Inscrever uma conta existente - AWS Control Tower
Etapas para registrar uma contaCausas comuns de falha na inscrição

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Inscrever uma conta existente

O recurso de inscrição de contas está disponível no console do AWS Control Tower, para cadastrar contas existentes, de Contas da AWS forma que sejam governadas pela AWS Control Tower. Para obter mais informações, consulte Inscrever um existente Conta da AWS.

O recurso Enroll account (Registrar conta) estará disponível quando sua zona de destino não estiver em um estado de oscilação. Para ver esse recurso no console:

  • Navegue até a página da organização no AWS Control Tower.

  • Encontre o nome da conta que você deseja cadastrar. Para encontrá-la, escolha Somente contas no menu suspenso no canto superior direito e localize o nome da conta na tabela filtrada.

  • Siga as etapas para cadastrar uma conta individual, conforme mostrado na Etapas para registrar uma conta seção.

nota

Ao inscrever um existente Conta da AWS, certifique-se de verificar o endereço de e-mail existente. Caso contrário, uma nova conta poderá ser criada.

Determinados erros podem exigir que você atualize a página e tente novamente. Se sua zona de destino estiver em estado de oscilação, talvez não seja possível usar o recurso Enroll account (Registrar conta) com êxito. Você precisará provisionar novas contas por meio do Account Factory até que seu desvio na landing zone seja resolvido.

Ao cadastrar contas no console do AWS Control Tower, você deve estar conectado a uma conta com um usuário que tenha a AWSServiceCatalogEndUserFullAccess política habilitada, junto com as permissões de acesso do administrador para usar o console do AWS Control Tower, e você não pode estar conectado como usuário raiz.

As contas que você cadastrar podem ser atualizadas por meio da AWS Service Catalog fábrica de contas do AWS Control Tower, da mesma forma que você atualizaria qualquer outra conta. Os procedimentos de atualização são fornecidos na seção Atualize e mova contas de fábrica de contas com o AWS Control Tower ou com AWS Service Catalog.

Etapas para registrar uma conta

Depois que a AdministratorAccesspermissão (política) estiver em vigor em sua conta existente, siga estas etapas para registrar a conta:

Para cadastrar uma conta individual no AWS Control Tower

  • Navegue até a página da AWS Control Tower Organization.

  • Na página Organização, as contas que estão qualificadas para serem inscritas permitem que você selecione Inscrever-se no menu suspenso Ações na parte superior da seção. Essas contas também mostram um botão Inscrever conta quando você as visualiza na página de detalhes da conta.

  • Ao escolher Inscrever conta, você verá uma página Inscrever conta, na qual será solicitado que você adicione a AWSControlTowerExecution função à conta. Para obter algumas instruções, consulteAdicione manualmente a função do IAM necessária a uma existente Conta da AWS e inscreva-a.

  • Em seguida, selecione uma OU registrada na lista suspensa. Se a conta já estiver em uma OU registrada, essa lista mostrará a OU.

  • Escolha Enroll account (Registrar conta).

  • Você verá um lembrete modal para adicionar a AWSControlTowerExecution função e confirmar a ação.

  • Escolha Inscrever-se.

  • O AWS Control Tower inicia o processo de inscrição e você é direcionado de volta à página de detalhes da conta.

Causas comuns de falha na inscrição

  • Para cadastrar uma conta existente, a AWSControlTowerExecution função deve estar presente na conta que você está cadastrando.

  • Seu principal do IAM pode não ter as permissões necessárias para provisionar uma conta.

  • AWS Security Token Service (AWS STS) está desativado Conta da AWS em sua região de origem ou em qualquer região suportada pelo AWS Control Tower.

  • Você pode estar conectado a uma conta que precisa ser adicionada ao Account Factory Portfolio em AWS Service Catalog. A conta deve ser adicionada antes que você tenha acesso ao Account Factory para que você possa criar ou inscrever uma conta no AWS Control Tower. Se o usuário ou a função apropriada não forem adicionados ao portfólio do Account Factory, você receberá uma mensagem de erro ao tentar adicionar uma conta. Para obter instruções sobre como conceder acesso aos AWS Service Catalog portfólios, consulte Como conceder acesso aos usuários.

  • É possível que você esteja conectado como raiz.

  • A conta que você está tentando registrar pode ter AWS Config configurações residuais. Em particular, a conta pode ter um gravador de configuração ou um canal de entrega. Eles devem ser excluídos ou modificados por meio do AWS CLI antes que você possa registrar uma conta. Para obter mais informações, consulte Inscrever contas que tenham recursos existentes AWS Config e Interagindo com o uso AWS Control TowerAWS CloudShell.

  • Se a conta pertencer a outra OU com uma conta de gerenciamento, incluindo outra OU do AWS Control Tower, você deverá encerrar a conta em sua OU atual antes que ela possa ingressar em outra OU. Os recursos existentes devem ser removidos na OU original. Caso contrário, o registro falhará.

  • O provisionamento e a inscrição da conta falharão se os SCPs da sua OU de destino não permitirem que você crie todos os recursos necessários para essa conta. Por exemplo, um SCP em sua OU de destino pode bloquear a criação de recursos sem determinadas tags. Nesse caso, o provisionamento ou o registro da conta falham, porque o AWS Control Tower não suporta a marcação de recursos. Para obter ajuda, entre em contato com seu representante de conta ou AWS Support.

Para obter mais informações sobre como o AWS Control Tower trabalha com funções quando você cria novas contas ou inscreve contas existentes, consulte Funções e contas.

dica

Se você não puder confirmar se um existente Conta da AWS atende aos pré-requisitos de inscrição, você pode configurar uma OU de inscrição e inscrever a conta nessa OU. Depois que a inscrição for bem-sucedida, você poderá mover a conta para a OU desejada. Se a inscrição falhar, nenhuma outra conta ou OUs será afetada pela falha.

Se você tiver dúvidas de que suas contas existentes e suas configurações são compatíveis com o AWS Control Tower, você pode seguir as melhores práticas recomendadas na seção a seguir.

Recomendado: é possível configurar uma abordagem em duas etapas para o registro da conta

  • Primeiro, use um pacote de AWS Config conformidade para avaliar como suas contas podem ser afetadas por alguns controles do AWS Control Tower. Para determinar como a inscrição na AWS Control Tower pode afetar suas contas, consulte Estender a governança da AWS Control Tower usando pacotes de AWS Config conformidade.

  • Depois disso, talvez você queira registrar a conta. Se os resultados de conformidade forem satisfatórios, o caminho de migração será mais fácil porque é possível registrar a conta sem consequências inesperadas.

  • Depois de fazer sua avaliação, se você decidir configurar uma landing zone do AWS Control Tower, talvez seja necessário remover o canal de AWS Config entrega e o gravador de configuração que foram criados para sua avaliação. Então, você poderá configurar o AWS Control Tower com sucesso.

nota

O pacote de conformidade também funciona em situações em que as contas estão localizadas em OUs registradas pela AWS Control Tower, mas as cargas de trabalho são executadas em AWS regiões que não têm suporte da AWS Control Tower. Você pode usar o pacote de conformidade para gerenciar recursos em contas que existem em regiões onde o AWS Control Tower não está implantado.