Voraussetzungen für die Einschreibung - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für die Einschreibung

In diesem Abschnitt wird beschrieben, wie Sie ein vorhandenes AWS Konto bei AWS Control Tower registrieren, wenn Sie die optionale automatische Registrierungsfunktion auf der Seite mit den Landingzone-Einstellungen nicht ausgewählt haben oder wenn Sie mit einer Landingzone-Version vor 3.1 arbeiten.

Diese Voraussetzungen sind erforderlich, bevor Sie ein vorhandenes AWS-Konto bei AWS Control Tower registrieren können:

Anmerkung

Die Voraussetzung für das Hinzufügen der AWSControlTowerExecution Rolle ist nicht erforderlich, wenn Sie die automatische Registrierung von AWS Control Tower auf der Seite mit den Einstellungen der landing zone aktiviert haben oder wenn Sie das Konto im Rahmen eines Prozesses zur Registrierung von Organisationseinheiten registrieren. In allen Fällen verfügt das zu registrierende Konto jedoch möglicherweise nicht über vorhandene Ressourcen. AWS Config Weitere Informationen finden Sie unter Konten registrieren, für die bereits Ressourcen vorhanden sind AWS Config

  1. Um ein vorhandenes Konto zu registrieren AWS-Konto, muss die AWSControlTowerExecution Rolle in dem Konto vorhanden sein, das Sie registrieren. Einzelheiten und Anweisungen finden Sie unter Konto registrieren.

  2. Zusätzlich zu der AWSControlTowerExecution Rolle muss das bestehende Mitglied, das AWS-Konto Sie registrieren möchten, über die folgenden Berechtigungen verfügen und über die folgenden Vertrauensbeziehungen verfügen. Andernfalls schlägt die Anmeldung fehl.

    Rollenberechtigung: AdministratorAccess (AWS verwaltete Richtlinie)

    Rolle: Vertrauensverhältnis:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Wir empfehlen, dass das Konto weder über einen AWS Config Konfigurationsrekorder noch über einen Bereitstellungskanal verfügt. Diese können gelöscht oder geändert werden, AWS CLI bevor Sie ein Konto registrieren können. Andernfalls finden Sie unter Konten registrieren mit vorhandenen AWS Config Ressourcen Anweisungen, wie Sie Ihre vorhandenen Ressourcen ändern können.

  4. Das Konto, das Sie registrieren möchten, muss in derselben AWS Organizations Organisation wie das AWS Control Tower Tower-Verwaltungskonto existieren. Das bestehende Konto kann nur in derselben Organisation wie das AWS Control Tower-Verwaltungskonto registriert werden, und zwar in einer Organisationseinheit, die bereits bei AWS Control Tower registriert ist.

Weitere Voraussetzungen für die Registrierung finden Sie unter Erste Schritte mit AWS Control Tower.

Anmerkung

Wenn Sie ein Konto bei AWS Control Tower registrieren, wird Ihr Konto durch den AWS CloudTrail Pfad für die AWS Control Tower Tower-Organisation geregelt. Wenn Sie bereits einen CloudTrail Trail bereitgestellt haben, werden möglicherweise doppelte Gebühren angezeigt, es sei denn, Sie löschen den vorhandenen Trail für das Konto, bevor Sie ihn bei AWS Control Tower registrieren.

Informationen zum vertrauenswürdigen Zugriff mit der Rolle AWSControTowerExecution

Bevor Sie ein vorhandenes AWS-Konto Konto bei AWS Control Tower registrieren können, müssen Sie AWS Control Tower die Erlaubnis erteilen, das Konto zu verwalten oder zu verwalten. Insbesondere benötigt AWS Control Tower die Erlaubnis, einen vertrauenswürdigen Zugriff zwischen AWS CloudFormation und in AWS Organizations Ihrem Namen einzurichten, damit Ihr Stack automatisch für die Konten in Ihrer ausgewählten Organisation bereitgestellt werden CloudFormation kann. Mit diesem vertrauenswürdigen Zugriff führt die AWSControlTowerExecution Rolle die Aktivitäten durch, die für die Verwaltung der einzelnen Konten erforderlich sind. Aus diesem Grund müssen Sie diese Rolle jedem Konto hinzufügen, bevor Sie es registrieren.

Wenn der vertrauenswürdige Zugriff aktiviert ist, CloudFormation können Stacks für mehrere Konten und AWS-Regionen mit einem einzigen Vorgang erstellt, aktualisiert oder gelöscht werden. AWS Control Tower stützt sich auf diese Vertrauensfunktion, sodass es Rollen und Berechtigungen auf bestehende Konten anwenden kann, bevor es sie in eine registrierte Organisationseinheit verschiebt, wodurch sie unter Kontrolle gebracht werden.

Weitere Informationen über vertrauenswürdigen Zugriff und AWS CloudFormation StackSets finden Sie unter AWS CloudFormationStackSetsund AWS Organizations.