Adicione manualmente a IAM função necessária a uma existente Conta da AWS e inscreva-a - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicione manualmente a IAM função necessária a uma existente Conta da AWS e inscreva-a

Se você já configurou sua landing zone da AWS Control Tower, pode começar a inscrever as contas da sua organização em uma OU registrada na AWS Control Tower. Se você não configurou sua landing zone, siga as etapas descritas no Guia do usuário do AWS Control Tower em Getting Started, Etapa 2. Depois que a landing zone estiver pronta, conclua as etapas a seguir para colocar as contas existentes sob a governança da AWS Control Tower manualmente.

Não deixe de revisar o Pré-requisitos para inscrição que foi mencionado anteriormente neste capítulo.

Antes de cadastrar uma conta na AWS Control Tower, você deve dar permissão à AWS Control Tower para gerenciar essa conta. Para fazer isso, você adicionará uma função que tenha acesso total à conta, conforme mostrado nas etapas a seguir. Essas etapas devem ser executadas para cada conta que você inscrever.

Para cada conta:

Etapa 1: Faça login com acesso de administrador à conta de gerenciamento da organização que atualmente contém a conta que você deseja inscrever.

Por exemplo, se você criou essa conta AWS Organizations e usa uma IAM função entre contas para fazer login, siga estas etapas:

  1. Faça login na conta de gerenciamento da sua organização.

  2. Acesse AWS Organizations.

  3. Em Contas, selecione a conta que você deseja registrar e copie o ID da conta.

  4. Abra o menu suspenso da conta na barra de navegação superior e escolha Trocar função.

  5. No formulário Alternar função, preencha os seguintes campos:

    • Em Conta, insira o ID da conta que você copiou.

    • Em Função, insira o nome da IAM função que permite o acesso entre contas a essa conta. O nome dessa função foi definido quando a conta foi criada. Se você não especificou um nome de função ao criar a conta, insira o nome de função padrão,OrganizationAccountAccessRole.

  6. Selecione Switch Role (Mudar de função).

  7. Agora você deve estar conectado AWS Management Console à conta de criança.

  8. Ao terminar, permaneça na conta da criança durante a próxima parte do procedimento.

  9. Anote o ID da conta de gerenciamento, pois você precisará inseri-lo na próxima etapa.

Etapa 2: dê permissão à AWS Control Tower para gerenciar a conta.

  1. Acesse IAM.

  2. Vá para Funções.

  3. Selecione Criar função.

  4. Quando solicitado a selecionar para qual serviço a função se destina, escolha Política de confiança personalizada.

  5. Copie o exemplo de código mostrado aqui e cole-o no documento de política. Substitua a string ID da conta de gerenciamento com o ID real da conta de gerenciamento da sua conta de gerenciamento. Aqui está a política a ser colada:

    {
   "Version":"2012-10-17",
   "Statement":[
      {
      "Effect":"Allow",
      "Principal":{
         "AWS": "arn:aws:iam::Management Account ID:root"
         },
         "Action": "sts:AssumeRole",
         "Condition": {} 
      }
   ]
  }

  6. Quando solicitado a anexar políticas, escolha AdministratorAccess.

  7. Selecione Next: Tags (Próximo: tags).

  8. Você pode ver uma tela opcional intitulada Adicionar tags. Pule esta tela por enquanto escolhendo Avançar:Revisão

  9. Na tela Revisar, no campo Nome da função, insiraAWSControlTowerExecution.

  10. Insira uma breve descrição na caixa Descrição, como Permite acesso total à conta para inscrição.

  11. Selecione Criar função.

Etapa 3: Registre a conta movendo-a para uma OU registrada e verifique a inscrição.

Depois de configurar as permissões necessárias criando a função, siga estas etapas para registrar a conta e verificar a inscrição.

  1. Faça login novamente como administrador e vá para a AWS Control Tower.

  2. Registre a conta.

    • Na página Organização no AWS Control Tower, selecione sua conta e escolha Inscrever-se no menu suspenso Ações no canto superior direito.

    • Siga as etapas para registrar uma conta individual, conforme mostrado na Etapas para registrar uma conta página.

  3. Verifique a inscrição.

    • Em AWS Control Tower, escolha Organização no painel de navegação à esquerda.

    • Procure a conta que você inscreveu recentemente. Seu estado inicial mostrará o status de Inscrição.

    • Quando o estado muda para Inscrito, a mudança foi bem-sucedida.

Para continuar esse processo, entre em cada conta da sua organização que você deseja inscrever no AWS Control Tower. Repita as etapas de pré-requisito e as etapas de inscrição para cada conta.