在 Cont AWS rol Tower 中注册现有组织单位

将多个现有 AWS 账户引入 Cont AWS rol Tower 的一种有效方法是将AWS控制塔的管理范围扩展到整个组织单位 (OU)。

要启用对使用 AWS Organizations其账户创建的现有 OU 及其账户的 Control Tower AWS 治理，请在您的 Cont AWS rol Tower 着陆区注册该 OU。您可以注册最多包OUs含 1000 个帐户。如果 OU 包含的账户超过 1000 个，则无法在 Cont AWS rol Tower 中注册该组织账户。

当您注册 OU 时，其成员账户将注册到 Cont AWS rol Tower 着陆区。他们受适用于其 OU 的控制措施的约束。

当我注册 OU 时，我的账户会怎样？

AWSControl Tower 需要获得权限才能 AWS Organizations 在您之间 AWS CloudFormation 和代表您之间建立 AWS CloudFormation 可信访问权限，这样才能自动将堆栈部署到组织中的账户。

在 OU 注册后注册部分账户

成功注册 OU 是可能的，但某些账户可能仍处于未注册状态。如果是，则这些账户不符合注册的某些先决条件。如果作为注册 OU 流程一部分的账户注册失败，则账户页面上的账户状态将显示注册失败。您还可以在您的 OU 页面上看到账户信息，例如账户字段中的 5 个中的 4 个。

例如，如果您看到 5 个账户中的 4 个，则表示您的 OU 总共有 5 个账户，其中 4 个已成功注册，但有一个账户在注册 OU 过程中注册失败。在确保账户满足注册先决条件后，您可以选择 “重新注册 OU” 来注册账户。

IAM用户注册 OU 的先决条件

执行注册 OU 操作时，即使您 AWS Identity and Access Management 已经拥有Admin权限，也必须将您的 () 身份（用户或角色）或 IAM Identity Center 用户身份包含在相应的 Account Factory 产品组合中。IAM否则，预配置产品的创建将在注册过程中失败。之所以出现故障，是因为 Cont AWS rol Tower 在注册 OU 时依赖IAM用户凭据或 IAM Identity Center 用户身份。

相关的投资组合由 Control Tower 创建，名为 Cont AWS rol Tower Acco unt AWS Factory Portfol io。通过选择 “服务目录” > “账户工厂” > “Cont AWS rol Tower Account Factory Portfol io” 导航到该目录。然后选择名为 “群组、角色和用户” 的选项卡，查看您的IAM身份IAM或 Identity Center 身份。有关如何授予访问权限的更多信息，请参阅文档 AWS Service Catalog。