向 AWS Control Tower 注册一个现有组织单位

将多个现有的 AWS 账户引入 AWS Control Tower 的一种有效方法，就是将 AWS Control Tower 的监管范围扩展到整个组织单位（OU）。

要对使用 AWS Organizations 创建的现有 OU 及其账户启用 AWS Control Tower 监管，请将该 OU 注册到您的 AWS Control Tower 登录区。您可以注册最多包含 1000 个账户的 OU。如果一个 OU 包含的账户超过 1000 个，则无法在 AWS Control Tower 中进行注册。

当您注册一个 OU 时，其成员账户将注册到 AWS Control Tower 登录区中。它们受应用于其 OU 的控件的监管。

注册 OU 后，我的账户会发生什么？

AWS Control Tower 需要权限才能代表您在 AWS CloudFormation 和 AWS Organizations 之间建立受信任的访问，以便 AWS CloudFormation 能够自动将您的堆栈部署到您组织中的账户。

在 OU 注册后部分注册账户

虽然可以成功注册一个 OU，但某些账户可能仍处于未注册状态。如果是这样，这些账户就不符合注册的某些先决条件。如果在注册 OU 过程中账户注册不成功，账户页面上的账户状态会显示注册失败。您还可以在 OU 页面的账户字段中看到账户信息，例如 4 个（共 5 个）。

例如，如果您看到 4 个（共 5 个），这表示您的 OU 共有 5 个账户，其中 4 个账户注册成功，但有一个账户在注册 OU 过程中注册失败。在确保账户满足注册先决条件后，您可以选择重新注册 OU，将账户纳入注册。

IAM 用户注册 OU 的先决条件

执行注册 OU 操作时，您的 AWS Identity and Access Management（IAM）身份（用户或角色）或 IAM Identity Center 用户身份必须包含在相应的 Account Factory 产品组合中，即使您已经拥有 Admin 权限。否则，注册过程中预置产品的创建将失败。出现失败的原因是 AWS Control Tower 在注册 OU 时依赖于 IAM 用户身份或 IAM Identity Center 用户身份的凭证。

相关产品组合由 AWS Control Tower 创建，名为 AWS Control Tower Account Factory 产品组合。依次选择 Service Catalog > Account Factory > AWS Control Tower Account Factory 产品组合，导航至该产品组合。然后选择名为组、角色和用户的选项卡，查看 IAM 或 IAM Identity Center 身份。有关如何授予访问权限的更多信息，请参阅 AWS Service Catalog 的文档。