本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AWS Control Tower 或使用 AWS Control Tower 更新和移动账户工厂账户 AWS Service Catalog
更新已注册账户的最简单方法是通过 AWS Control Tower 控制台。个人账户更新对于解决偏差问题很有用,例如已移动成员账户。作为完整的 landing zone 更新的一部分,还需要更新账号。
如果您将账户从一个组织单位 (OU) 转移到另一个组织单位 (OU),请记住,新 OU 所应用的控制可能与以前的 OU 中的控制不同。请确保新 OU 中的控件符合您对账户的政策要求。
控制在账户之间移动时的行为 OU
当您在组织单元之间转移账户时,目标 OU 的控制将应用于 账户。但是,应用于前 OU 账户的控制不是 已移除。控件的确切行为因实施而异 在前 OU 和目标 OU 上处于活动状态的控件。
-
对于使用 AWS Config 规则实现的控件:来自先前 OU 的控件 未被删除。必须手动删除这些控件。
-
对于使用 SCP 实现的控件:以前的 OU 中基于 SCP 的控件是 已移除。目标 OU 的基于 SCP 的控件将对此账户生效。
-
对于使用 AWS CloudFormation 钩子实现的控件:此行为 取决于新 OU 中控件的状态。
-
如果目标 OU 没有激活基于挂钩的控件:旧 除非您移除控件,否则已移动账户的控件仍处于活动状态 手动。
-
如果目标 OU 激活了挂钩控件:旧的控件是 已移除,目标 OU 中的控件将应用于 账户。
-
在控制台中更新账户
在 AWS Control Tower 控制台中更新账户
-
登录 AWS Control Tower 后,导航到组织页面。
-
在 OU 和账户列表中,选择要更新的账户名称。可供更新的账户显示更新可用状态。
-
接下来,您将看到所选账户的账户详情页面。
-
在右上角,选择更新账户。
更新预配置的产品
以下过程将指导您通过在 Service Catalog 中更新账户的预配置产品来更新 Account Factory 中的账户或将其移至新的 OU。
通过 Service Catalog 更新 Account Factory 账户或更改其 OU
-
登录 AWS 管理控制台,然后通过 https://console.aws.amazon.com/servicecatalog/
打开 AWS Service Catalog 控制台。 注意
您必须以有权在 Service Catalog 中配置新产品的用户身份登录(例如,
AWSAccountFactory或AWSServiceCatalogAdmins群组中的 IAM Identity Center 用户)。 -
在导航窗格中,选择配置,然后选择预配置产品。
-
对于列出的每个成员帐户,请执行以下步骤来更新所有成员帐户:
-
选择一个成员账户。您将被引导至该账户的预配置产品详情页面。
-
在预配置产品详细信息页面上,选择事件选项卡。
-
记下以下参数:
-
SSO UserEmail(可在预配置产品详细信息中找到)
-
AccountEmail(可在预配置产品详细信息中找到)
-
SSO UserFirstName(在 IAM 身份中心可用)
-
SSOU SerLastName(在 IAM 身份中心可用)
-
AccountName(在 IAM 身份中心可用)
-
-
从 Actions (操作) 中,选择 Update (更新)。
-
选择要更新的产品的 Version (版本) 旁边的按钮,并选择 Next (下一步)。
-
提供之前提到的参数值。
-
如果要保留现有 OU ManagedOrganizationalUnit,请选择该账户已存在的 OU。
-
如果要将账户迁移到新的 OU,请为ManagedOrganizationalUnit该账户选择新的 OU。
中央云管理员可以在 AWS Control Tower 控制台的组织页面上找到这些信息。
-
-
选择下一步。
-
查看您的更改,然后选择 Update (更新)。对于每个账户,此过程可能需要几分钟。
-
