrazione non riesce, nessun altro account o unità organizzativa è interessato dall'errore.

Se hai dubbi sulla compatibilità dei tuoi account esistenti e delle relative configurazioni con AWS Control Tower, puoi seguire le best practice consigliate nella sezione seguente.

Consigliato: puoi impostare un approccio in due passaggi per la registrazione dell’account

  • Innanzitutto, utilizza un pacchetto di AWS Config conformità per valutare in che modo i tuoi account potrebbero essere influenzati da alcuni controlli di AWS Control Tower. Per determinare in che modo l'iscrizione ad AWS Control Tower può influire sui tuoi account, consulta Estendere la governance di AWS Control Tower usando pacchetti di AWS Config conformità.

  • Successivamente, potresti voler registrare l'account. Se i risultati di conformità sono soddisfacenti, il percorso di migrazione è più semplice perché puoi registrare l'account senza conseguenze impreviste.

  • Dopo aver effettuato la valutazione, se decidi di configurare una landing zone di AWS Control Tower, potresti dover rimuovere il canale di AWS Config distribuzione e il registratore di configurazione creati per la valutazione. Quindi sarai in grado di configurare con successo AWS Control Tower.

Nota

Il pacchetto di conformità funziona anche in situazioni in cui gli account si trovano in unità organizzative registrate da AWS Control Tower, ma i carichi di lavoro vengono eseguiti all'interno di AWS regioni che non dispongono del supporto di AWS Control Tower. Puoi utilizzare il Conformance Pack per gestire le risorse negli account esistenti nelle regioni in cui AWS Control Tower non è distribuito.