Adicione manualmente a IAM função necessária a uma existente Conta da AWS e inscreva-a - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicione manualmente a IAM função necessária a uma existente Conta da AWS e inscreva-a

Se você já configurou sua landing zone da AWS Control Tower, pode começar a inscrever as contas da sua organização em uma OU registrada na AWS Control Tower. Se você não configurou sua landing zone, siga as etapas descritas no Guia do usuário do AWS Control Tower em Getting Started, Etapa 2. Depois que a landing zone estiver pronta, conclua as etapas a seguir para colocar as contas existentes sob a governança da AWS Control Tower manualmente.

Certifique-se de revisar os Pré-requisitos da inscrição mencionados anteriormente neste capítulo.

Antes de cadastrar uma conta na AWS Control Tower, você deve dar permissão à AWS Control Tower para gerenciar essa conta. Para fazer isso, adicione um perfil que tenha acesso total à conta, conforme mostrado nas etapas a seguir. Essas etapas devem ser realizadas em cada conta que você inscrever.

Para cada conta:

Etapa 1: faça login com acesso de administrador à conta de gerenciamento da organização que atualmente contém a conta que você deseja inscrever.

Por exemplo, se você criou essa conta AWS Organizations e usa uma IAM função entre contas para fazer login, siga estas etapas:

  1. Faça login na conta de gerenciamento da organização.

  2. Acesse AWS Organizations.

  3. Em Contas, selecione a conta que você deseja inscrever e copie o ID da conta.

  4. Abra o menu suspenso da conta na barra de navegação superior e escolha Mudar de perfil.

  5. No formulário Mudar de perfil, preencha os seguintes campos:

    • Em Conta, insira o ID da conta que você copiou.

    • Em Função, insira o nome da IAM função que permite o acesso entre contas a essa conta. O nome desse perfil foi definido quando a conta foi criada. Se você não especificou um nome de perfil ao criar a conta, insira o nome de perfil padrão, OrganizationAccountAccessRole.

  6. Selecione Mudar de perfil.

  7. Agora você deve estar conectado AWS Management Console à conta de criança.

  8. Ao terminar, permaneça na conta secundária durante a próxima parte do procedimento.

  9. Anote o ID da conta de gerenciamento, pois será necessário inseri-lo na próxima etapa.

Etapa 2: dê permissão à AWS Control Tower para gerenciar a conta.

  1. Acesse IAM.

  2. Abra Perfis.

  3. Selecione Criar perfil.

  4. Quando for solicitado que você selecione para qual serviço o perfil se destina, escolha Política de confiança personalizada.

  5. Copie o exemplo de código mostrado aqui e cole-o no Documento de política. Substitua a string Management Account ID pelo ID real da sua conta de gerenciamento. Aqui está a política a ser colada:

    {
   "Version":"2012-10-17",
   "Statement":[
      {
      "Effect":"Allow",
      "Principal":{
         "AWS": "arn:aws:iam::Management Account ID:root"
         },
         "Action": "sts:AssumeRole",
         "Condition": {} 
      }
   ]
  }

  6. Quando solicitado a anexar políticas, escolha AdministratorAccess.

  7. Selecione Next: Tags (Próximo: tags).

  8. Você pode ver uma tela opcional intitulada Adicionar tags. Ignore esta tela por enquanto escolhendo Próximo: revisão

  9. Na página Revisão, no campo Nome do perfil, insira AWSControlTowerExecution.

  10. Insira uma breve descrição na caixa Descrição, como Permite acesso total à conta para inscrição.

  11. Selecione Criar função.

Etapa 3: inscreva a conta movendo-a para uma UO registrada e verifique a inscrição.

Depois de configurar as permissões necessárias criando o perfil, siga estas etapas para registrar a conta e verificar a inscrição.

  1. Faça login novamente como administrador e vá para a AWS Control Tower.

  2. Registre a conta.

    • Na página Organização no AWS Control Tower, selecione sua conta e escolha Inscrever-se no menu suspenso Ações no canto superior direito.

    • Siga as etapas para inscrever uma conta individual, conforme mostrado na página Etapas para inscrever uma conta.

  3. Verifique a inscrição.

    • Em AWS Control Tower, escolha Organização no painel de navegação à esquerda.

    • Procure a conta que você inscreveu recentemente. Seu estado inicial mostrará o status Inscrevendo.

    • Quando o estado muda para Inscrita, a mudança foi bem-sucedida.

Para continuar esse processo, entre em cada conta da sua organização que você deseja inscrever no AWS Control Tower. Repita as etapas de pré-requisito e as etapas de inscrição para cada conta.