Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Acerca de la inscripción de cuentas existentes
Puede extender el gobierno de la Torre de Control de AWS a una persona, ya existente Cuenta de AWS al *inscribirla* en una unidad organizativa (OU) que ya esté gobernada por la Torre de Control de AWS. Existen cuentas aptas que no *estén registradas y OUs que formen parte de la misma AWS Organizations organización* que la unidad organizativa de AWS Control Tower.
Existen varios métodos para inscribir cuentas en AWS Control Tower. **La información de esta página se aplica a todos los métodos de inscripción.**
**nota**
No puedes inscribir una AWS cuenta existente para que sirva como cuenta de auditoría o archivo de registros, excepto durante la configuración inicial de landing zone.
## Qué ocurre durante la inscripción de cuentas
Durante el proceso de inscripción, AWS Control Tower realiza estas acciones:
+ Establece la cuenta, que incluye la implementación de estos conjuntos de pilas:
+ `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
+ `AWSControlTowerBP-BASELINE-CLOUDWATCH`
+ `AWSControlTowerBP-BASELINE-CONFIG`
+ `AWSControlTowerBP-BASELINE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
+ `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`
Es buena idea revisar las plantillas de estos conjuntos de pilas y asegurarse de que no entren en conflicto con las políticas existentes.
+ Identifica la cuenta mediante AWS IAM Identity Center o AWS Organizations.
+ Coloca la cuenta en la unidad organizativa que ha especificado. Asegúrese de aplicar todo lo SCPs que se aplica en la unidad organizativa actual, de modo que su postura de seguridad siga siendo coherente.
+ Aplica los controles obligatorios a la cuenta mediante los SCPs que se aplican a la OU seleccionada en su conjunto.
+ La habilita AWS Config y configura para registrar todos los recursos de la cuenta.
+ Añade a la cuenta AWS Config las reglas que aplican los controles de detective de la Torre de Control Tower de AWS.
**Cuentas y registros a nivel de organización CloudTrail**
Para las versiones 3.1 y posteriores de la zona de aterrizaje, si ha seleccionado la integración de AWS CloudTrail opcional en la configuración de la zona de aterrizaje:
Todas las cuentas de los miembros de una OU se rigen por el AWS CloudTrail registro de la OU, estén inscritas o no.
Cuando se inscribe una cuenta en AWS Control Tower, esta se rige por el registro de seguimiento AWS CloudTrail de la nueva organización. Si ya tiene una implementación de una versión de CloudTrail seguimiento, es posible que vea cargos duplicados, a menos que elimine la versión de seguimiento existente de la cuenta antes de inscribirla en AWS Control Tower.
Si traslada una cuenta a una OU registrada (por ejemplo, a través de la AWS Organizations consola), tal vez APIs desee eliminar cualquier registro restante a nivel de cuenta de la cuenta. Si ya tienes una CloudTrail ruta desplegada, incurrirás en cargos duplicados. CloudTrail
Si actualizas tu landing zone y decides excluirte de las rutas a nivel de organización, o si tu landing zone es anterior a la versión 3.0, las CloudTrail rutas a nivel de organización no se aplican a tus cuentas.
## Inscriba las cuentas existentes en VPCs
AWS Control Tower gestiona de VPCs forma diferente cuando aprovisiona una cuenta nueva en Account Factory que cuando inscribe una cuenta existente.
+ Cuando se crea una cuenta nueva, AWS Control Tower elimina automáticamente la VPC predeterminada de AWS y crea una VPC nueva para esa cuenta.
+ Cuando se inscribe una cuenta existente, AWS Control Tower no crea una VPC nueva para esa cuenta.
+ Al inscribir una cuenta existente, AWS Control Tower no elimina ninguna VPC existente ni ninguna VPC predeterminada AWS asociada a la cuenta.
**sugerencia**
Puede cambiar el comportamiento predeterminado de las cuentas nuevas configurando el generador de cuentas para que no configure una VPC de forma predeterminada para las cuentas de la organización en AWS Control Tower. Para obtener más información, consulte [Creación de una cuenta en AWS Control Tower sin una VPC](configure-without-vpc.md#create-without-vpc).
## Inscriba cuentas con recursos AWS Config
La cuenta que se va a inscribir no debe tener AWS Config recursos existentes. Consulte [Inscribir cuentas que tengan AWS Config recursos existentes](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html).
Estos son algunos ejemplos de comandos AWS Config CLI que puede usar para determinar el estado de los AWS Config recursos de su cuenta actual, como la grabadora de configuración y el canal de entrega.
**Comandos de visualización:**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`
La respuesta normal es algo así como `"name": "default"`
**Comandos de eliminación:**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
# Requisitos previos para la inscripción
*En esta sección, se describe cómo inscribir una AWS cuenta existente en AWS Control Tower si no ha seleccionado la función opcional de inscripción automática en la página de **configuración** de la zona de aterrizaje o si utiliza una versión de landing zone anterior a la 3.1.*
Estos requisitos previos son necesarios para poder inscribir a una empresa existente Cuenta de AWS en AWS Control Tower:
**nota**
El requisito previo para añadir el rol `AWSControlTowerExecution` no es obligatorio si ha activado la función de inscripción automática de AWS Control Tower en la página **Configuración** de la zona de aterrizaje o si inscribe la cuenta como parte de un proceso de **Registrar UO**. Sin embargo, en todos los casos, es posible que la cuenta que se va a inscribir no tenga AWS Config recursos existentes. Consulte [Inscribir cuentas que tengan AWS Config recursos existentes](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)
1. Para inscribir una cuenta existente Cuenta de AWS, la `AWSControlTowerExecution` función debe estar presente en la cuenta que vaya a inscribir. Puede consultar la sección [Inscripción de una cuenta](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html) para obtener información más detallada e instrucciones.
1. Además del rol `AWSControlTowerExecution`, la Cuenta de AWS existente que desee inscribir debe contar con los siguientes permisos y relaciones de confianza. De lo contrario, la inscripción fallará.
Permiso de rol: `AdministratorAccess` (política AWS administrada)
**Relación de confianza entre roles:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Recomendamos que la cuenta no tenga un grabador de AWS Config configuración ni un canal de entrega. Es posible eliminarlos o modificarlos a través de la AWS CLI antes de inscribir una cuenta. De lo contrario, consulte [Inscribir cuentas que tengan AWS Config recursos existentes](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html) para obtener instrucciones sobre cómo puede modificar sus recursos existentes.
1. La cuenta que desea inscribir debe existir en la misma organización de AWS Organizations que la cuenta de administración de AWS Control Tower. La cuenta existente *solo* se puede inscribir en la misma organización que la cuenta de administración de AWS Control Tower, en una OU que ya esté registrada en AWS Control Tower.
Para comprobar otros requisitos previos para la inscripción, consulte [Getting Started with AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-with-control-tower.html).
**nota**
Cuando inscribe una cuenta en AWS Control Tower, esta se rige por el registro de seguimiento de AWS CloudTrail de la organización de AWS Control Tower. Si ya tiene una implementación de una versión de CloudTrail seguimiento, es posible que vea cargos duplicados, a menos que elimine la versión de seguimiento existente de la cuenta antes de inscribirla en AWS Control Tower.
**Acerca del acceso de confianza con el rol `AWSControTowerExecution`**
Antes de poder inscribir una Cuenta de AWS cuenta existente en la Torre de Control de AWS, debe dar permiso a la Torre de Control de AWS para administrar o *gobernar* la cuenta. En concreto, AWS Control Tower requiere permiso para establecer un acceso de confianza entre AWS CloudFormation y AWS Organizations en su nombre, de modo que CloudFormation pueda implementar su pila automáticamente en las cuentas de la organización seleccionada. Con este acceso de confianza, el rol `AWSControlTowerExecution` lleva a cabo las actividades necesarias para administrar cada cuenta. Por eso debes añadir este rol a cada cuenta antes de inscribirla.
Cuando el acceso confiable está activado, CloudFormation puede crear, actualizar o eliminar pilas en varias cuentas y Regiones de AWS con una sola operación. AWS Control Tower se basa en esta capacidad de confianza para poder aplicar roles y permisos a las cuentas existentes antes de trasladarlas a una unidad organizativa registrada y, por lo tanto, someterlas a gobernanza.
Para obtener más información sobre el acceso confiable y AWS CloudFormation StackSets, consulte [AWS CloudFormationStackSetsy AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html).
# Movimiento e inscripción de cuentas con inscripción automática
La característica de inscripción automática de cuentas está disponible para zonas de aterrizaje de la versión 3.1 y posteriores.
Si habilita esta función de forma opcional, puede utilizar la consola AWS Organizations APIs y para mover las cuentas a AWS Control Tower, sin provocar una pérdida de [https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html). La cuenta recibe automáticamente recursos de línea de base y configuraciones de control de la unidad organizativa (UO) de destino en AWS Control Tower. Esta capacidad opcional también le permite transferir cuentas de un sitio a otro OUs de la Torre de Control de AWS, sin provocar una desviación de herencia, si las dos OUs tienen la misma configuración básica y los mismos controles habilitados.
**Para activar la inscripción automática:** puede seleccionar la inscripción automática de las cuentas en la página de **configuración** de la zona de aterrizaje de la consola de la Torre de Control de AWS, o llamando a la Torre de Control de AWS `CreateLandingZone` o `UpdateLandingZone` APIs con el valor del `RemediationType` parámetro establecido en **Inheritance** Drift.
**Para aplicar la inscripción automática:** tras seleccionar esta opción en la página de **configuración**, puede mover una cuenta a través de la AWS Organizations consola, la AWS Organizations `MoveAccount` API o la consola de la Torre de Control de AWS.
**Para anular la inscripción de una cuenta con inscripción automática:** si mueve una cuenta fuera de una UO que esté registrada, AWS Control Tower elimina automáticamente todos los recursos y controles básicos implementados.
**nota**
Si el origen y el destino de OUs la Torre de Control de AWS tienen configuraciones diferentes, es posible que la cuenta muestre una [Cuenta de miembro movida](governance-drift.md#drift-account-moved) desviación.
## Requisitos previos: configuración de la inscripción automática
+ Debe utilizar la versión 3.1 o posterior de la zona de aterrizaje de AWS Control Tower.
+ Opte por la función de inscripción automática de AWS Control Tower a través de la página de **configuración** de la zona de aterrizaje de la consola o a través de la zona de aterrizaje de AWS Control Tower APIs, estableciendo el valor del `RemediationTypes` parámetro en. `Inheritance Drift` Una vez que se haya registrado, AWS Control Tower reacciona ante `move account` los AWS Organizations acontecimientos y soluciona inmediatamente el problema de herencia de las cuentas trasladadas, en su nombre.
## Permisos necesarios
Para utilizar la API y la AWS Organizations `CreateAccount` API, se necesitan permisos y `MoveAccount` roles específicos. Para obtener más información sobre el uso AWS Organizations con AWS Control Tower, consulte [AWS Control Tower y AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/services-that-can-integrate-CTower.html).
## Ejemplos de uso de la API
Para obtener más información y ejemplos al respecto APIs, consulte [https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html)y [https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html)en la *referencia de la AWS Organizations API*.
## Consideraciones
+ **Escala de tiempo de inscripción:** una cuenta que se mueve a una UO registrada en AWS Control Tower se inscribe con un modelo de *consistencia final*. Este proceso suele tardar unos minutos o hasta varias horas, según la cantidad de cuentas que se muevan.
+ **Proceso de anulación de la inscripción:** puede utilizar el mismo proceso para anular la inscripción de sus cuentas de AWS Control Tower moviéndolas a una UO fuera de AWS Control Tower. Este proceso elimina todos los roles y los recursos implementados por AWS Control Tower y todos los controles habilitados en AWS Control Tower.
# Inscripción de una cuenta existente desde la consola de AWS Control Tower
Existen dos formas habituales de inscribir a una persona Cuenta de AWS en AWS Control Tower.
1. Tras seleccionar la función de *inscripción automática* en la página de **configuración**, puede crear una unidad Cuenta de AWS externa a AWS Control Tower y moverla directamente a una unidad organizativa registrada. Para obtener más información, consulte [Movimiento e inscripción automáticos de cuentas](https://docs.aws.amazon.com//controltower/latest/userguide/account-auto-enroll.html). Esta característica solo está disponible en las versiones 3.1 y posteriores de la zona de aterrizaje.
1. Puede inscribir manualmente una cuenta existente desde la consola de AWS Control Tower.
**En las siguientes secciones se describe la segunda opción,** que no requiere configuración previa del entorno de AWS Control Tower. Cuenta de AWS Deben cumplir los [requisitos previos](https://docs.aws.amazon.com//controltower/latest/userguide/enrollment-prerequisites.html) requeridos.
**Visualización de cuentas elegibles en la consola:**
1. Vaya a la página **Organización** en AWS Control Tower.
1. Busque el nombre de la cuenta que desee inscribir. Para encontrarla, seleccione **Solo cuentas** en el menú desplegable de la parte superior derecha y, a continuación, localice el nombre de la cuenta en la tabla filtrada.
Siga los pasos para inscribir una cuenta individual, tal y como se muestra en la sección [Pasos para inscribir una cuenta manualmente](#enrollment-steps).
## Consideraciones sobre la inscripción desde la consola
+ La función de **inscripción de cuentas**, disponible en la consola de la Torre de Control de AWS, está destinada a inscribir a las cuentas existentes Cuentas de AWS para que estén gobernadas por la Torre de Control de AWS. Para obtener más información, consulte [Inscripción de una Cuenta de AWS existente](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html).
+ La función **Inscribir cuenta** está disponible cuando la zona de aterrizaje no se encuentra en estado de [desviación](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html). Si su zona de inicio se encuentra en un estado de desviación, es posible que no pueda utilizar correctamente la función **Enroll account (Inscribir cuenta)** . Deberá aprovisionar nuevas cuentas a través de Account Factory u otro método hasta que se haya resuelto la desviación de la zona de aterrizaje.
+ Al inscribir cuentas desde la consola de AWS Control Tower, deberá iniciar sesión en una cuenta con un usuario que tenga la política `AWSServiceCatalogEndUserFullAccess` habilitada, junto con permisos de acceso de **Administrador** para utilizar la consola de AWS Control Tower, y no podrá iniciar sesión como usuario raíz.
+ Las cuentas que inscriba pueden actualizarse mediante Account Factory de AWS Control Tower, al igual que actualizaría cualquier otra cuenta. Los procedimientos de actualización se indican en la sección [Actualización y movimiento de cuentas con AWS Control Tower](updating-account-factory-accounts.md).
**nota**
Al inscribir una existente Cuenta de AWS, asegúrese de verificar la dirección de correo electrónico existente. De lo contrario, es posible que se cree una cuenta nueva.
## Pasos para inscribir una cuenta manualmente
Una vez que el permiso de **AdministratorAccess**acceso (política) esté en vigor en tu Cuenta de AWS cuenta actual, sigue estos pasos para inscribir la cuenta:
**Cómo inscribir una cuenta individual en AWS Control Tower desde la consola**
+ Vaya a la página **Organización** de AWS Control Tower.
+ En la página **Organización**, las cuentas que reúnen los requisitos para ser inscritas le permiten seleccionar **Inscribir** en el menú desplegable **Acciones** situado en la parte superior de la sección. En estas cuentas también aparece el botón **Inscribir la cuenta** cuando las visualiza desde la página **Detalles de la cuenta**.
+ Al seleccionar **Inscribir la cuenta**, verá la página **Inscribir la cuenta**, en la que se le solicitará que añada el rol `AWSControlTowerExecution` a la cuenta. Para obtener instrucciones, consulte [Añada manualmente el rol de IAM requerido a uno existente Cuenta de AWS e inscríbalo](enroll-manually.md).
+ A continuación, seleccione una OU registrada de la lista desplegable. Si la cuenta ya está en una OU registrada, esta lista mostrará la OU.
+ Seleccione **Enroll account (Inscribir cuenta)**.
+ Verá un recordatorio modal para añadir el rol `AWSControlTowerExecution` y confirmar la acción.
+ Seleccione **Inscribir**.
+ AWS Control Tower comienza el proceso de inscripción y se le dirige de nuevo a la página **Detalles de la cuenta**.
## Causas comunes de error de la inscripción
+ Para inscribir una cuenta existente, el rol `AWSControlTowerExecution` debe estar presente en la cuenta que está inscribiendo.
+ La entidad principal de IAM carece de los permisos necesarios para aprovisionar una cuenta.
+ AWS Security Token Service (AWS STS) está deshabilitado Cuenta de AWS en su región de origen o en cualquier región compatible con la Torre de Control de AWS.
+ Es posible que haya iniciado sesión en una cuenta que deba añadirse a la cartera del generador de cuentas en AWS Service Catalog. La cuenta debe añadirse antes de tener acceso al generador de cuentas para poder crear o inscribir una cuenta en AWS Control Tower. Si el usuario o rol correspondiente no se añade a la cartera del generador de cuentas, recibirá un error al intentar añadir una cuenta. Para obtener instrucciones sobre cómo conceder acceso a las AWS Service Catalog carteras, consulte [Concesión de acceso a los usuarios](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html).
+ Es posible que haya iniciado sesión como usuario raíz.
+ Es posible que la cuenta que estás intentando inscribir tenga una AWS Config configuración residual. En concreto, la cuenta puede tener un grabador de configuración o un canal de entrega. Debes eliminarlos o modificarlos AWS CLI antes de poder inscribir una cuenta. Para obtener más información, consulte [Inscribir cuentas que cuenten con AWS Config recursos existentes](existing-config-resources.md) y [Interactúa AWS Control Tower con AWS CloudShell](cshell-examples.md).
+ Si la cuenta pertenece a otra OU con una cuenta de administración, incluida otra OU de AWS Control Tower, debe cancelar la cuenta en la OU actual antes de que pueda unirse a otra OU. Los recursos existentes deben eliminarse de la OU original. De lo contrario, la inscripción fallará.
+ El aprovisionamiento y la inscripción de la cuenta fallan si las unidades organizativas de destino SCPs no le permiten crear todos los recursos necesarios para esa cuenta. Por ejemplo, una SCP en la OU de destino puede bloquear la creación de recursos sin determinadas etiquetas. En este caso, el aprovisionamiento o la inscripción de cuentas falla porque AWS Control Tower no admite el etiquetado de los recursos. Para obtener ayuda, póngase en contacto con su representante de cuentas o con Soporte.
Para obtener más información acerca de cómo funciona AWS Control Tower con los roles al crear cuentas nuevas o inscribir las existentes, consulte [Roles and accounts](https://docs.aws.amazon.com//controltower/latest/userguide/roles.html).
**sugerencia**
Si no puede confirmar que una unidad existente Cuenta de AWS cumple con los requisitos previos de inscripción, puede configurar una **unidad organizativa de inscripción** e inscribir la cuenta en esa unidad organizativa. Una vez que la inscripción se haya realizado correctamente, puede trasladar la cuenta a la OU que desee. Si la inscripción no se realiza correctamente, no habrá ninguna otra cuenta ni OUs se verá afectada por el incumplimiento.
Si tiene dudas sobre si las cuentas actuales y sus configuraciones son compatibles con AWS Control Tower, puede seguir las prácticas recomendadas en la siguiente sección.
**Recomendado: puede configurar un enfoque de dos pasos para la inscripción de cuentas**
+ En primer lugar, utilice un *paquete de AWS Config conformidad* para evaluar cómo algunos controles de la Torre de Control de AWS pueden afectar a sus cuentas. Para determinar cómo la inscripción en la Torre de Control de AWS puede afectar a sus cuentas, consulte [Ampliar la gobernanza de la Torre de Control de AWS mediante paquetes de AWS Config conformidad](https://aws.amazon.com//blogs/mt/extend-aws-control-tower-governance-using-aws-config-conformance-packs/).
+ A continuación, es posible que desee inscribir la cuenta. Si los resultados de conformidad son satisfactorios, la ruta de migración es más fácil porque puede inscribir la cuenta sin consecuencias inesperadas.
+ Una vez realizada la evaluación, si decide configurar una zona de aterrizaje de la AWS Control Tower, puede que tenga que eliminar el canal de AWS Config entrega y el registrador de configuración que se crearon para la evaluación. Entonces podrá configurar AWS Control Tower correctamente.
**nota**
El paquete de conformidad también funciona en situaciones en las que las cuentas están OUs registradas por la Torre de Control de AWS, pero las cargas de trabajo se ejecutan en AWS regiones que no son compatibles con la Torre de Control de AWS. Puede utilizar el paquete de conformidad para administrar recursos en cuentas que existen en regiones donde AWS Control Tower no se ha implementado.
# Si la cuenta no cumple los requisitos previos
Recuerde que, como requisito previo, las cuentas que puedan inscribirse en la gobernanza de AWS Control Tower deben formar parte de la misma organización general. Para cumplir con este requisito previo para la inscripción de cuentas, puede seguir estos pasos preparatorios para trasladar una cuenta a la misma organización que AWS Control Tower.
**Pasos preparatorios para incorporar una cuenta a la misma organización que AWS Control Tower**
1. Elimine la cuenta de la organización existente. Si utiliza este enfoque, debe proporcionar un método de pago diferente.
1. Invite a la cuenta a unirse a la organización de AWS Control Tower. Para obtener más información, consulte [Invitar a una AWS cuenta a unirse a su organización](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_invites.html) en la Guía del *AWS Organizations usuario*.
1. Acepte la invitación. La cuenta aparece en la raíz de la organización. Este paso mueve la cuenta a la misma organización que AWS Control Tower y establece SCPs y consolida la facturación.
**sugerencia**
Puede enviar la invitación a la nueva organización antes de que la cuenta deje de pertenecer a la antigua. La invitación quedará pendiente cuando la cuenta deje de pertenecer oficialmente a la organización existente.
**Pasos para cumplir los requisitos previos restantes:**
1. Cree el rol `AWSControlTowerExecution` necesario.
1. Elimine la VPC predeterminada (esta parte es opcional. AWS Control Tower no cambia la VPC predeterminada existente).
1. Elimine o modifique cualquier grabador AWS Config de configuración o canal de entrega existente a través de AWS CLI o. AWS CloudShell Para obtener más información, consulte [Inscriba cuentas con recursos AWS Config](enroll-account.md#example-config-cli-commands) y [Inscribir cuentas que cuenten con AWS Config recursos existentes](existing-config-resources.md).
Una vez completados estos pasos preparatorios, puede inscribir la cuenta en AWS Control Tower. Para obtener más información, consulte [Pasos para inscribir una cuenta manualmente](quick-account-provisioning.md#enrollment-steps). Con este paso, la cuenta pasa a estar totalmente bajo el control de AWS Control Tower.
**Pasos opcionales para desaprovisionar una cuenta y poder inscribirla y conservar su pila**
1. Para conservar la CloudFormation pila aplicada, elimine la instancia de pila de los conjuntos de pilas y elija **Conservar pilas** para la instancia.
1. Finalice el producto aprovisionado para la AWS Service Catalog cuenta en Account Factory. (este paso solo elimina el producto aprovisionado de AWS Control Tower. No elimina la cuenta.)
1. Configure la cuenta con los detalles de facturación necesarios, tal y como se requiere para cualquier cuenta que no pertenezca a una organización. A continuación, elimine la cuenta de la organización. (Si lo haces, la cuenta no se descontará del total de tu AWS Organizations cuota).
1. Limpie la cuenta si quedan recursos y, después, ciérrela siguiendo los pasos de cierre de cuenta en [Anulación de la inscripción de una cuenta](unmanage-account.md).
1. Si tiene una OU **suspendida** con controles definidos, puede trasladar la cuenta allí en lugar de realizar el paso 1.
# Añada manualmente el rol de IAM requerido a uno existente Cuenta de AWS e inscríbalo
Si ya ha configurado la zona de aterrizaje de AWS Control Tower, puede empezar a inscribir las cuentas de la organización en una OU que esté registrada en AWS Control Tower. Si no ha configurado la zona de aterrizaje, siga los pasos descritos en la *Guía del usuario de AWS Control Tower* en [Getting Started, Step 2](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two). Cuando la zona de aterrizaje esté lista, complete los siguientes pasos para que AWS Control Tower controle las cuentas existentes de forma manual.
**Asegúrese de revisar los [Requisitos previos para la inscripción](enrollment-prerequisites.md) indicados anteriormente en este capítulo.**
Antes de inscribir una cuenta en AWS Control Tower, debe conceder permiso a AWS Control Tower para administrar dicha cuenta. Para ello, añadirá un rol que tenga acceso completo a la cuenta, tal y como se indica en los pasos siguientes. Estos pasos deben realizarse para cada cuenta que inscriba.
**Para cada cuenta:**
**Paso 1: inicie sesión con acceso de administrador en la cuenta de administración de la organización que contiene actualmente la cuenta que desea inscribir.**
Por ejemplo, si creó esta cuenta desde AWS Organizations y utiliza un rol de IAM multicuenta para iniciar sesión, puede seguir estos pasos:
1. Inicie sesión en la cuenta de administración de la organización.
1. Vaya a **AWS Organizations**.
1. En **Cuentas**, selecciona la cuenta que desea inscribir y copie su ID de cuenta.
1. Abre el menú desplegable de la cuenta en la barra de navegación superior y seleccione **Cambiar rol**.
1. En el formulario **Cambiar rol**, rellene los siguientes campos:
+ En **Cuenta**, introduzca el ID de la cuenta que ha copiado.
+ En **Rol**, introduzca el nombre del rol de IAM que habilita el acceso entre cuentas a esta cuenta. El nombre de este rol se definió cuando se creó la cuenta. Si no especificó un nombre de rol al crear la cuenta, introduzca el nombre de rol predeterminado `OrganizationAccountAccessRole`.
1. Elija **Switch Role**.
1. Ahora deberías iniciar sesión en la cuenta Consola de administración de AWS como hijo.
1. Cuando haya terminado, permanezca en la cuenta secundaria para la siguiente parte del procedimiento.
1. Anote el ID de la cuenta de administración, ya que tendrá que introducirlo en el paso siguiente.
**Paso 2: conceda permiso a AWS Control Tower para administrar la cuenta.**
1. Vaya a **IAM**.
1. Vaya a **Roles**.
1. Elija **Crear rol**.
1. Cuando se le pida que seleccione el servicio al que corresponde el rol, seleccione **Política de confianza personalizada**.
1. Copie el ejemplo de código que se muestra aquí y péguelo en el documento de política. Sustituya la cadena *`Management Account ID`* por el ID de cuenta de administración real de la cuenta de administración. A continuación se muestra la política a pegar:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. Cuando se te pida que adjuntes políticas, selecciona **AdministratorAccess**.
1. Elija **Siguiente:Etiquetas**.
1. Es posible que aparezca una pantalla opcional titulada **Añadir etiquetas**. Omita esta pantalla por ahora seleccionando **Next:Review**
1. En la pantalla **Revisar**, en el campo **Nombre del rol**, introduzca `AWSControlTowerExecution`.
1. Introduzca una breve descripción en el cuadro **Descripción**, por ejemplo *Permite el acceso completo a la cuenta para la inscripción.*
1. Elija **Crear rol**.
**Paso 3: inscriba la cuenta trasladándola a una OU registrada y verifique la inscripción.**
Una vez que haya configurado los permisos necesarios mediante la creación del rol, siga estos pasos para inscribir la cuenta y verificar la inscripción.
1. **Vuelva a iniciar sesión como administrador y vaya a AWS Control Tower.**
1.
**Inscriba la cuenta.**
+ En la página **Organización** de AWS Control Tower, seleccione la cuenta y, a continuación, elija **Inscribirse** en el menú desplegable **Acciones** situado en la parte superior derecha.
+ Siga los pasos para inscribir una cuenta individual, tal y como se muestra en la página [Pasos para inscribir una cuenta manualmente](quick-account-provisioning.md#enrollment-steps).
1.
**Verifique la inscripción.**
+ En AWS Control Tower, seleccione **Organización** en el panel de navegación izquierdo.
+ Busque la cuenta que ha inscrito recientemente. Su estado inicial mostrará el estado de **Inscripción**.
+ Cuando el estado cambia a **Inscrito**, el traslado se ha realizado correctamente.
Para continuar con este proceso, inicie sesión en cada cuenta de la organización que desee inscribir en AWS Control Tower. Repita los pasos de requisitos previos y los pasos de inscripción para cada cuenta.
**Ejemplo de adición del rol `AWSControlTowerExecution`**
La siguiente plantilla de YAML puede ayudarle a crear el rol necesario en una cuenta para poder inscribirla mediante programación.
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
account as a target account in AWS CloudFormation StackSets.
Parameters:
AdministratorAccountId:
Type: String
Description: AWS Account Id of the administrator account (the account in which
StackSets will be created).
MaxLength: 12
MinLength: 12
Resources:
ExecutionRole:
Type: AWS::IAM::Role
Properties:
RoleName: AWSControlTowerExecution
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref AdministratorAccountId
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```