註冊現有帳戶 - AWS Control Tower
註冊帳戶的步驟註冊失敗的常見原因

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

註冊現有帳戶

註冊帳戶功能可在 AWS Control Tower 主控台中使用,用於註冊現有的 , AWS 帳戶 使其受 AWS Control Tower 的管理。如需詳細資訊,請參閱註冊現有的 AWS 帳戶

當您的登陸區域未處於偏離狀態時,即可使用註冊帳戶功能。若要在主控台中檢視此功能:

  • 導覽至 AWS Control Tower 中的組織頁面。

  • 尋找您要註冊的帳戶名稱。若要尋找帳戶,請從右上角的下拉式選單中選擇帳戶,然後在篩選的表格中找到帳戶名稱。

  • 請遵循註冊個別帳戶的步驟,如 註冊帳戶的步驟一節所示。

注意

當您註冊現有的 時 AWS 帳戶,請務必驗證現有的電子郵件地址。否則,可能會建立新帳戶。

某些錯誤可能需要您重新整理頁面,然後再試一次。如果登陸區域處於偏離狀態,您可能無法成功使用 Enroll account (註冊帳戶) 佈建。您需要透過 Account Factory 佈建新帳戶,直到您的登陸區域偏離解決為止。

當您從 AWS Control Tower 主控台註冊帳戶時,您必須使用已啟用AWSServiceCatalogEndUserFullAccess政策的使用者登入帳戶,以及管理員使用 AWS Control Tower 主控台的存取許可,而且您無法以根使用者身分登入。

您註冊的帳戶可能會透過 AWS Service Catalog 和 AWS Control Tower 帳戶工廠進行更新,就像您更新任何其他帳戶一樣。稱為使用 AWS Control Tower 或 更新和移動帳戶工廠帳戶 AWS Service Catalog的小節會提供更新程序。

註冊帳戶的步驟

在您的現有帳戶中設定AdministratorAccess許可 (政策) 後,請依照下列步驟註冊帳戶:

在 AWS Control Tower 中註冊個別帳戶

  • 導覽至 AWS Control Tower Organization 頁面。

  • 組織頁面上,有資格註冊的帳戶可讓您從區段頂端的動作下拉式功能表中選取註冊。當您在帳戶詳細資訊頁面上檢視帳戶時,這些帳戶也會顯示註冊帳戶按鈕。

  • 選擇註冊帳戶 時,您會看到註冊帳戶頁面,提示您將AWSControlTowerExecution角色新增至帳戶。如需一些說明,請參閱 手動將所需IAM角色新增至現有 AWS 帳戶 並註冊

  • 接下來,從下拉式清單中選取已註冊的 OU。如果帳戶已在已註冊的 OU 中,此清單會顯示 OU。

  • 選擇 Enroll acount (註冊帳戶)

  • 您將看到一個模式提醒,以新增AWSControlTowerExecution角色並確認動作。

  • 選擇註冊

  • AWS Control Tower 會開始註冊程序,並引導您返回帳戶詳細資訊頁面。

註冊失敗的常見原因

  • 若要註冊現有帳戶,AWSControlTowerExecution角色必須存在於您要註冊的帳戶中。

  • 您的IAM委託人可能缺少佈建帳戶的必要許可。

  • AWS Security Token Service (AWS STS) 在您的 AWS 帳戶 主區域或 AWS Control Tower 支援的任何區域中已停用。

  • 您可能會登入需要新增至 中帳戶工廠產品組合的帳戶 AWS Service Catalog。您必須先新增帳戶,才能存取 Account Factory,才能在 AWS Control Tower 中建立或註冊帳戶。如果未將適當的使用者或角色新增至 Account Factory 產品組合,則當您嘗試新增帳戶時,會收到錯誤。如需如何授予 AWS Service Catalog 產品組合存取權的指示,請參閱授予使用者存取權。

  • 您可以 root 身分登入。

  • 您嘗試註冊的帳戶可能有剩餘的 AWS Config 設定。特別是,帳戶可能具有組態記錄器或交付管道。您必須先透過 刪除或修改這些項目, AWS CLI 才能註冊 帳戶。如需詳細資訊,請參閱 註冊具有現有 AWS Config 資源的帳號與 互動 AWS Control TowerAWS CloudShell

  • 如果帳戶屬於具有管理帳戶的另一個 OU,包括另一個 AWS Control Tower OU,您必須先終止其目前 OU 中的帳戶,才能加入另一個 OU。必須在原始 OU 中移除現有資源。否則,註冊將會失敗。

  • 如果您的目的地 OU SCPs 不允許您建立該帳戶所需的所有資源,則帳戶佈建和註冊會失敗。例如,目的地 OU SCP中的 可能會在沒有特定標籤的情況下封鎖資源建立。在此情況下,帳戶佈建或註冊失敗,因為 AWS Control Tower 不支援資源標記。如需協助,請聯絡您的 客戶代表或 AWS Support。

如需有關 AWS Control Tower 如何在建立新帳戶或註冊現有帳戶時如何使用角色的詳細資訊,請參閱角色和帳戶

提示

如果您無法確認現有 AWS 帳戶 符合註冊先決條件,您可以設定註冊 OU 並將帳戶註冊到該 OU。註冊成功後,您可以將帳戶移至所需的 OU。如果註冊失敗,則沒有其他帳戶或受失敗OUs影響。

如果您不確定現有帳戶及其組態是否與 AWS Control Tower 相容,您可以遵循下一節建議的最佳實務。

建議:您可以為帳戶註冊設定雙步驟方法

  • 首先,使用 AWS Config 一致性套件來評估某些 AWS Control Tower 控制項如何影響您的帳戶。若要判斷註冊 AWS Control Tower 如何影響您的帳戶,請參閱使用 AWS Config 一致性套件擴展 AWS Control Tower 管理

  • 接下來,您可能希望註冊該帳戶。如果合規結果令人滿意,遷移路徑會更容易,因為您可以在預期的情況下註冊帳戶。

  • 完成評估後,如果您決定設定 AWS Control Tower 登陸區域,您可能需要移除為評估建立的 AWS Config 交付管道和組態記錄器。然後,您將能夠成功設定 AWS Control Tower。

注意

一致性套件也適用於帳戶位於 AWS Control Tower OUs所註冊的 中,但工作負載會在沒有 AWS Control Tower 支援的 AWS 區域中執行的情況。您可以使用一致性套件來管理存在於 AWS Control Tower 未部署之區域中的帳戶中的資源。