Inscripción de una cuenta existente desde la consola de AWS Control Tower

• La característica Inscribir cuenta, disponible en la consola de AWS Control Tower, sirve para inscribir Cuentas de AWS existentes de manera que se rijan por AWS Control Tower. Para obtener más información, consulte Inscripción de una Cuenta de AWS existente.

• La función Inscribir cuenta está disponible cuando la zona de aterrizaje no se encuentra en estado de desviación. Si su zona de inicio se encuentra en un estado de desviación, es posible que no pueda utilizar correctamente la función Enroll account (Inscribir cuenta) . Deberá aprovisionar nuevas cuentas a través de Account Factory u otro método hasta que se haya resuelto la desviación de la zona de aterrizaje.

• Al inscribir cuentas desde la consola de AWS Control Tower, deberá iniciar sesión en una cuenta con un usuario que tenga la política AWSServiceCatalogEndUserFullAccess habilitada, junto con permisos de acceso de Administrador para utilizar la consola de AWS Control Tower, y no podrá iniciar sesión como usuario raíz.

• Las cuentas que inscriba pueden actualizarse mediante Account Factory de AWS Control Tower, al igual que actualizaría cualquier otra cuenta. Los procedimientos de actualización se indican en la sección Actualización y movimiento de cuentas con AWS Control Tower.

Cómo inscribir una cuenta individual en AWS Control Tower desde la consola

• Vaya a la página Organización de AWS Control Tower.

• En la página Organización, las cuentas que reúnen los requisitos para ser inscritas le permiten seleccionar Inscribir en el menú desplegable Acciones situado en la parte superior de la sección. En estas cuentas también aparece el botón Inscribir la cuenta cuando las visualiza desde la página Detalles de la cuenta.

• Al seleccionar Inscribir la cuenta, verá la página Inscribir la cuenta, en la que se le solicitará que añada el rol AWSControlTowerExecution a la cuenta. Para obtener instrucciones, consulte Adición manual del rol de IAM necesario a una Cuenta de AWS existente e inscripción del mismo.

• A continuación, seleccione una OU registrada de la lista desplegable. Si la cuenta ya está en una OU registrada, esta lista mostrará la OU.

• Seleccione Enroll account (Inscribir cuenta).

• Verá un recordatorio modal para añadir el rol AWSControlTowerExecution y confirmar la acción.

• Seleccione Inscribir.

• AWS Control Tower comienza el proceso de inscripción y se le dirige de nuevo a la página Detalles de la cuenta.

• Para inscribir una cuenta existente, el rol AWSControlTowerExecution debe estar presente en la cuenta que está inscribiendo.

• La entidad principal de IAM carece de los permisos necesarios para aprovisionar una cuenta.

• AWS Security Token Service(AWS STS) está deshabilitado en la Cuenta de AWS de la región de origen o en cualquier región compatible con AWS Control Tower.

• Es posible que haya iniciado sesión en una cuenta que deba añadirse a la cartera del generador de cuentas en AWS Service Catalog. La cuenta debe añadirse antes de tener acceso al generador de cuentas para poder crear o inscribir una cuenta en AWS Control Tower. Si el usuario o rol correspondiente no se añade a la cartera del generador de cuentas, recibirá un error al intentar añadir una cuenta. Para obtener instrucciones sobre cómo conceder acceso a las carteras de AWS Service Catalog, consulte Granting access to users.

• Es posible que haya iniciado sesión como usuario raíz.

• La cuenta que está intentando inscribir puede tener ajustes de AWS Config que sean residuales. En concreto, la cuenta puede tener un grabador de configuración o un canal de entrega. Estos deben eliminarse o modificarse a través de la AWS CLI antes de poder inscribir una cuenta. Para obtener más información, consulte Inscripción de cuentas con recursos de AWS Config existentes y Interacción con AWS Control Tower a través de AWS CloudShell.

• Si la cuenta pertenece a otra OU con una cuenta de administración, incluida otra OU de AWS Control Tower, debe cancelar la cuenta en la OU actual antes de que pueda unirse a otra OU. Los recursos existentes deben eliminarse de la OU original. De lo contrario, la inscripción fallará.

• El aprovisionamiento y la inscripción de cuentas fallan si las SCP de la OU de destino no permiten crear todos los recursos necesarios para esa cuenta. Por ejemplo, una SCP en la OU de destino puede bloquear la creación de recursos sin determinadas etiquetas. En este caso, el aprovisionamiento o la inscripción de cuentas falla porque AWS Control Tower no admite el etiquetado de los recursos. Para obtener ayuda, póngase en contacto con su representante de cuentas o con Soporte.

Recomendado: puede configurar un enfoque de dos pasos para la inscripción de cuentas

• En primer lugar, utilice un paquete de conformidad de AWS Config para evaluar cómo pueden afectar a las cuentas algunos controles de AWS Control Tower. Para determinar cómo puede afectar a las cuentas la inscripción en AWS Control Tower, consulte Extend AWS Control Tower governance using AWS Config conformance packs.

• A continuación, es posible que desee inscribir la cuenta. Si los resultados de conformidad son satisfactorios, la ruta de migración es más fácil porque puede inscribir la cuenta sin consecuencias inesperadas.

• Una vez realizada la evaluación, si decide configurar una zona de aterrizaje de AWS Control Tower, puede que tenga que eliminar el canal de entrega y el grabador de configuración de AWS Config creados para la evaluación. Entonces podrá configurar AWS Control Tower correctamente.