本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
向 AWS Control Tower 註冊現有的組織單位
將多個現有 AWS 帳戶引入 AWS Control Tower 的有效方法是將 AWS Control Tower 的管理擴展到整個組織單位 (OU)。
若要對使 AWS Organizations用建立的現有 OU 及其帳戶啟用 AWS Control Tower 管理,請向 AWS Control Tower landing zone 註冊該 OU。您可以註冊最多包含 300 個帳戶的 OU。如果 OU 包含 300 個以上的帳戶,則無法在 AWS Control Tower 註冊該帳戶。
當您註冊 OU 時,其成員帳戶會註冊到 AWS Control Tower landing zone。它們是由套用至其 OU 的控制項所控制。
注意
如果您還沒有 AWS Control 塔 landing zone,請先在 AWS Control Twer 建立的新組織或現有組 AWS Organizations 織中設定 landing zone 域。如需如何設定 landing zone 域的更多詳細資訊,請參閱開始使用 AWS Control Tower。
當我註冊 OU 時,我的帳戶會發生什麼情況?
AWS Control Tower 需要獲得許可,才能 AWS Organizations 在您之間 AWS CloudFormation 和代表您建立受信任的存取權限, AWS CloudFormation 以便自動將堆疊部署到組織中的帳戶。
-
AWSControlTowerExecution角色會新增至所有狀態為「未註冊」的帳號。 -
當您註冊 OU 時,OU 及其所有帳戶預設會啟用必要控制項。
OU 註冊後部分註冊帳戶
您可以成功註冊 OU,但某些帳戶可能仍未註冊。如果是這樣,則這些帳戶不符合註冊的某些先決條件。如果作為註冊 OU 程序一部分的帳戶註冊未成功,帳戶頁面上的帳戶狀態會顯示註冊失敗。您也可以在 OU 頁面上看到帳戶資訊,例如帳戶欄位中的第 4 個,共 5 個。
例如,如果您看到 5 個中的 4 個,則表示您的 OU 總共有 5 個帳戶,其中 4 個帳戶註冊成功,但是有一個帳戶無法在註冊 OU 程序期間註冊。確定帳戶符合註冊必要條件之後,您可以選擇「重新註冊 OU」,將帳戶納入註冊。
註冊 OU 的 IAM 使用者先決條件
當您 AWS Identity and Access Management 執行註冊 OU 作業時,您的 (IAM) 身分識別 (使用者或角色) 或 IAM 身分中心使用者身分必須包含在適當的 Account Factory 產品組合中,即使您已經擁有Admin許可也是如此。否則,建立佈建的產品將會在註冊期間失敗。發生失敗的原因是 AWS Control Tower 在註冊 OU 時依賴 IAM 使用者或 IAM 身分中心使用者身分的登入資料。
相關產品組合由 AWS Control Tower 建立,稱為 AWS Control Tower Account Factory 產品組合。選擇 Service Catalog > Account Factory > AWS Control Tower Account Factory 產品組合,以瀏覽至該服務。然後選取名為群組、角色和使用者的索引標籤,以檢視您的 IAM 或 IAM 身分中心身分識別。如需如何授與存取權的詳細資訊,請參閱的文件 AWS Service Catalog。
