使用 AWS Control Tower 或 AWS Service Catalog 更新和移动 Account Factory 账户
更新已注册账户的最简单方法是通过 AWS Control Tower 控制台完成该操作。单独的账户更新对于解决偏移问题很有用,例如已移动成员账户。此外,作为完整的登录区更新的一部分,也需要更新账户。
如果您将账户从一个组织单位(OU)移动到另一个 OU,请记住,新 OU 所应用的控件可能与原 OU 中的控件不同。请确保新 OU 中的控件符合账户的策略要求。
在 OU 之间移动账户时的控件行为
当您在 OU 之间移动账户时,目标 OU 的控件将应用于账户。但是,系统不会删除已应用于账户的前 OU 中的控件。控件的确切行为取决于前 OU 和目标 OU 上处于活动状态的控件的实施情况。
-
对于使用 AWS Config 规则实施的控件:系统不会删除来自前 OU 的控件。必须手动删除这些控件。
-
对于使用 SCP 实施的控件:系统会删除前 OU 中基于 SCP 的控件。目标 OU 中基于 SCP 的控件将对此账户生效。
-
对于使用 AWS CloudFormation 钩子实施的控件:此行为取决于新 OU 中的控件的状态。
-
如果目标 OU 中没有基于钩子的活跃控件:除非您手动删除控件,否则已移动账户的旧控件将仍然保持活动状态。
-
如果目标 OU 中存在活跃的钩子控件:系统将删除旧控件,并将目标 OU 中的控件应用于账户。
-
在控制台中更新账户
在 AWS Control Tower 控制台中更新账户
-
登录 AWS Control Tower 后,导航到组织页面。
-
在 OU 和账户列表中,选择要更新的账户的名称。可供更新的账户将显示更新可用状态。
-
接下来,您将看到所选账户的账户详细信息页面。
-
在右上角,选择更新账户。
更新预置产品
以下过程将指导您如何在 Service Catalog 中更新账户的预置产品,从而在 Account Factory 中更新账户或将账户移动至新 OU。
通过 Service Catalog 更新 Account Factory 账户或更改账户 OU
-
登录 AWS 管理控制台,并通过以下网址打开 AWS Service Catalog 控制台:https://console.aws.amazon.com/servicecatalog/
。 注意
您必须以有权在 Service Catalog 中预置新产品的用户身份登录(例如,
AWSAccountFactory或AWSServiceCatalogAdmins群组中的 IAM Identity Center 用户)。 -
在导航窗格中,选择预置,然后选择预置产品。
-
对于列出的每个成员账户,请执行以下步骤以更新所有成员账户:
-
选择一个成员账户。您将被定向到该账户的预置产品详细信息页面。
-
在预置产品详细信息页面上,选择事件选项卡。
-
记下以下参数:
-
SSOUserEmail(包含在提供的产品详细信息中)
-
AccountEmail(包含在提供的产品详细信息中)
-
SSOUserFirstName(包含在 IAM Identity Center 中)
-
SSOUSerLastName(包含在 IAM Identity Center 中)
-
AccountName(包含在 IAM Identity Center 中)
-
-
从操作中,选择更新。
-
选择要更新的产品的版本旁边的按钮,并选择下一步。
-
提供之前提到的参数值。
-
如果要保留现有 OU,对于 ManagedOrganizationalUnit,请选择已经存在该账户的 OU。
-
如果要将账户迁移到新 OU,对于 ManagedOrganizationalUnit,请选择该账户的新 OU。
中央云管理员可以在 AWS Control Tower 控制台的组织页面上找到这些信息。
-
-
选择下一步。
-
查看您的更改,然后选择更新。对于每个账户,此过程可能需要几分钟。
-
