Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Requisitos previos para la inscripción
En esta sección se describe cómo inscribir una AWS cuenta existente en AWS Control Tower si no ha seleccionado la función opcional de inscripción automática en la página de configuración de la zona de aterrizaje o si utiliza una versión de landing zone anterior a la 3.1.
Estos requisitos previos son necesarios para poder inscribir a una empresa existente Cuenta de AWS en AWS Control Tower:
nota
El requisito previo para añadir el rol AWSControlTowerExecution no es obligatorio si ha activado la función de inscripción automática de AWS Control Tower en la página Configuración de la zona de aterrizaje o si inscribe la cuenta como parte de un proceso de Registrar UO. Sin embargo, en todos los casos, es posible que la cuenta que se va a inscribir no tenga AWS Config recursos existentes. Consulte Inscribir cuentas que tengan AWS Config recursos existentes
-
Para inscribir una cuenta existente Cuenta de AWS, la
AWSControlTowerExecutionfunción debe estar presente en la cuenta que vaya a inscribir. Puede consultar la sección Inscripción de una cuenta para obtener información más detallada e instrucciones. -
Además del rol
AWSControlTowerExecution, la Cuenta de AWS existente que desee inscribir debe contar con los siguientes permisos y relaciones de confianza. De lo contrario, la inscripción fallará.Permiso de rol:
AdministratorAccess(política AWS administrada)Relación de confianza entre roles:
-
Recomendamos que la cuenta no tenga un grabador de AWS Config configuración ni un canal de entrega. Es posible eliminarlos o modificarlos a través de la AWS CLI antes de inscribir una cuenta. De lo contrario, consulte Inscribir cuentas que tengan AWS Config recursos existentes para obtener instrucciones sobre cómo puede modificar sus recursos existentes.
-
La cuenta que desea inscribir debe existir en la misma organización de AWS Organizations que la cuenta de administración de AWS Control Tower. La cuenta existente solo se puede inscribir en la misma organización que la cuenta de administración de AWS Control Tower, en una OU que ya esté registrada en AWS Control Tower.
Para comprobar otros requisitos previos para la inscripción, consulte Getting Started with AWS Control Tower.
nota
Cuando inscribe una cuenta en AWS Control Tower, esta se rige por el registro de seguimiento de AWS CloudTrail de la organización de AWS Control Tower. Si ya tiene una implementación de una CloudTrail ruta, es posible que vea cargos duplicados, a menos que elimine la ruta existente de la cuenta antes de inscribirla en AWS Control Tower.
Acerca del acceso de confianza con el rol AWSControTowerExecution
Antes de poder inscribir una Cuenta de AWS cuenta existente en AWS Control Tower, debe dar permiso a AWS Control Tower para administrar o gobernar la cuenta. En concreto, AWS Control Tower requiere permiso para establecer un acceso de confianza entre AWS CloudFormation y AWS Organizations en su nombre, de modo que CloudFormation pueda implementar su pila automáticamente en las cuentas de la organización seleccionada. Con este acceso de confianza, el rol AWSControlTowerExecution lleva a cabo las actividades necesarias para administrar cada cuenta. Por eso debes añadir este rol a cada cuenta antes de inscribirla.
Cuando el acceso confiable está activado, CloudFormation puede crear, actualizar o eliminar pilas en varias cuentas y Regiones de AWS con una sola operación. AWS Control Tower se basa en esta capacidad de confianza para poder aplicar roles y permisos a las cuentas existentes antes de trasladarlas a una unidad organizativa registrada y, por lo tanto, someterlas a gobernanza.
Para obtener más información sobre el acceso confiable y AWS CloudFormation StackSets, consulte AWS CloudFormationStackSetsy AWS Organizations.
