向 AWS Control Tower 注册现有组织单位

将多个现有 AWS 账户引入 AWS Control Tower 的一种有效方法是将 AWS Control Tower 的管理范围扩展到整个组织单位 (OU)。

要启用 AWS Control Tower 对使用 AWS Organizations其账户创建的现有 OU 及其账户进行管理，请在您的 AWS Control Tower 着陆区注册该 OU。您可以注册最多包含 300 个账户的 OU。如果一个 OU 包含的账户超过 300 个，则无法在 AWS Control Tower 中对其进行注册。

当您注册 OU 时，其成员账户将注册到 AWS Control Tower 着陆区。他们受适用于其 OU 的控制措施的约束。

当我注册 OU 时，我的账户会怎样？

AWS Control Tower 需要获得权限才能 AWS Organizations 在您之间 AWS CloudFormation 以及代表您之间建立 AWS CloudFormation 可信访问权限，这样才能自动将您的堆栈部署到您组织中的账户。

在 OU 注册后注册部分账户

成功注册 OU 是可能的，但某些账户可能仍处于未注册状态。如果是，则这些账户不符合注册的某些先决条件。如果作为注册 OU 流程一部分的账户注册失败，则账户页面上的账户状态将显示注册失败。您还可以在您的 OU 页面上看到账户信息，例如账户字段中的 5 个中的 4 个。

例如，如果您看到 5 个账户中的 4 个，则表示您的 OU 总共有 5 个账户，其中 4 个已成功注册，但有一个账户在注册 OU 过程中注册失败。在确保账户满足注册先决条件后，您可以选择 “重新注册 OU” 来注册账户。

IAM 用户注册 OU 的先决条件

在执行注册 OU 操作时，您 AWS Identity and Access Management 的 (IAM) 身份（用户或角色）或 IAM Identity Center 用户身份必须包含在相应的 Account Factory 产品组合中，即使您已经拥有Admin权限。否则，预配置产品的创建将在注册过程中失败。之所以出现故障，是因为 AWS Control Tower 在注册 OU 时依赖于 IAM 用户的证书或 IAM 身份中心用户身份。

相关的投资组合由 AWS Control Tower 创建，名为 AWS Control Tower Account Factory Factory Portf olio。通过选择 “服务目录” > “账户工厂” > “AWS Control Tower 账户工厂投资组合” 导航到该目录。然后选择名为 “群组、角色和用户” 的选项卡，查看您的 IAM 或 IAM 身份中心身份。有关如何授予访问权限的更多信息，请参阅文档 AWS Service Catalog。