Conditions préalables à l'inscription - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conditions préalables à l'inscription

Cette section décrit comment inscrire un AWS compte existant dans AWS Control Tower si vous n'avez pas sélectionné la fonctionnalité d'inscription automatique facultative sur la page des paramètres de la zone d'atterrissage, ou si vous utilisez une version de zone d'atterrissage antérieure à la version 3.1.

Les conditions préalables suivantes sont requises avant de pouvoir inscrire une personne existante Compte AWS dans AWS Control Tower :

Note

La condition préalable pour ajouter le AWSControlTowerExecution rôle n'est pas requise si vous avez activé la fonctionnalité d'inscription automatique d'AWS Control Tower sur la page des paramètres de la zone de landing zone, ou si vous inscrivez le compte dans le cadre d'un processus d'enregistrement de l'unité d'organisation. Cependant, dans tous les cas, le compte à inscrire peut ne pas disposer de AWS Config ressources existantes. Voir Inscrire des comptes disposant de ressources existantes AWS Config

  1. Pour inscrire un poste existant Compte AWS, le AWSControlTowerExecution rôle doit être présent dans le compte que vous inscrivez. Vous pouvez consulter Enregistrer un compte pour obtenir des informations et des instructions.

  2. Outre le AWSControlTowerExecution rôle, le titulaire que Compte AWS vous souhaitez inscrire doit disposer des autorisations et des relations de confiance suivantes. Sinon, l'inscription échouera.

    Autorisation de rôle : AdministratorAccess (politique AWS gérée)

    Relation de confiance entre les rôles :

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Nous recommandons que le compte ne dispose pas d'un enregistreur AWS Config de configuration ou d'un canal de diffusion. Ils peuvent être supprimés ou modifiés par le biais du formulaire «  AWS CLI  Avant de pouvoir créer un compte ». Sinon, consultez les comptes d'inscription dotés de AWS Config ressources existantes pour obtenir des instructions sur la manière dont vous pouvez modifier vos ressources existantes.

  4. Le compte que vous souhaitez inscrire doit exister dans la même AWS Organizations organisation que le compte de gestion AWS Control Tower. Le compte existant ne peut être inscrit que dans la même organisation que le compte de gestion AWS Control Tower, dans une unité d'organisation déjà enregistrée auprès d'AWS Control Tower.

Pour vérifier les autres conditions préalables à l'inscription, consultez Getting Started with AWS Control Tower.

Note

Lorsque vous créez un compte dans AWS Control Tower, celui-ci est régi par le AWS CloudTrail parcours de l'organisation AWS Control Tower. Si vous avez déjà déployé une version d'essai CloudTrail, des frais supplémentaires peuvent être facturés, sauf si vous supprimez la version d'essai existante pour le compte avant de l'inscrire dans AWS Control Tower.

À propos de l'accès sécurisé avec le AWSControTowerExecution rôle

Avant de pouvoir inscrire un Compte AWS compte existant dans AWS Control Tower, vous devez autoriser AWS Control Tower à gérer ou à gouverner le compte. Plus précisément, AWS Control Tower a besoin d'une autorisation pour établir un accès fiable entre vous AWS CloudFormation et en votre nom, afin de CloudFormation pouvoir déployer automatiquement votre stack AWS Organizations sur les comptes de l'organisation que vous avez sélectionnée. Grâce à cet accès fiable, le AWSControlTowerExecution rôle mène les activités nécessaires à la gestion de chaque compte. C'est pourquoi vous devez ajouter ce rôle à chaque compte avant de l'inscrire.

Lorsque l'accès sécurisé est activé, CloudFormation vous pouvez créer, mettre à jour ou supprimer des piles sur plusieurs comptes et Régions AWS en une seule opération. AWS Control Tower s'appuie sur cette capacité de confiance pour appliquer des rôles et des autorisations aux comptes existants avant de les transférer dans une unité organisationnelle enregistrée, et de les placer ainsi sous gouvernance.

Pour en savoir plus sur l'accès sécurisé AWS CloudFormation StackSets, consultez AWS CloudFormationStackSetset AWS Organizations.