註冊現有帳戶 - AWS Control Tower
註冊帳戶的步驟註冊失敗的常見原因

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

註冊現有帳戶

AWS Control 塔主控台提供註冊帳戶功能,用於註冊現有帳戶, AWS 帳戶 以便由 AWS Control Tower 管理。如需詳細資訊,請參閱註冊現有的 AWS 帳戶.

當您的 landing zone 未處於漂移狀態時,可以使用註冊帳戶功能。若要在主控台中檢視此功能:

  • 導覽至 AWS Control Tower 中的組織頁面。

  • 找到您要註冊的帳戶名稱。要找到它,請從右上角的下拉菜單中選擇「僅帳戶」,然後在篩選的表格中找到帳戶名稱。

  • 請按照以下步驟註冊個人帳戶,如註冊帳戶的步驟本節所示。

注意

當您註冊現有的電子郵件地址時 AWS 帳戶,請務必驗證現有的電子郵件地址。否則,可能會創建一個新帳戶。

某些錯誤可能需要您重新整理頁面,然後再試一次。如果登陸區域處於偏離狀態,您可能無法成功使用 Enroll account (註冊帳戶) 佈建。您需要透過 Account Factory 佈建新帳戶,直到您的 landing zone 漂移解決為止。

當您從 AWS Control Tower 主控台註冊帳戶時,必須使用已啟用AWSServiceCatalogEndUserFullAccess政策的使用者登入帳戶,以及使用 AWS Control Tower 主控台的管理員存取權限,而且您無法以 root 使用者身分登入。

您註冊的帳戶可以透過 AWS Service Catalog 和 AWS Control Tower 帳戶工廠進行更新,如同您會更新任何其他帳戶一樣。稱為使用 AWS Control Tower 或使用更新和移動帳戶工廠帳戶 AWS Service Catalog的小節會提供更新程序。

註冊帳戶的步驟

在您現有帳戶中設定AdministratorAccess權限 (政策) 之後,請依照下列步驟註冊帳戶:

在 AWS Control Tower 註冊個人帳戶

  • 導覽至 AWS Control Tower 組織頁面。

  • 在 [組織] 頁面上,符合註冊資格的帳戶可讓您從區段頂端的 [動作] 下拉式功能表中選取 [註冊]。當您在 [帳戶詳細資料] 頁面上檢視時,這些帳戶也會顯示 [註冊帳戶] 按鈕。

  • 當您選擇 [註冊帳戶] 時,您會看到 [註冊帳戶] 頁面,系統會提示您將AWSControlTowerExecution角色新增至帳戶。如需某些指示,請參閱手動將所需的 IAM 角色新增至現有角色 AWS 帳戶 並註冊

  • 接下來,從下拉式清單中選取已註冊的 OU。如果帳戶已在已註冊的 OU 中,此清單會顯示 OU。

  • 選擇 Enroll acount (註冊帳戶)

  • 您會看到強制回應提醒,以新增AWSControlTowerExecution角色並確認動作。

  • 選擇「註冊」。

  • AWS Control Tower 會開始註冊程序,然後您會返回帳戶詳細資訊頁面。

註冊失敗的常見原因

  • 若要註冊現有帳戶,該AWSControlTowerExecution角色必須出現在您註冊的帳戶中。

  • 您的 IAM 委託人可能缺乏佈建帳戶的必要許可。

  • AWS Security Token Service (AWS STS) 已 AWS 帳戶 在您的家用區域或 AWS Control Tower 支援的任何區域停用。

  • 您可能已登入需要新增至中的 Account Factory 投資組合的帳戶 AWS Service Catalog。您必須先新增帳戶,才能存取 Account Factory,以便在 AWS Control Tower 中建立或註冊帳戶。如果適當的使用者或角色未新增至 Account Factory 產品組合,您將在嘗試新增帳戶時收到錯誤訊息。如需如何授與 AWS Service Catalog 學檔存取權的指示,請參閱授與使用者存取權

  • 您可以 root 身分登入。

  • 您嘗試註冊的帳戶可能具有剩餘的 AWS Config 設定。特別是,該帳戶可能具有配置記錄器或交付通道。您必須 AWS CLI 先透過刪除或修改這些內容,才能註冊帳戶。如需詳細資訊,請參閱 註冊具有現有 AWS Config 資源的帳號與 AWS Control Tower 使用互動 AWS CloudShell

  • 如果帳戶屬於另一個擁有管理帳戶的 OU (包括另一個 AWS Control Tower OU),您必須先終止其目前 OU 中的帳戶,才能加入另一個 OU。必須移除原始 OU 中的現有資源。否則,註冊將會失敗。

  • 如果目的地 OU 的 SCP 不允許您建立該帳戶所需的所有資源,則帳戶佈建和註冊會失敗。例如,目的地 OU 中的 SCP 可能會在沒有特定標籤的情況下封鎖資源建立。在此情況下,帳戶佈建或註冊會失敗,因為 AWS Control Tower 不支援標記資源。如需協助,請聯絡您的客戶代表,或 AWS Support。

有關 AWS Control Tower 在建立新帳戶或註冊現有帳戶時如何與角色搭配使用的詳細資訊,請參閱角色和帳戶

提示

如果您無法確認現有的 AWS 帳戶 符合註冊先決條件,您可以設定註冊 OU,並將帳戶註冊到該 OU。註冊成功後,您可以將帳戶移至所需的 OU。如果註冊碰巧失敗,則沒有其他帳戶或 OU 會受到失敗的影響。

如果您對現有帳戶及其組態與 AWS Control Tower 相容有疑問,可以遵循以下部分建議的最佳實務。

建議:您可以為帳戶註冊設定雙步驟方法

  • 首先,使用一 AWS Config 致性套件評估您的帳戶可能受到某些 AWS Control Tower 控制項的影響。要確定註冊 AWS Control Tall 可能會對您的帳戶AWS Config 造成什麼影響,請參閱使用一致性套件擴展 AWS Control Tower 管理

  • 接下來,您可能希望註冊該帳戶。如果合規結果令人滿意,遷移路徑會更容易,因為您可以在預期的情況下註冊帳戶。

  • 完成評估後,如果您決定設定 AWS Control Tower landing zone,可能需要移除為評估建立的 AWS Config 交付通道和組態記錄器。然後,您就可以成功設定 AWS Control Tower。

注意

一致性套件也適用於帳戶位於 AWS Control Tower 所註冊的 OU 中,但工作負載在沒有 AWS Control Tower 支援的 AWS 區域中執行。您可以使用一致性套件來管理尚未部署 AWS Control Tall 之區域中存在的帳戶中的資源。