如果账户不符合先决条件 - AWS Control Tower

如果账户不符合先决条件

请记住,作为一个先决条件,有资格纳入 AWS Control Tower 监管的账户必须属于同一个整体组织。要满足账户注册的这一先决条件,您可以按照以下准备步骤将账户转移到与 AWS Control Tower 相同的组织中。

将账户引入与 AWS Control Tower 相同的组织的准备步骤

  1. 将该账户从其现有组织中删除。如果使用这种方式,则必须提供单独的付款方式。

  2. 邀请账户加入 AWS Control Tower 组织。有关更多信息,请参阅《AWS Organizations 用户指南》中的 Inviting an AWS account to join your organization

  3. 接受邀请。该账户将显示在组织的根目录中。此步骤将账户转移到与 AWS Control Tower 相同的组织中,并建立 SCP 和整合账单。

提示

在账户退出旧组织之前,您可以向新组织发送邀请。当该账户正式退出其现有组织时,将等待邀请。

满足其余先决条件的步骤:

  1. 创建必要的 AWSControlTowerExecution 角色。

  2. 清除默认的 VPC。(这部分是可选的。AWS Control Tower 不会更改您现有的默认 VPC。)

  3. 通过 AWS CLI 或 AWS CloudShell 删除或修改任何现有的 AWS Config 配置记录器或传输通道。有关更多信息,请参阅 资源状态的 AWS Config CLI 命令示例注册拥有现有 AWS Config 资源的账户

完成这些准备步骤后,您可以在 AWS Control Tower 中注册账户。有关更多信息,请参阅 注册账户的步骤。此步骤将该账户纳入 AWS Control Tower 的全面监管。

(可选步骤)取消置备账户,使其可以注册并保留其堆栈

  1. 要保留应用的 AWS CloudFormation 堆栈,请从堆栈集中删除堆栈实例,然后为该实例选择保留堆栈

  2. 在 AWS Service Catalog Account Factory 中终止账户的预置产品。(此步骤仅从 AWS Control Tower 中移除已预置的产品。这不会删除账户。)

  3. 根据任何不属于组织的账户的要求,使用必要的账单详细信息设置账户。然后,从组织中删除账户。(这样账户就不会计入您的 AWS Organizations 配额总额。)

  4. 如果仍有资源,请清理账户,然后按照 取消注册账户 中的账户关闭步骤将其关闭。

  5. 如果您有一个带有已定义控件的暂停 OU,则可以将账户移到其中,而不必执行步骤 1。