As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Inscrever uma conta existente
O recurso Inscrever conta está disponível no console da AWS Control Tower, para cadastrar contas existentes de Contas da AWS forma que sejam governadas pela Control TowerAWS. Para obter mais informações, consulte Inscrever um existente Conta da AWS.
O recurso Enroll account (Registrar conta) estará disponível quando sua zona de destino não estiver em um estado de oscilação. Para ver esse recurso no console:
-
Navegue até a página Organização no AWS Control Tower.
-
Encontre o nome da conta que você deseja cadastrar. Para encontrá-la, escolha Somente contas no menu suspenso no canto superior direito e localize o nome da conta na tabela filtrada.
-
Siga as etapas para registrar uma conta individual, conforme mostrado na Etapas para registrar uma conta seção.
nota
Ao inscrever um existente Conta da AWS, certifique-se de verificar o endereço de e-mail existente. Caso contrário, uma nova conta poderá ser criada.
Determinados erros podem exigir que você atualize a página e tente novamente. Se sua zona de destino estiver em estado de oscilação, talvez não seja possível usar o recurso Enroll account (Registrar conta) com êxito. Você precisará provisionar novas contas por meio do Account Factory até que seu desvio na landing zone seja resolvido.
Ao inscrever contas no console do AWS Control Tower, você deve estar conectado a uma conta com um usuário que tenha a AWSServiceCatalogEndUserFullAccess
política ativada, junto com as permissões de acesso do administrador para usar o console da AWS Control Tower, e você não pode estar conectado como usuário raiz.
As contas que você cadastrar podem ser atualizadas por meio da fábrica de AWS Service Catalog contas da AWS Control Tower, da mesma forma que você atualizaria qualquer outra conta. Os procedimentos de atualização são fornecidos na seção Atualize e mova contas de fábrica de contas com o AWS Control Tower ou com AWS Service Catalog.
Etapas para registrar uma conta
Depois que a AdministratorAccesspermissão (política) estiver em vigor em sua conta existente, siga estas etapas para registrar a conta:
Para inscrever uma conta individual na AWS Control Tower
-
Navegue até a página AWS Control Tower Organization.
-
Na página Organização, as contas que estão qualificadas para serem inscritas permitem que você selecione Inscrever-se no menu suspenso Ações na parte superior da seção. Essas contas também mostram um botão Inscrever conta quando você as visualiza na página de detalhes da conta.
-
Ao escolher Inscrever conta, você verá uma página Inscrever conta, na qual será solicitado que você adicione a
AWSControlTowerExecution
função à conta. Para obter algumas instruções, consulteAdicione manualmente a IAM função necessária a uma existente Conta da AWS e inscreva-a. -
Em seguida, selecione uma OU registrada na lista suspensa. Se a conta já estiver em uma OU registrada, essa lista mostrará a OU.
-
Escolha Enroll account (Registrar conta).
-
Você verá um lembrete modal para adicionar a
AWSControlTowerExecution
função e confirmar a ação. -
Escolha Inscrever-se.
-
AWSO Control Tower inicia o processo de inscrição e você é direcionado de volta à página de detalhes da conta.
Causas comuns de falha na inscrição
-
Para cadastrar uma conta existente, a
AWSControlTowerExecution
função deve estar presente na conta que você está cadastrando. -
Seu IAM diretor pode não ter as permissões necessárias para provisionar uma conta.
-
AWS Security Token Service (AWS STS) está desativado Conta da AWS em sua região de origem ou em qualquer região suportada pela AWS Control Tower.
-
Você pode estar conectado a uma conta que precisa ser adicionada ao Account Factory Portfolio em AWS Service Catalog. A conta deve ser adicionada antes que você tenha acesso ao Account Factory para que você possa criar ou inscrever uma conta na AWS Control Tower. Se o usuário ou a função apropriada não forem adicionados ao portfólio do Account Factory, você receberá uma mensagem de erro ao tentar adicionar uma conta. Para obter instruções sobre como conceder acesso aos AWS Service Catalog portfólios, consulte Conceder acesso aos usuários.
-
É possível que você esteja conectado como raiz.
-
A conta que você está tentando registrar pode ter AWS Config configurações residuais. Em particular, a conta pode ter um gravador de configuração ou um canal de entrega. Eles devem ser excluídos ou modificados por meio do AWS CLI antes que você possa registrar uma conta. Para ter mais informações, consulte Inscrever contas que tenham recursos existentes AWS Config e Interaja com AWS Control Tower por meio de AWS CloudShell.
-
Se a conta pertencer a outra OU com uma conta de gerenciamento, incluindo outra OU AWS Control Tower, você deverá encerrar a conta em sua OU atual antes que ela possa ingressar em outra OU. Os recursos existentes devem ser removidos na OU original. Caso contrário, o registro falhará.
-
O provisionamento e a inscrição da conta falharão se suas UOs de destino SCPs não permitirem que você crie todos os recursos necessários para essa conta. Por exemplo, uma OU SCP na sua unidade organizacional de destino pode bloquear a criação de recursos sem determinadas tags. Nesse caso, o provisionamento ou o registro da conta falham, porque o AWS Control Tower não suporta a marcação de recursos. Para obter ajuda, entre em contato com seu representante de conta ou AWS Support.
Para obter mais informações sobre como a AWS Control Tower trabalha com funções quando você cria novas contas ou inscreve contas existentes, consulte Funções e contas.
dica
Se você não puder confirmar se um existente Conta da AWS atende aos pré-requisitos de inscrição, você pode configurar uma OU de inscrição e inscrever a conta nessa OU. Depois que a inscrição for bem-sucedida, você poderá mover a conta para a OU desejada. Se a inscrição falhar, nenhuma outra conta ou OUs será afetada pela falha.
Se você tiver dúvidas de que suas contas existentes e suas configurações sejam compatíveis com o AWS Control Tower, siga as melhores práticas recomendadas na seção a seguir.
Recomendado: é possível configurar uma abordagem em duas etapas para o registro da conta
-
Primeiro, use um pacote de AWS Config conformidade para avaliar como suas contas podem ser afetadas por alguns AWS controles da Control Tower. Para determinar como a inscrição na AWS Control Tower pode afetar suas contas, consulte Estender a governança da AWS Control Tower usando pacotes de AWS Config conformidade
. -
Depois disso, talvez você queira registrar a conta. Se os resultados de conformidade forem satisfatórios, o caminho de migração será mais fácil porque é possível registrar a conta sem consequências inesperadas.
-
Depois de fazer sua avaliação, se você decidir configurar uma landing zone da AWS Control Tower, talvez seja necessário remover o canal de AWS Config entrega e o gravador de configuração que foram criados para sua avaliação. Então, você poderá configurar a AWS Control Tower com sucesso.
nota
O pacote de conformidade também funciona em situações em que as contas estão localizadas nos OUs registros da AWS Control Tower, mas as cargas de trabalho são executadas em AWS regiões que não têm suporte para a AWS Control Tower. Você pode usar o pacote de conformidade para gerenciar recursos em contas que existem em regiões onde a AWS Control Tower não está implantada.