Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Añada manualmente el rol de IAM requerido a uno existente Cuenta de AWS e inscríbalo Si ya ha configurado la zona de aterrizaje de AWS Control Tower, puede empezar a inscribir las cuentas de la organización en una OU que esté registrada en AWS Control Tower. Si no ha configurado la zona de aterrizaje, siga los pasos descritos en la *Guía del usuario de AWS Control Tower* en [Getting Started, Step 2](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two). Cuando la zona de aterrizaje esté lista, complete los siguientes pasos para que AWS Control Tower controle las cuentas existentes de forma manual. **Asegúrese de revisar los [Requisitos previos para la inscripción](enrollment-prerequisites.md) indicados anteriormente en este capítulo.** Antes de inscribir una cuenta en AWS Control Tower, debe conceder permiso a AWS Control Tower para administrar dicha cuenta. Para ello, añadirá un rol que tenga acceso completo a la cuenta, tal y como se indica en los pasos siguientes. Estos pasos deben realizarse para cada cuenta que inscriba. **Para cada cuenta:** **Paso 1: inicie sesión con acceso de administrador en la cuenta de administración de la organización que contiene actualmente la cuenta que desea inscribir.** Por ejemplo, si creó esta cuenta desde AWS Organizations y utiliza un rol de IAM multicuenta para iniciar sesión, puede seguir estos pasos: 1. Inicie sesión en la cuenta de administración de la organización. 1. Vaya a **AWS Organizations**. 1. En **Cuentas**, selecciona la cuenta que desea inscribir y copie su ID de cuenta. 1. Abre el menú desplegable de la cuenta en la barra de navegación superior y seleccione **Cambiar rol**. 1. En el formulario **Cambiar rol**, rellene los siguientes campos: + En **Cuenta**, introduzca el ID de la cuenta que ha copiado. + En **Rol**, introduzca el nombre del rol de IAM que habilita el acceso entre cuentas a esta cuenta. El nombre de este rol se definió cuando se creó la cuenta. Si no especificó un nombre de rol al crear la cuenta, introduzca el nombre de rol predeterminado `OrganizationAccountAccessRole`. 1. Elija **Switch Role**. 1. Ahora deberías iniciar sesión en la cuenta Consola de administración de AWS como hijo. 1. Cuando haya terminado, permanezca en la cuenta secundaria para la siguiente parte del procedimiento. 1. Anote el ID de la cuenta de administración, ya que tendrá que introducirlo en el paso siguiente. **Paso 2: conceda permiso a AWS Control Tower para administrar la cuenta.** 1. Vaya a **IAM**. 1. Vaya a **Roles**. 1. Elija **Crear rol**. 1. Cuando se le pida que seleccione el servicio al que corresponde el rol, seleccione **Política de confianza personalizada**. 1. Copie el ejemplo de código que se muestra aquí y péguelo en el documento de política. Sustituya la cadena {{`Management Account ID`}} por el ID de cuenta de administración real de la cuenta de administración. A continuación se muestra la política a pegar: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] } ``` ------ 1. Cuando se te pida que adjuntes políticas, selecciona **AdministratorAccess**. 1. Elija **Siguiente:Etiquetas**. 1. Es posible que aparezca una pantalla opcional titulada **Añadir etiquetas**. Omita esta pantalla por ahora seleccionando **Next:Review** 1. En la pantalla **Revisar**, en el campo **Nombre del rol**, introduzca `AWSControlTowerExecution`. 1. Introduzca una breve descripción en el cuadro **Descripción**, por ejemplo *Permite el acceso completo a la cuenta para la inscripción.* 1. Elija **Crear rol**. **Paso 3: inscriba la cuenta trasladándola a una OU registrada y verifique la inscripción.** Una vez que haya configurado los permisos necesarios mediante la creación del rol, siga estos pasos para inscribir la cuenta y verificar la inscripción. 1. **Vuelva a iniciar sesión como administrador y vaya a AWS Control Tower.** 1. **Inscriba la cuenta.** + En la página **Organización** de AWS Control Tower, seleccione la cuenta y, a continuación, elija **Inscribirse** en el menú desplegable **Acciones** situado en la parte superior derecha. + Siga los pasos para inscribir una cuenta individual, tal y como se muestra en la página [Pasos para inscribir una cuenta manualmente](quick-account-provisioning.md#enrollment-steps). 1. **Verifique la inscripción.** + En AWS Control Tower, seleccione **Organización** en el panel de navegación izquierdo. + Busque la cuenta que ha inscrito recientemente. Su estado inicial mostrará el estado de **Inscripción**. + Cuando el estado cambia a **Inscrito**, el traslado se ha realizado correctamente. Para continuar con este proceso, inicie sesión en cada cuenta de la organización que desee inscribir en AWS Control Tower. Repita los pasos de requisitos previos y los pasos de inscripción para cada cuenta.