本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
向 AWS Control Tower 註冊現有的組織單位
將多個現有 AWS 帳戶引入 AWS Control Tower 的有效方法是將 AWS Control Tower 的治理擴展到整個組織單位 (OU)。
若要透過使用 AWS Organizations及其帳戶建立的現有 OU 啟用AWS控制塔管理,請將 OU 註冊至AWS控制塔登陸區域。您可以註冊最多OUs包含 1000 個帳戶。如果 OU 包含超過 1000 個帳戶,您無法在 AWS Control Tower 中註冊該帳戶。
當您註冊 OU 時,其成員帳戶會註冊到 AWS Control Tower 登陸區域。它們受適用於其 OU 的控制項所管理。
注意
如果您還沒有 AWS Control Tower 登陸區域,請先在 AWS Control Tower 建立的新組織中或在現有 AWS Organizations 組織中設定登陸區域。如需如何設定登陸區域的詳細資訊,請參閱 開始使用 AWS Control Tower。
當我註冊 OU 時,我的帳戶會發生什麼情況?
AWS Control Tower 需要許可,才能 AWS Organizations 代表您在 AWS CloudFormation 和 之間建立受信任的存取,如此 AWS CloudFormation 才能自動將堆疊部署到組織中的帳戶。
-
AWSControlTowerExecution角色會新增至狀態為 且未註冊 的所有 帳戶。 -
註冊 OU 時,依預設會啟用 OU 及其所有帳戶的強制性控制項。
註冊 OU 之後的部分註冊帳戶
可以成功註冊 OU,但某些帳戶可能會保持未註冊狀態。如果是這樣,這些帳戶不符合某些註冊的先決條件。如果註冊 OU 程序中的帳戶註冊失敗,帳戶頁面上的帳戶狀態會顯示註冊失敗。您也可以在帳戶欄位中看到 OU 頁面上的帳戶資訊,例如 5 的 4。
例如,如果您看到 5 個中的 4 個,這表示您的 OU 總共有 5 個帳戶,其中 4 個註冊成功,但有一個帳戶在註冊 OU 程序期間註冊失敗。您可以在確保帳戶符合註冊先決條件之後,選擇重新註冊 OU 將帳戶加入註冊。
IAM 註冊 OU 的使用者先決條件
執行註冊 OU 操作時,您的 AWS Identity and Access Management (IAM) 身分 (使用者或角色) 或 IAM Identity Center 使用者身分必須包含在適當的 Account Factory 產品組合中,即使您已擁有Admin許可。否則,佈建產品的建立會在註冊期間失敗。由於 AWS Control Tower 在註冊 OU 時依賴IAM使用者或 IAM Identity Center 使用者身分的憑證,因此會發生失敗。
相關產品組合是由 AWS Control Tower 建立,稱為 AWS Control Tower Account Factory Portfolio 。透過選擇服務目錄 > 帳戶工廠 > AWS Control Tower 帳戶工廠產品組合 來導覽至它。然後選擇稱為群組、角色和使用者的標籤,以檢視您的 IAM或 IAM Identity Center 身分。如需如何授予存取權的詳細資訊,請參閱 文件 AWS Service Catalog。
