注册现有账户 - AWS Control Tower
注册账户的步骤注册失败的常见原因

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

注册现有账户

AWS Control Tower 控制台中提供了注册账户功能,用于注册现有账户, AWS 账户 使其受 AWS Control Tower 的管理。有关更多信息,请参阅注册现有的 AWS 账户

当您的 landing zone 未处于漂移状态时,可以使用 Enrol l 账户功能。要在控制台中查看此功能,请执行以下操作:

  • 导航到 AWS Control Tower 中的组织页面。

  • 找到您要注册的账户的名称。要找到它,请从右上角的下拉菜单中选择 “仅限账户”,然后在筛选后的表格中找到账户名称。

  • 按照注册个人账户的步骤进行操作,如注册账户的步骤部分所示。

注意

注册现有电子邮件地址时 AWS 账户,请务必验证现有的电子邮件地址。否则,可能会创建一个新帐户。

某些错误可能要求您刷新页面并重试。如果您的登录区处于偏差状态,您可能无法成功使用 Enroll account (注册账户) 功能。在着陆区漂移问题得到解决之前,你需要通过 Account Factory 配置新账户。

当您从 AWS Control Tower 控制台注册账户时,您必须使用启用该AWSServiceCatalogEndUserFullAccess策略的用户登录账户,并拥有管理员访问权限才能使用 AWS Control Tower 控制台,并且您不能以根用户身份登录。

您注册的账户可以通过 AWS Service Catalog 和 AWS Control Tower 账户工厂进行更新,就像更新任何其他账户一样。更新过程在名为使用 AWS Control Tower 或使用 AWS Control Tower 更新和移动账户工厂账户 AWS Service Catalog的部分中给出。

注册账户的步骤

在您的现有账户中设置AdministratorAccess权限(政策)后,请按照以下步骤注册该账户:

在 AWS Control Tower 中注册个人账户

  • 导航到 AWS Control Tower 组织页面。

  • 组织页面上,符合注册资格的账户允许您从该部分顶部的操作下拉菜单中选择注册。当您在账户详情页面查看这些账户时,它们还会显示注册账户按钮。

  • 当你选择注册账户时,你会看到一个注册账户页面,系统会提示你将该AWSControlTowerExecution角色添加到账户。有关一些说明,请参阅手动将所需的 IAM 角色添加到现有角色 AWS 账户 并进行注册

  • 接下来,从下拉列表中选择已注册的 OU。如果该账户已在注册的 OU 中,则此列表将显示 OU。

  • 选择 Enroll account (注册账户)

  • 你会看到一个模态提醒,提醒你添加AWSControlTowerExecution角色并确认操作。

  • 选择 “注册”。

  • AWS Control Tower 开始注册流程,您将被引导回到账户详情页面。

注册失败的常见原因

  • 要注册现有账户,该AWSControlTowerExecution角色必须存在于您注册的账户中。

  • 您的 IAM 委托人可能缺乏预置账户所需的权限。

  • AWS Security Token Service (AWS STS) AWS 账户 在您所在的地区或 AWS Control Tower 支持的任何区域中被禁用。

  • 您登录的账户可能需要添加到 Account Factory Portfolio 中 AWS Service Catalog。必须先添加账户,然后才能访问 Account Factory,这样您才能在 AWS Control Tower 中创建或注册账户。如果未将相应的用户或角色添加到 Account Factory 产品组合中,则在尝试添加账户时会收到错误消息。有关如何授予对 AWS Service Catalog 投资组合的访问权限的说明,请参阅向用户授予访问权限

  • 您可以用 root 用户身份登录。

  • 您尝试注册的账户可能有剩余 AWS Config 设置。特别是,该账户可能有配置记录器或传送渠道。必须先通过删除或修改这些 AWS CLI 信息,然后才能注册账户。有关更多信息,请参阅 注册拥有现有 AWS Config 资源的账户与 AWS Control Tower 使用进行交互 AWS CloudShell

  • 如果该账户属于具有管理账户的另一个 OU,包括另一个 AWS Control Tower OU,则必须先在其当前 OU 中终止该账户,然后它才能加入另一个 OU。必须移除原始 OU 中的现有资源。否则,注册将失败。

  • 如果您的目标 OU 的 SCP 不允许您创建该账户所需的所有资源,则账户配置和注册将失败。例如,目标 OU 中的 SCP 可能会在没有特定标签的情况下阻止资源创建。在这种情况下,账户配置或注册会失败,因为 AWS Control Tower 不支持对资源进行标记。如需帮助,请联系您的客户代表,或 AWS Support。

有关创建新账户或注册现有账户时 AWS Control Tower 如何使用角色的更多信息,请参阅角色和账户

提示

如果您无法确认现有组织是否 AWS 账户 满足注册先决条件,则可以设置注册 OU 并将该账户注册到该 OU。注册成功后,您可以将账户转移到所需的 OU。如果注册失败,则该失败不会影响其他账户或 OU。

如果您怀疑自己的现有账户及其配置是否与 AWS Control Tower 兼容,可以遵循下一节中推荐的最佳实践。

建议:您可以设置一个包含两个步骤的账户注册方法

  • 首先,使用 AWS Config 一致性包来评估某些 AWS Con trol Tower 控制措施可能如何影响您的账户。要确定注册 AWS Control Tower 会如何影响您的账户,请参阅使用 AWS Config 一致性包扩展 AWS Control Tower 的治理

  • 接下来,您可能希望注册该账户。如果合规性结果令人满意,迁移路径会更容易,因为您可以注册账户而不会产生意外后果。

  • 完成评估后,如果您决定设置 AWS Control Tower 着陆区,则可能需要移除为评估而创建的 AWS Config 交付渠道和配置记录器。然后,您将能够成功设置 AWS Control Tower。

注意

合规包也适用于账户位于 AWS Control Tower 注册的 OU 中,但工作负载在不支持 AWS Control Tower 的 AWS 区域内运行的情况。您可以使用一致性包来管理未部署 AWS Control Tower 的区域中存在的账户中的资源。