手動將所需IAM角色新增至現有 AWS 帳戶 並註冊 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

手動將所需IAM角色新增至現有 AWS 帳戶 並註冊

如果您已設定 AWS Control Tower 登陸區域,您可以開始將組織的帳戶註冊到向 AWS Control Tower 註冊的 OU。如果您尚未設定登陸區域,請依照 入門中的 AWS Control Tower 使用者指南 步驟 2 中所述的步驟進行。 https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two登陸區域準備就緒後,請完成下列步驟,以手動方式將現有帳戶納入 AWS Control Tower 的治理。

請務必檢閱本章先前註冊的先決條件提到的 。

向 AWS Control Tower 註冊帳戶之前,您必須授予 AWS Control Tower 管理該帳戶的許可。若要這麼做,您將新增具有帳戶完整存取權的角色,如下列步驟所示。您必須為您註冊的每個帳戶執行這些步驟。

對於每個帳戶:

步驟 1:使用管理員存取權登入目前包含您要註冊之帳戶的組織的管理帳戶。

例如,如果您從 建立此帳戶, AWS Organizations 並使用跨帳戶IAM角色登入,則可以遵循下列步驟:

  1. 登入組織的管理帳戶。

  2. 前往 AWS Organizations

  3. 帳戶 下,選取您要註冊的帳戶,並複製其帳戶 ID。

  4. 開啟頂端導覽列上的帳戶下拉式選單,然後選擇切換角色

  5. 切換角色表單上,填寫下列欄位:

    • 帳戶 下,輸入您複製的帳戶 ID。

    • 角色 下,輸入啟用跨帳戶存取此帳戶IAM的角色名稱。此角色的名稱是在建立帳戶時定義的。如果您在建立帳戶時未指定角色名稱,請輸入預設角色名稱 OrganizationAccountAccessRole

  6. 選擇 Switch Role (切換角色)。

  7. 您現在應該以子帳戶 AWS Management Console 身分登入 。

  8. 完成後,請留在子帳戶進行程序的下一個部分。

  9. 請記下管理帳戶 ID,因為您需要在下一個步驟中輸入 ID。

步驟 2:授予 AWS Control Tower 管理帳戶的許可。

  1. 前往 IAM

  2. 前往角色

  3. 選擇建立角色

  4. 當系統要求選取角色的 服務時,請選擇自訂信任政策

  5. 複製此處顯示的程式碼範例,並將其貼到政策文件中。取代字串 管理帳戶 ID 您的管理帳戶的實際管理帳戶 ID。以下是要貼上的政策:

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS": "arn:aws:iam::Management Account ID:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }
  6. 當系統要求連接政策時,請選擇 AdministratorAccess

  7. 選擇 Next: Add Tags (下一步:新增標籤)

  8. 您可能會看到名為新增標籤 的選用畫面。選擇下一步:檢閱,立即略過此畫面

  9. 檢閱畫面上的角色名稱欄位中,輸入 AWSControlTowerExecution

  10. 描述方塊中輸入簡短描述,例如允許註冊的完整帳戶存取權。

  11. 選擇建立角色

步驟 3:將帳戶移至已註冊的 OU 來註冊帳戶,並確認註冊。

建立角色設定必要的許可後,請依照下列步驟註冊 帳戶並驗證註冊。

  1. 再次以 Admin 身分登入,然後前往 AWS Control Tower。

  2. 註冊 帳戶。
    • 從 AWS Control Tower 中的組織頁面,選取您的帳戶,然後從右上角的動作下拉式功能表中選擇註冊

    • 請遵循註冊個別帳戶的步驟,如 註冊帳戶的步驟 頁面所示。

  3. 驗證註冊。
    • 在 AWS Control Tower 中,選擇左側導覽中的組織

    • 尋找您最近註冊的帳戶。其初始狀態會顯示註冊 的狀態。

    • 當狀態變更為已註冊 時,移動成功。

若要繼續此程序,請登入組織中您要在 AWS Control Tower 註冊的每個帳戶。為每個帳戶重複先決條件步驟和註冊步驟。