Requisitos previos para la inscripción
En esta sección, se describe cómo inscribir una cuenta de AWS existente en AWS Control Tower si no ha seleccionado la característica opcional de inscripción automática en la página Configuración de la zona de aterrizaje o si utiliza una versión de zona de aterrizaje anterior a la 3.1.
Para poder inscribir una Cuenta de AWS existente en AWS Control Tower, debe cumplir con los siguientes requisitos previos:
nota
El requisito previo para añadir el rol AWSControlTowerExecution no es obligatorio si ha activado la función de inscripción automática de AWS Control Tower en la página Configuración de la zona de aterrizaje o si inscribe la cuenta como parte de un proceso de Registrar UO. Sin embargo, en todos los casos, es posible que la cuenta que se va a inscribir no tenga recursos de AWS Config. Consulte Inscripción de cuentas con recursos de AWS Config existentes
-
Para inscribir una Cuenta de AWS existente, el rol
AWSControlTowerExecutiondebe estar presente en la cuenta que está inscribiendo. Puede consultar la sección Inscripción de una cuenta para obtener información más detallada e instrucciones. -
Además del rol
AWSControlTowerExecution, la Cuenta de AWS existente que desee inscribir debe contar con los siguientes permisos y relaciones de confianza. De lo contrario, la inscripción fallará.Permiso de rol:
AdministratorAccess(política administrada de AWS)Relación de confianza del rol:
-
Recomendamos que la cuenta no tenga un grabador de configuración ni un canal de entrega de AWS Config. Es posible eliminarlos o modificarlos a través de la AWS CLI antes de inscribir una cuenta. De lo contrario, consulte Enroll accounts that have existing AWS Config resources para obtener instrucciones sobre cómo puede modificar los recursos existentes.
-
La cuenta que desea inscribir debe existir en la misma organización de AWS Organizations que la cuenta de administración de AWS Control Tower. La cuenta existente solo se puede inscribir en la misma organización que la cuenta de administración de AWS Control Tower, en una OU que ya esté registrada en AWS Control Tower.
Para comprobar otros requisitos previos para la inscripción, consulte Getting Started with AWS Control Tower.
nota
Cuando inscribe una cuenta en AWS Control Tower, esta se rige por el registro de seguimiento de AWS CloudTrail de la organización de AWS Control Tower. Si ya ha implementado un registro de seguimiento de CloudTrail, es posible que vea cargos duplicados, a menos que elimine el registro de seguimiento existente de la cuenta antes de inscribirla en AWS Control Tower.
Acerca del acceso de confianza con el rol AWSControTowerExecution
Antes de poder inscribir una Cuenta de AWS existente en AWS Control Tower debe conceder permiso a AWS Control Tower para que administre o gobierne la cuenta. Concretamente, AWS Control TowerAWS CloudFormation requiere permiso para establecer un acceso de confianza entre y AWS Organizations en su nombre, de modo que CloudFormation pueda implementar la pila automáticamente en las cuentas de la organización seleccionada. Con este acceso de confianza, el rol AWSControlTowerExecution lleva a cabo las actividades necesarias para administrar cada cuenta. Por eso debes añadir este rol a cada cuenta antes de inscribirla.
Cuando se habilita el acceso de confianza, CloudFormation puede crear, actualizar o eliminar pilas en varias cuentas y Regiones de AWS con una sola operación. AWS Control Tower se basa en esta capacidad de confianza para poder aplicar roles y permisos a las cuentas existentes antes de trasladarlas a una unidad organizativa registrada y, por lo tanto, someterlas a gobernanza.
Para obtener más información sobre el acceso de confianza y AWS CloudFormation StackSets, consulte AWS CloudFormationStackSets y AWS Organizations.
