本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
手動將所需IAM角色新增至現有 AWS 帳戶 並註冊
如果您已設定 AWS Control Tower 登陸區域,您可以開始將組織的帳戶註冊到向 AWS Control Tower 註冊的 OU。如果您尚未設定登陸區域,請依照 入門中的 AWS Control Tower 使用者指南 步驟 2 中所述的步驟進行。 https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two登陸區域準備就緒後,請完成下列步驟,以手動方式將現有帳戶納入 AWS Control Tower 的治理。
請務必檢閱本章先前註冊的先決條件提到的 。
向 AWS Control Tower 註冊帳戶之前,您必須授予 AWS Control Tower 管理該帳戶的許可。若要這麼做,您將新增具有帳戶完整存取權的角色,如下列步驟所示。您必須為您註冊的每個帳戶執行這些步驟。
對於每個帳戶:
步驟 1:使用管理員存取權登入目前包含您要註冊之帳戶的組織的管理帳戶。
例如,如果您從 建立此帳戶, AWS Organizations 並使用跨帳戶IAM角色登入,則可以遵循下列步驟:
-
登入組織的管理帳戶。
-
前往 AWS Organizations。
-
在帳戶 下,選取您要註冊的帳戶,並複製其帳戶 ID。
-
開啟頂端導覽列上的帳戶下拉式選單,然後選擇切換角色 。
-
在切換角色表單上,填寫下列欄位:
-
在帳戶 下,輸入您複製的帳戶 ID。
-
在角色 下,輸入啟用跨帳戶存取此帳戶IAM的角色名稱。此角色的名稱是在建立帳戶時定義的。如果您在建立帳戶時未指定角色名稱,請輸入預設角色名稱
OrganizationAccountAccessRole
。
-
-
選擇 Switch Role (切換角色)。
-
您現在應該以子帳戶 AWS Management Console 身分登入 。
-
完成後,請留在子帳戶進行程序的下一個部分。
-
請記下管理帳戶 ID,因為您需要在下一個步驟中輸入 ID。
步驟 2:授予 AWS Control Tower 管理帳戶的許可。
-
前往 IAM。
-
前往角色 。
-
選擇建立角色。
-
當系統要求選取角色的 服務時,請選擇自訂信任政策 。
-
複製此處顯示的程式碼範例,並將其貼到政策文件中。取代字串
您的管理帳戶的實際管理帳戶 ID。以下是要貼上的政策:管理帳戶 ID
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS": "arn:aws:iam::Management Account ID:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }
-
當系統要求連接政策時,請選擇 AdministratorAccess。
-
選擇 Next: Add Tags (下一步:新增標籤)。
-
您可能會看到名為新增標籤 的選用畫面。選擇下一步:檢閱,立即略過此畫面
-
在檢閱畫面上的角色名稱欄位中,輸入
AWSControlTowerExecution
。 -
在描述方塊中輸入簡短描述,例如允許註冊的完整帳戶存取權。
-
選擇建立角色。
步驟 3:將帳戶移至已註冊的 OU 來註冊帳戶,並確認註冊。
建立角色設定必要的許可後,請依照下列步驟註冊 帳戶並驗證註冊。
-
再次以 Admin 身分登入,然後前往 AWS Control Tower。
-
註冊 帳戶。
-
從 AWS Control Tower 中的組織頁面,選取您的帳戶,然後從右上角的動作下拉式功能表中選擇註冊。
請遵循註冊個別帳戶的步驟,如 註冊帳戶的步驟 頁面所示。
-
-
驗證註冊。
-
在 AWS Control Tower 中,選擇左側導覽中的組織。
-
尋找您最近註冊的帳戶。其初始狀態會顯示註冊 的狀態。
-
當狀態變更為已註冊 時,移動成功。
-
若要繼續此程序,請登入組織中您要在 AWS Control Tower 註冊的每個帳戶。為每個帳戶重複先決條件步驟和註冊步驟。