向 AWS Control Tower 註冊現有的組織單位

將多個現有 AWS 帳戶帶入 AWS Control Tower 的有效方法是將 AWS Control Tower 的管控擴展到整個組織單位 (OU)。

若要透過使用 建立的現有 OU AWS Organizations及其帳戶啟用 AWS Control Tower 管控，請向您的 AWS Control Tower 登陸區域註冊 OU。您可以註冊最多包含 1000 個帳戶的 OUs。如果 OU 包含超過 1000 個帳戶，您無法在 AWS Control Tower 中註冊該帳戶。

當您註冊 OU 時，其成員帳戶會註冊到 AWS Control Tower 登陸區域。它們受適用於其 OU 的控制項所管理。

註冊 OU 時，我的帳戶會發生什麼情況？

AWS Control Tower 需要許可，才能 AWS Organizations 代表您在 AWS CloudFormation 和 之間建立受信任的存取，如此 AWS CloudFormation 就可以自動將堆疊部署到組織中的帳戶。

註冊 OU 之後的部分註冊帳戶

可以成功註冊 OU，但某些帳戶可能會保持未註冊狀態。如果是這樣，這些帳戶不符合一些註冊的先決條件。如果註冊 OU 程序中的帳戶註冊未成功，帳戶頁面上的帳戶狀態會顯示註冊失敗。您也可以在 OU 頁面上看到帳戶資訊，例如帳戶欄位中的 5 之 4。

例如，如果您看到 5 個中的 4 個，這表示您的 OU 總共有 5 個帳戶，其中 4 個註冊成功，但一個帳戶在註冊 OU 程序期間註冊失敗。在確定帳戶符合註冊先決條件之後，您可以選擇重新註冊 OU 將帳戶加入註冊。

註冊 OU 的 IAM 使用者先決條件

執行註冊 OU 操作時，您的 AWS Identity and Access Management (IAM) 身分 （使用者或角色） 或 IAM Identity Center 使用者身分必須包含在適當的 Account Factory 產品組合中，即使您已經擁有Admin許可。否則，註冊期間佈建產品的建立將會失敗。因為 AWS Control Tower 在註冊 OU 時依賴 IAM 使用者或 IAM Identity Center 使用者身分的憑證，所以發生失敗。

相關產品組合是由 AWS Control Tower 建立，稱為 AWS Control Tower 帳戶工廠產品組合。選擇服務目錄 > 帳戶工廠 > AWS Control Tower 帳戶工廠產品組合，即可導覽至該清單。然後選取稱為群組、角色和使用者的標籤，以檢視您的 IAM 或 IAM Identity Center 身分。如需如何授予存取權的詳細資訊，請參閱 文件 AWS Service Catalog。