Etapas para inscrever uma conta Causas comuns para falha de inscrição

Inscrever uma conta existente

O recurso Inscrever contas está disponível no console do AWS Control Tower, para inscrever Contas da AWS existentes, de forma que elas sejam administradas pelo AWS Control Tower. Consulte mais informações em Enroll an existing Conta da AWS.

O recurso Inscrever conta estará disponível quando a zona de pouso não estiver em um estado de desvio. Como visualizar esse recurso no console:

Acesse a página Organização no AWS Control Tower.
Encontre o nome da conta que você deseja inscrever. Para encontrá-la, escolha Somente contas no menu suspenso no canto superior direito e localize o nome da conta na tabela filtrada.
Siga as etapas para inscrever uma conta individual, conforme mostrado na seção Etapas para inscrever uma conta.

nota

Ao inscrever uma Conta da AWS existente, certifique-se de verificar o endereço de e-mail existente. Caso contrário, uma conta poderá ser criada.

Determinados erros podem exigir que você atualize a página e tente novamente. Se sua zona de destino estiver em estado de oscilação, talvez não seja possível usar o recurso Enroll account (Registrar conta) com êxito. Será necessário provisionar novas contas por meio do Account Factory até que o desvio da zona de pouso seja resolvido.

Ao inscrever contas pelo console do AWS Control Tower, é necessário fazer login em uma conta com um usuário do IAM que tenha a política AWSServiceCatalogEndUserFullAccess habilitada, junto com permissões de acesso de administrador para usar o console do AWS Control Tower, e você não pode se conectar como usuário-raiz.

As contas inscritas podem ser atualizadas por meio do AWS Service Catalog e do Account Factory do AWS Control Tower, como você atualizaria qualquer outra conta. Os procedimentos de atualização são fornecidos na seção Atualizar e mover contas do Account Factory com o AWS Control Tower ou com o AWS Service Catalog.

Etapas para inscrever uma conta

Depois que a permissão AdministratorAccess (política) estiver em vigor na sua conta existente, siga estas etapas para inscrever a conta:

Como inscrever uma conta individual no AWS Control Tower

Acesse a página Organização do AWS Control Tower.
Na página Organização, as contas que elegíveis para inscrição permitem que você selecione Inscrever no menu suspenso Ações na parte superior da seção. Essas contas também mostram um botão Inscrever conta quando você as visualiza na página Detalhes da conta.
Ao escolher Inscrever conta, você verá uma página Inscrever conta, na qual será solicitado que você adicione o perfil AWSControlTowerExecution à conta. Consulte instruções em Adicionar manualmente o perfil do IAM necessário a uma Conta da AWS existente e inscrevê-la.
Depois, selecione uma UO registrada na lista suspensa. Se a conta já estiver em uma UO registrada, essa lista mostrará a UO.
Escolha Enroll account (Registrar conta).
Você verá um lembrete modal para adicionar o perfil AWSControlTowerExecution e confirmar a ação.
Escolha Inscrever.
O AWS Control Tower inicia o processo de inscrição e você é direcionado de volta à página Detalhes da conta.

Causas comuns para falha de inscrição

Para inscrever uma conta existente, o perfil AWSControlTowerExecution deve estar presente na conta que você está inscrevendo.
Sua entidade principal do IAM pode não ter as permissões necessárias para provisionar uma conta.
O AWS Security Token Service (AWS STS) está desabilitado na Conta da AWS em sua região de origem ou em qualquer região compatível com o AWS Control Tower.
Você pode ter feito login com uma conta que precisa ser adicionada ao portfólio do Account Factory no AWS Service Catalog. A conta deve ser adicionada antes que você tenha acesso ao Account Factory para que seja possível criar ou inscrever uma conta no AWS Control Tower. Se o usuário ou perfil apropriado não for adicionado ao portfólio do Account Factory, será exibido um erro ao tentar adicionar uma conta. Consulte instruções sobre como conceder acesso aos portfólios do AWS Service Catalog em Granting access to users.
É possível que você esteja conectado como raiz.
A conta que você está tentando inscrever pode ter configurações do AWS Config que são residuais. Em particular, a conta pode ter um gravador de configuração ou canal de entrega. Eles devem ser excluídos ou modificados pela AWS CLI antes que você possa inscrever uma conta. Consulte mais informações em Inscrever contas que tenham recursos do AWS Config existentes e Interagir com o AWS Control Tower por meio do AWS CloudShell.
Se a conta pertencer a outra UO com uma conta de gerenciamento, incluindo outra UO do AWS Control Tower, você deverá encerrar a conta em sua UO atual antes que ela possa ingressar em outra UO. Os recursos existentes devem ser removidos na UO original. Caso contrário, o registro falhará.
O provisionamento e a inscrição da conta falharão se as SCPs da sua UO de destino não permitirem que você crie todos os recursos necessários para essa conta. Por exemplo, uma SCP na UO de destino pode bloquear a criação de recursos sem determinadas tags. Nesse caso, o provisionamento ou a inscrição da conta falham, porque o AWS Control Tower não permite a marcação de recursos. Se precisar de ajuda, entre em contato com seu representante de conta ou com o AWS Support.

Consulte mais informações sobre como o AWS Control Tower funciona com perfis quando você está criando contas ou registrando contas existentes em Roles and accounts.

dica

Se não puder confirmar se uma Conta da AWS existente atende aos pré-requisitos de inscrição, você poderá configurar uma UO de inscrição e inscrever a conta nessa UO. Depois que a inscrição for bem-sucedida, você poderá mover a conta para a UO desejada. Se a inscrição falhar, nenhuma outra conta ou UO será afetada pela falha.

Se tiver dúvidas de que suas contas existentes e suas configurações são compatíveis com o AWS Control Tower, você poderá seguir as práticas recomendadas indicadas na seção a seguir.

Recomendado: é possível configurar uma abordagem em duas etapas para o registro da conta

Primeiro, use um pacote de conformidade do AWS Config para avaliar como suas contas podem ser afetadas por alguns controles do AWS Control Tower. Para determinar como a inscrição no AWS Control Tower pode afetar suas contas, consulte Extend AWS Control Tower governance using AWS Config conformance packs.
Depois disso, talvez você queira registrar a conta. Se os resultados de conformidade forem satisfatórios, o caminho de migração será mais fácil porque é possível registrar a conta sem consequências inesperadas.
Depois de fazer sua avaliação, se você decidir configurar uma zona de pouso do AWS Control Tower, talvez seja necessário remover o gravador de configuração e o canal de entrega do AWS Config que foram criados para sua avaliação. Depois disso, será possível configurar o AWS Control Tower com êxito.

nota

O pacote de conformidade também funciona em situações em que as contas estão localizadas em UOs registradas pelo AWS Control Tower, mas as workloads são executadas em regiões da AWS que não são compatíveis com o AWS Control Tower. É possível usar o pacote de conformidade para gerenciar recursos em contas que existem em regiões onde o AWS Control Tower não está implantado.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Pré-requisitos da inscrição

Se a conta não atender aos pré-requisitos