注册的先决条件
需要满足以下先决条件,然后才能在 AWS Control Tower 中注册现有 AWS 账户:
要注册现有 AWS 账户,您要注册的账户中必须存在
AWSControlTowerExecution角色。您可以查看注册账户,以了解详细信息和说明。-
除
AWSControlTowerExecution角色外,您要注册的现有 AWS 账户 还必须具有以下权限和信任关系。否则,注册将失败。角色权限:
AdministratorAccess(AWS 托管策略)角色信任关系:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Management Account ID -
我们建议账户不应有 AWS Config 配置记录器或传输通道。在注册账户之前,可以通过 AWS CLI 删除或修改这些内容。否则,请查看 Enroll accounts that have existing AWS Config resources,了解如何修改现有资源的说明。
-
您希望注册的账户必须与 AWS Control Tower 管理账户位于同一 AWS Organizations 组织中。已有的账户只能注册到与 AWS Control Tower 管理账户(在已注册到 AWS Control Tower 的 OU 中)相同的组织中。
要查看注册的其他先决条件,请参阅 Getting Started with AWS Control Tower。
注意
当您将账户注册到 AWS Control Tower 时,您的账户将受 AWS Control Tower 组织的 AWS CloudTrail 跟踪监管。如果您已经部署 CloudTrail 跟踪,可能会看到重复的费用,除非您在将账户注册到 AWS Control Tower 之前删除该账户的现有跟踪。
