注册现有账户 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

注册现有账户

Control Tower AWS 控制台中提供了注册账户功能,用于注册现有账户, AWS 账户 使其受AWS控制塔的管理。有关更多信息,请参阅注册现有的 AWS 账户

当您的 landing zone 未处于漂移状态时,可以使用 Enrol l 账户功能。要在控制台中查看此功能,请执行以下操作:

  • 导航到 Cont AWS rol Tower 中的组织页面。

  • 找到您要注册的账户的名称。要找到它,请从右上角的下拉菜单中选择 “仅限账户”,然后在筛选后的表格中找到账户名称。

  • 按照注册个人账户的步骤进行操作,如注册账户的步骤部分所示。

注意

注册现有电子邮件地址时 AWS 账户,请务必验证现有的电子邮件地址。否则,可能会创建一个新帐户。

某些错误可能要求您刷新页面并重试。如果您的登录区处于偏差状态,您可能无法成功使用 Enroll account (注册账户) 功能。在着陆区漂移问题得到解决之前,你需要通过 Account Factory 配置新账户。

从 Control Tower AWS 控制台注册账户时,必须使用启用该AWSServiceCatalogEndUserFullAccess策略的用户登录账户,并拥有管理员访问权限才能使用 Cont AWS rol Tower 控制台,并且您不能以 root 用户身份登录。

您注册的帐户可以通过 AWS Service Catalog 和 Cont AWS rol Tower 帐户工厂进行更新,就像更新任何其他帐户一样。更新过程在名为使用 Control Tower 或使用 Cont AWS rol Tower 更新和移动账户工厂账户 AWS Service Catalog的部分中给出。

注册账户的步骤

在您的现有账户中设置AdministratorAccess权限(政策)后,请按照以下步骤注册该账户:

在 Control Tower 中AWS注册个人账户
  • 导航到 Cont AWS rol Tower 组织页面。

  • 组织页面上,符合注册资格的账户允许您从该部分顶部的操作下拉菜单中选择注册。当您在账户详情页面查看这些账户时,它们也会显示注册账户按钮。

  • 当你选择注册账户时,你会看到一个注册账户页面,系统会提示你将该AWSControlTowerExecution角色添加到账户。有关一些说明,请参阅手动将所需IAM角色添加到现有角色 AWS 账户 并进行注册

  • 接下来,从下拉列表中选择已注册的 OU。如果该账户已在注册的 OU 中,则此列表将显示 OU。

  • 选择 Enroll account (注册账户)

  • 你会看到一个模态提醒,提醒你添加AWSControlTowerExecution角色并确认操作。

  • 选择 “注册”。

  • AWSControl Tower 开始注册流程,您将被引导回账户详情页面。

注册失败的常见原因

  • 要注册现有账户,该AWSControlTowerExecution角色必须存在于您注册的账户中。

  • 您的IAM委托人可能缺乏开设账户所需的权限。

  • AWS Security Token Service (AWS STS) AWS 账户 在您所在的地区或 Control Tower 支持的任何区域中被AWS禁用。

  • 您登录的账户可能需要添加到 Account Factory Portfolio 中 AWS Service Catalog。必须先添加该帐户,然后才能访问 Account Factory,这样您才能在 Contro AWS l Tower 中创建或注册帐户。如果未将相应的用户或角色添加到 Account Factory 产品组合中,则在尝试添加账户时会收到错误消息。有关如何授予对 AWS Service Catalog 投资组合的访问权限的说明,请参阅向用户授予访问权限

  • 您可以用 root 用户身份登录。

  • 您尝试注册的账户可能有剩余 AWS Config 设置。特别是,该账户可能有配置记录器或传送渠道。必须先通过删除或修改这些 AWS CLI 信息,然后才能注册账户。有关更多信息,请参阅注册拥有现有 AWS Config 资源的账户AWS Control Tower 通过以下方式与之互动 AWS CloudShell

  • 如果该账户属于具有管理账户的另一个 OU,包括另一个 Cont AWS rol Tower OU,则必须先在其当前 OU 中终止该账户,然后它才能加入另一个 OU。必须移除原始 OU 中的现有资源。否则,注册将失败。

  • 如果您的目标 OU SCPs 不允许您创建该账户所需的所有资源,则账户配置和注册将失败。例如,您的目标 OU SCP 中可能会阻止没有特定标签的资源创建。在这种情况下,账户配置或注册会失败,因为 Cont AWS rol Tower 不支持对资源进行标记。如需帮助,请联系您的客户代表,或 AWS Support。

有关创建新帐户或注册现有帐户时 Cont AWS rol Tower 如何处理角色的更多信息,请参阅角色和帐户

提示

如果您无法确认现有组织是否 AWS 账户 满足注册先决条件,则可以设置注册 OU 并将该账户注册到该 OU。注册成功后,您可以将账户转移到所需的 OU。如果注册失败,则不会OUs有其他账户或受该失败的影响。

如果您怀疑现有账户及其配置是否与 Cont AWS rol Tower 兼容,可以遵循下一节中推荐的最佳做法。

建议:您可以设置一个包含两个步骤的账户注册方法
  • 首先,使用 AWS Config 一致性包来评估某些 Con trol Tower AWS 控件可能如何影响您的帐户。要确定注册到 Cont AWS rol Tower 会如何影响您的帐户,请参阅使用 AWS Config 一致性包扩展AWS控制塔的治理

  • 接下来,您可能希望注册该账户。如果合规性结果令人满意,迁移路径会更容易,因为您可以注册账户而不会产生意外后果。

  • 完成评估后,如果您决定设置 Cont AWS rol Tower 着陆区,则可能需要移除为评估而创建的 AWS Config 交付渠道和配置记录器。然后你就可以成功设置 Cont AWS rol Tower 了。

注意

一致性包也适用于账户位于 Cont AWS rol Tower OUs 注册但工作负载在不支持 Cont AWS rol Tower 的 AWS 区域内运行的情况。您可以使用一致性包来管理未部署 Cont AWS rol Tower 的区域中存在的账户中的资源。