本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將帳戶轉移到不同的組織
您可以將已在 AWS Control Tower 註冊的成員帳戶轉移到不同的 AWS Organizations 組織。
先決條件
-
該帳戶必須在來源組織的 AWS Control Tower 中註冊。也就是說,帳戶具有套用的基準、主動控制或偵測控制。
-
帳戶必須在轉移前至少 4 天建立。
-
您必須能夠存取來源和目的地組織的管理帳戶。
步驟 1:從 AWS Control Tower 取消註冊帳戶
轉移帳戶之前,您必須停用直接套用到帳戶的所有 AWS Control Tower 資源。帳戶可以繼續繼承預防性控制。
如果您使用自動註冊
將帳戶移至下列其中一個位置:
-
組織的根目錄
-
未受管 OU
-
使用登陸區域 4.0 或更新版本時,僅啟用預防性控制的 OU
如果您不使用自動註冊
如果您使用自動註冊,也可以使用以下方法。
-
對於具有 AWS Control Tower 和 Backup 基準的帳戶,請從 AWS Control Tower 主控台選擇取消管理。您也可以使用 AWS Service Catalog APIs或主控台來終止佈建的產品。
-
對於具有 Config AWS 基準的帳戶,請停用 OU 上的 AWS Config 基準,或將帳戶移至根目錄並使用
DisableBaselineAPI。
步驟 2:將帳戶轉移到目的地組織
停用所有套用至預防性控制以外的帳戶的 AWS Control Tower 基準和控制項之後,請完成轉移。
-
從目的地組織的管理帳戶,傳送邀請給成員帳戶。
-
接受成員帳戶的邀請。
-
從目的地組織的管理帳戶,將帳戶移至所需的 OU。
如需遷移程序的指示,請參閱AWS Organizations 《 使用者指南》中的將 AWS 帳戶遷移至不同的組織。
步驟 3:在目的地組織中註冊帳戶
帳戶在目的地組織中之後,請在 AWS Control Tower 中註冊該帳戶。
-
如果在管理目的地組織的 AWS Control Tower 登陸區域中啟用自動註冊,AWS Control Tower 會自動將基準和控制項套用至帳戶。
-
如果您未在目的地組織中使用自動註冊,請在 AWS Control Tower 中手動註冊帳戶。如需詳細資訊,請參閱關於註冊現有帳戶。
其他考量
- 等待期間
-
透過 AWS Organizations 或 Account Factory 建立的帳戶必須至少有 4 天,才能從組織轉移或移除它們。如需詳細資訊,請參閱AWS Organizations 《 使用者指南》中的從組織移除成員帳戶。
- AWS Config 彙總器限制
-
當您轉移多個帳戶時,您可能會達到所有彙總工具 (1,000) 每週新增或刪除帳戶數目上限的 AWS Config 限制。若要請求提高限制,請參閱AWS 設定服務限制。您也可以升級至使用服務連結 Config 彙總工具的登陸區域 4.0 版。如需詳細資訊,請參閱AWS 登陸區域 4.0 版中的組態更新。
- 成員帳戶存取
-
未註冊的帳戶沒有
AWSControlTowerExecution角色。當您停用 Config 或 AWS Control Tower 基準時,AWS Control Tower 會刪除其執行角色並新增OrganizationsAccountAccessRole。您可以使用此角色來接受目的地組織的邀請。在目的地組織中註冊帳戶時,即會建立
AWSControlTowerExecution角色。此角色會取代 ,OrganizationsAccountAccessRole並信任新的管理帳戶。 - AWS Service Catalog 和自動註冊
-
自動註冊不會對 AWS Service Catalog 中的資源採取行動。即使取消註冊基礎帳戶,任何 Account Factory 佈建的產品仍會保留在管理帳戶中。若要終止管理帳戶中的這些佈建產品,請參閱 AWS Service Catalog 使用者指南中的刪除佈建產品。任何帳戶工廠自訂 (AFC) 藍圖都會保留在帳戶中。
