本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将治理范围扩展到现有组织
您可以按照《入门指南》第 2 步中的 Cont AWS rol Tower 用户指南中所述设置着陆区 (LZ),为现有组织添加 Cont AWS rol Tower 治理。
以下是在现有组织中设置 Contro AWS l Tower 着陆区时会发生的情况。
-
每个 AWS Organizations 组织可以有一个着陆区。
-
AWSControl Tower 使用您现有 AWS Organizations 组织的管理帐户作为其管理帐户。无需新的管理账户。
-
AWSControl Tower 在注册的 OU 中设置了两个新账户:一个审计账户和一个日志账户。
-
您组织的服务限制必须允许创建这两个附加账户。
-
在您启动着陆区或注册 OU 后,Cont AWS rol Tower 控件会自动应用于该 OU 中所有已注册的账户。
-
您可以将其他现有 AWS 账户注册到受 Cont AWS rol Tower 管理的 OU 中,以便控制适用于这些账户。
-
你可以在 Cont AWS rol Tower OUs 中添加更多内容,也可以注册现有OUs的。
要查看注册和注册的其他先决条件,请参阅 Cont AWSrol Tower 入门。
以下是关于在没有设置AWS控制塔着陆区的AWS组织OUs中 Cont AWS rol Tower 控件如何不适用于你的更多详细信息:
-
在 Cont AWS rol Tower Account Factory 之外创建的新账户不受注册组织单位控制的约束。
-
在中创建的未在 C OUs ont AWS rol Tower 中注册的新帐户不受控件的约束,除非您专门将这些帐户注册到 Cont AWS rol Tower。有关注册账户的更多信息,请参阅注册现有的 AWS 账户。
-
其他现有组织、现有账户以及您在AWS控制塔之外创建的任何新账户OUs或任何账户均不受AWS控制塔控制的约束,除非您单独注册 OU 或注册账户。
有关如何将 Cont AWS rol Tower 应用于现有账户OUs和账户的更多信息,请参阅在 Cont AWS rol Tower 中注册现有组织单位。
有关在现有组织中设置 Cont AWS rol Tower 着陆区的过程的概述,请观看下一节中的视频。
注意
在设置过程中,Cont AWS rol Tower 会进行预检查以避免出现常见问题。但是,如果您目前正在使用 AWS 着陆区解决方案 AWS Organizations,请在尝试在组织中启用 Cont AWS rol Tower 之前咨询您的 AWS 解决方案架构师,以确定AWS控制塔是否会干扰您当前的着陆区部署。另请参阅,了解如果账户不符合先决条件有关将账户从一个着陆区转移到另一个着陆区的信息。
视频:在现有区域中启用着陆区 AWS Organizations
这段视频(7:48)描述了如何在现有 AWS Organizations 建筑物中设置和启用 Cont AWS rol Tower 着陆区。为了更好地观看,请选择视频右下角的图标以将其放大为全屏。可以使用字幕。
IAM身份中心和现有组织的注意事项
-
如果已经设置了 AWS IAM Identity Center (IAM身份中心),则 Cont AWS rol Tower 的主区域必须与IAM身份中心区域相同。
-
AWSControl Tower 不会删除现有配置。
-
如果 IAM Identity Center 已启用,并且您正在使用 Ident IAM ity Center 目录,则 Cont AWS rol Tower 会添加权限集、组等资源,然后照常进行。
-
如果设置了其他目录(外部、AD、托管 AD),则 Cont AWS rol Tower 不会更改现有配置。有关更多详细信息,请参阅AWS IAM Identity Center (IAM 身份中心)客户的注意事项。
访问其他 AWS 服务
将您的组织置于 Cont AWS rol Tower 管理后,您仍然可以通过 AWS Organizations AWS Organizations 控制台和访问任何可用的 AWS 服务APIs。有关更多信息,请参阅 相关 AWS 服务。
