本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Control Tower 或 更新和移動帳戶工廠帳戶 AWS Service Catalog
更新註冊帳戶最簡單的方式是透過 AWS Control Tower 主控台。個別帳戶更新對於解決偏離非常有用,例如 移動成員帳戶後。作為完整登陸區域更新的一部分,還需要更新帳戶。
如果您將帳戶從一個組織單位 (OU) 移至另一個組織單位,請記住,新 OU 套用的控制項可能與先前 OU 中的控制項不同。請確定新 OU 中的控制項符合您帳戶的政策需求。
在帳戶之間移動時的控制行為 OUs
當您在 之間移動帳戶時OUs,目的地 OU 的控制項會套用至 帳戶。不過,從先前 OU 套用至帳戶的控制項不是 已移除。控制項的確切行為是特別針對 的實作 在先前的 OU 和目的地 OU 上作用中的控制項。
-
對於使用 AWS Config 規則實作的控制項:先前 OU 的控制項 不會移除。這些控制項必須手動移除。
-
對於使用 實作的控制項SCPs:來自先前 OU SCP的 型控制項為 已移除。目的地 OU 的 SCP型控制項在此帳戶上生效。
-
對於使用 AWS CloudFormation 掛鉤實作的控制項:此行為 取決於新 OU 中控制項的狀態。
-
如果目的地 OU 沒有作用中的掛鉤控制項:舊的 控制項會針對移動的帳戶保持作用中狀態,除非您移除它們 手動。
-
如果目的地 OU 已啟用掛鉤控制項:舊控制項為 已移除,且目的地 OU 中的控制項會套用至 帳戶。
-
在主控台中更新帳戶
在 AWS Control Tower 主控台中更新帳戶
-
登入 AWS Control Tower 時,導覽至組織頁面。
-
在 OUs和 帳戶清單中,選取您要更新的帳戶名稱。可供更新的帳戶會顯示更新可用的狀態。
-
接下來,您將看到所選帳戶的帳戶詳細資訊頁面。
-
在右上角,選擇更新帳戶 。
更新佈建的產品
下列程序會引導您如何更新 Account Factory 中的帳戶,或在 Service Catalog 中更新帳戶的佈建產品,將其移至新的 OU。
透過 Service Catalog 更新 Account Factory 帳戶或變更其 OU
-
登入 AWS 管理主控台,然後在 開啟 AWS Service Catalog 主控台https://console.aws.amazon.com/servicecatalog/
。 注意
您必須以具有在 Service Catalog 中佈建新產品許可的使用者身分登入 (例如,
AWSAccountFactory或AWSServiceCatalogAdmins群組中的 IAM Identity Center 使用者)。 -
在導覽窗格中,選擇佈建 ,然後選擇佈建產品 。
-
針對列出的每個成員帳戶,執行下列步驟以更新所有成員帳戶:
-
選取成員帳戶。系統會將您導向該帳戶的佈建產品詳細資訊頁面。
-
在佈建的產品詳細資訊頁面上,選擇事件索引標籤。
-
記下以下參數:
-
SSOUserEmail (在佈建的產品詳細資訊中提供)
-
AccountEmail (在佈建的產品詳細資訊中提供)
-
SSOUserFirstName (可在 IAM Identity Center 中使用)
-
SSOUSerLastName (可在 IAM Identity Center 中使用)
-
AccountName (可在 IAM Identity Center 中使用)
-
-
從 Actions (動作),選擇 Update (更新)。
-
選擇要更新產品之 Version (版本) 旁的按鈕,然後選擇 Next (下一步)。
-
提供前述的參數值。
-
如果您想要保留現有的 OU,請針對 ManagedOrganizationalUnit,選擇帳戶已經在其中的 OU。
-
如果您想要將帳戶遷移至新的 OU,請在 ManagedOrganizationalUnit中選擇帳戶的新 OU。
中央雲端管理員可以在 AWS Control Tower 主控台的組織頁面上找到此資訊。
-
-
選擇 Next (下一步)。
-
檢閱您的變更,然後選擇 Update (更新)。每個帳戶的這個過程都需要幾分鐘的時間。
-
