注册的先决条件 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

注册的先决条件

要在 Contro AWS l Tower AWS 账户 中注册现有的,必须具备以下先决条件:

  1. 要注册现有账户 AWS 账户,该AWSControlTowerExecution角色必须存在于您注册的账户中。您可以查看注册账户以了解详细信息和说明。

  2. AWSControlTowerExecution角色外, AWS 账户 您要注册的现有角色还必须具有以下权限和信任关系。否则,注册将失败。

    角色权限:AdministratorAccess(AWS 托管策略)

    角色信任关系:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Management Account ID:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. 我们建议该账户不应有 AWS Config 配置记录器或传送渠道。 AWS CLI 在您注册帐户之前,可以通过删除或修改这些内容。否则,请查看注册拥有现有 AWS Config 资源的账户,了解如何修改现有资源的说明。

  4. 您要注册的账户必须与 Contro AWS l Tower 管理账户位于同一个 AWS Organizations 组织中。存在的账户只能注册到与 Cont AWS rol Tower 管理账户相同的组织中,也就是已经在 Cont AWS rol Tower 注册的 OU 中。

要查看注册的其他先决条件,请参阅 Cont AWSrol Tower 入门

注意

当您将账户注册到 Cont AWS rol Tower 时,您的账户将受AWS控制塔组织的 AWS CloudTrail 跟踪控制。如果您已经部署了 CloudTrail跟踪,则可能会看到重复的费用,除非您在将该账户注册到 Contro AWS l Tower 之前删除该账户的现有跟踪。