As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Registre uma unidade organizacional existente na AWS Control Tower
Uma forma eficiente de incluir várias AWS contas existentes na AWS Control Tower é estender a governança da AWS Control Tower a toda uma unidade organizacional (OU).
Para habilitar a governança da AWS Control Tower sobre uma OU existente que foi criada com AWS Organizations, e suas contas, registre a OU em sua landing zone da AWS Control Tower. Você pode se registrar OUs que contenha até 1000 contas. Se uma OU contiver mais de 1000 contas, você não poderá registrá-la no AWS Control Tower.
Quando você registra uma OU, suas contas de membros são inscritas na landing zone da AWS Control Tower. Elas são administradas pelos controles que se aplicam à sua UO.
nota
Se você ainda não tem uma zona de pouso da AWS Control Tower, comece configurando uma zona de pouso, seja em uma nova organização criada pela AWS Control Tower ou em uma AWS Organizations organização existente. Consulte mais detalhes sobre como configurar um zona de pouso em Conceitos básicos do AWS Control Tower.
O que acontece com minhas contas quando eu registro minha UO?
AWSA Control Tower exige permissão para estabelecer acesso confiável entre AWS CloudFormation e AWS Organizations em seu nome, para que AWS CloudFormation possa implantar sua pilha nas contas da sua organização automaticamente.
-
O perfil
AWSControlTowerExecutioné adicionado a todas as contas com o status Não inscrita. -
Os controles obrigatórios são habilitados por padrão para sua UO e todas as contas quando você registra sua UO.
Inscrição parcial de contas após o registro de uma UO
É possível registrar uma UO com sucesso, mas algumas contas podem permanecer não inscritas. Nesse caso, essas contas não atendem a alguns dos pré-requisitos para inscrição. Se a inscrição de uma conta como parte do processo de Registrar UO não for bem-sucedida, o status da conta na página de contas mostrará Falha na inscrição. Você também pode ver as informações da conta na página da UO, como 4 de 5, no campo contas.
Por exemplo, se você ver 4 de 5, isso significa que sua UO tem 5 contas no total, e 4 delas foram inscritas com sucesso, mas uma conta apresentou falha na inscrição durante o processo de Registrar UO. Você pode escolher Registrar UO novamente para inscrever as contas, depois de verificar se elas atendem aos pré-requisitos de inscrição.
IAMpré-requisitos do usuário para registrar uma OU
Sua identidade AWS Identity and Access Management (IAM) (usuário ou função) ou IAM identidade de usuário do Identity Center deve ser incluída no portfólio apropriado do Account Factory quando você executa a operação Register OU, mesmo que você já tenha Admin permissões. Caso contrário, a criação dos produtos provisionados falhará durante o registro. A falha ocorre porque o AWS Control Tower depende das credenciais do IAM usuário ou da IAM identidade do usuário do Identity Center ao registrar uma OU.
O portfólio relevante é aquele criado pela AWS Control Tower, chamado AWSControl Tower Account Factory Portfolio. Navegue até ele escolhendo Service Catalog > Account Factory > AWS Control Tower Account Factory Portfolio. Em seguida, selecione a guia chamada Grupos, funções e usuários para visualizar sua IAM identidade IAM ou a do Identity Center. Consulte mais informações sobre como conceder acesso na documentação do AWS Service Catalog.
