Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower
<a name="importing-existing"></a>

Un moyen efficace d'intégrer plusieurs AWS comptes existants dans AWS Control Tower consiste à *étendre la gouvernance* par AWS Control Tower à l'ensemble d'une unité organisationnelle (UO).

Pour activer la gouvernance d'AWS Control Tower sur une unité d'organisation existante créée avec ses comptes AWS Organizations, *enregistrez* l'unité d'organisation auprès de votre zone d'accueil AWS Control Tower. Vous pouvez enregistrer un compte OUs contenant jusqu'à 1 000 comptes. Si une unité d'organisation contient plus de 1 000 comptes, vous ne pouvez pas l'enregistrer dans AWS Control Tower.

Lorsque vous enregistrez une UO, les comptes de ses membres sont inscrits dans la zone de landing zone AWS Control Tower. Ils sont régis par les contrôles qui s'appliquent à leur unité d'organisation.

 À partir de la version 4.0 de Landing Zone, vous pouvez activer directement les commandes sur une unité d'organisation. Les contrôles Detective nécessitent un enregistrement AWS Config, qui peut être activé en enregistrant l'unité d'organisation ou en activant l'enregistrement AWS Config sur l'unité d'organisation. S'inscrire ou l'activer`AWSControlTowerBaseline`. Activer l'enregistrement AWS Config sera activé`ConfigBaseline`. Pour plus d’informations, consultez [Types de lignes de base](types-of-baselines.md) et [**Le guide de référence d'AWS Control Tower Controls**](link-to-new-guide.md). 

**Note**  
Si vous ne possédez pas encore de zone d'atterrissage AWS Control Tower, commencez par configurer une zone d'atterrissage, soit dans une nouvelle organisation créée par AWS Control Tower, soit dans une AWS Organizations organisation existante. Pour plus de détails sur la configuration d'une zone d'atterrissage, consultez[Commencer à utiliser AWS Control Tower](getting-started-with-control-tower.md).

**Qu'arrive-t-il à mes comptes lorsque j'enregistre mon unité d'organisation ?**

AWS Control Tower a besoin d'une autorisation pour établir un accès fiable entre vous AWS CloudFormation et en votre nom, afin de AWS CloudFormation pouvoir déployer automatiquement votre stack AWS Organizations sur les comptes de votre organisation.
+ Le `AWSControlTowerExecution` rôle est ajouté à tous les comptes dont le statut est **Non inscrit**.
+ Les contrôles obligatoires sont activés par défaut sur votre unité d'organisation et sur tous ses comptes lorsque vous enregistrez votre unité d'organisation.

**Inscription partielle des comptes après l'enregistrement d'une UO**

Il est possible d'enregistrer une unité d'organisation avec succès, mais il se peut que certains comptes ne soient pas enregistrés. Si tel est le cas, ces comptes ne répondent pas à certaines des conditions requises pour l'inscription. Si l'inscription d'un compte dans le cadre du processus d'**enregistrement de** l'unité d'organisation échoue, le statut du compte sur la page des comptes indique que l'**inscription a échoué**. Vous pouvez également voir des informations de compte sur la page de votre UO, telles que **4 sur 5**, dans le champ des comptes.

Par exemple, si vous voyez **4 sur 5, cela signifie que votre unité d'**organisation possède 5 comptes au total, dont 4 se sont inscrits avec succès, mais qu'un compte n'a pas pu être inscrit pendant le processus d'**enregistrement de l'unité d'organisation**. Vous pouvez choisir **Re-Register OU** pour intégrer les comptes à l'inscription, une fois que vous vous êtes assuré qu'ils répondent aux conditions d'inscription.

**Conditions requises pour l'enregistrement d'une UO par les utilisateurs IAM**

Votre identité Gestion des identités et des accès AWS (IAM) (utilisateur ou rôle) ou votre identité d'utilisateur IAM Identity Center doit être incluse dans le portefeuille Account Factory approprié lorsque vous effectuez l'opération **Register OU**, même si vous disposez déjà des `Admin` autorisations. Dans le cas contraire, la création des produits approvisionnés échouera lors de l'enregistrement. L'échec se produit car AWS Control Tower s'appuie sur les informations d'identification de l'utilisateur IAM ou sur l'identité de l'utilisateur IAM Identity Center lors de l'enregistrement d'une unité d'organisation.

Le portefeuille correspondant est celui créé par AWS Control Tower, appelé **AWS Control Tower Account Factory Portfolio**. Pour y accéder, sélectionnez **Service Catalog > Account Factory > AWS Control Tower Account Factory Portfolio**. Sélectionnez ensuite l'onglet **Groupes, rôles et utilisateurs** pour afficher votre identité IAM ou IAM Identity Center. Pour plus d'informations sur la façon d'accorder l'accès, consultez [la documentation de AWS Service Catalog.](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html)

# Enregistrer une UO existante
<a name="how-to-register-existing-ou"></a>

Dans la console AWS Control Tower, sur la page **Organisation**, vous pouvez consulter tous les comptes OUs et comptes de votre organisation dans une hiérarchie, y compris ceux OUs qui sont enregistrés auprès d'AWS Control Tower et ceux qui ne le sont pas.

En général, les zones non enregistrées OUs ont été créées en AWS Organizations, et elles ne sont régies par aucune autre zone d'atterrissage. Vous pouvez enregistrer des comptes existants OUs contenant jusqu'à 1 000 comptes. Si une unité d'organisation contient plus de 1 000 comptes, vous ne pouvez pas l'enregistrer dans AWS Control Tower.

**Pour enregistrer une unité d'organisation existante depuis la console**

1. Connectez-vous à la console AWS Control Tower à l'adresse [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower). 

1. Dans le menu de navigation du volet gauche, sélectionnez **Organisation**.

1. Sur la page **Organisation**, sélectionnez le bouton radio à côté de l'unité d'organisation que vous souhaitez enregistrer, puis sélectionnez **Enregistrer l'unité organisationnelle** dans le menu déroulant **Actions** en haut à droite, ou sélectionnez le nom de l'unité d'organisation afin de consulter la page de **détails** de l'unité organisationnelle correspondante.

1. Sur la page des **détails** de l'unité d'organisation, en haut à droite, vous pouvez sélectionner **Enregistrer l'unité** d'organisation dans le menu déroulant **Actions**.

Le processus d'enregistrement prend au moins 10 minutes pour étendre la gouvernance à l'unité d'organisation, et jusqu'à 2 minutes supplémentaires pour chaque compte supplémentaire.

**Pour enregistrer une unité d'organisation existante auprès de APIs**

Pour enregistrer une unité d'organisation existante auprès de l'AWS Control Tower APIs, vous pouvez appeler l'`EnableBaseline``AWSControlTowerBaseline`API avec le `baselineIdentifier` champ. Pour plus d'informations, consultez [Enregistrer une unité d'organisation AWS Control Tower APIs uniquement auprès](https://docs.aws.amazon.com//controltower/latest/userguide/walkthrough-baseline-steps.html) de.

**Résultats de l'enregistrement d'une UO existante**

Une fois que vous avez enregistré une unité d'organisation existante, le `AWSControlTowerExecution` rôle permet à AWS Control Tower d'étendre la gouvernance à ses comptes individuels. Des barrières de sécurité sont appliquées et les informations relatives aux activités du compte sont communiquées à vos comptes d'audit et de journalisation.

Les autres résultats incluent les suivants :
+ `AWSControlTowerExecution` permet l'audit par le compte d'audit AWS Control Tower.
+ `AWSControlTowerExecution`vous aide à configurer la journalisation de votre organisation, de sorte que tous les journaux de chaque compte soient envoyés au compte de journalisation.
+ `AWSControlTowerExecution`garantit que les contrôles AWS Control Tower que vous avez sélectionnés s'appliquent automatiquement à chaque compte individuel de votre compte OUs, ainsi qu'à chaque nouveau compte que vous créez dans AWS Control Tower.

Pour une unité d'organisation enregistrée, vous pouvez fournir des rapports de conformité et de sécurité basés sur les fonctionnalités d'audit et de journalisation intégrées par les contrôles d'AWS Control Tower. Vos équipes de sécurité et de conformité peuvent vérifier que toutes les exigences sont satisfaites et qu'aucune dérive organisationnelle ne s'est produite. Pour plus d'informations sur la dérive, consultez[Détectez et corrigez les dérives dans AWS Control Tower](drift.md).

**Note**  
Une situation inhabituelle peut se produire lorsque les écrans AWS Control Tower OUs et leurs comptes sont associés. Si vous avez créé un compte dans une unité organisationnelle enregistrée, puis que vous déplacez ce compte inscrit dans une autre unité d'organisation non enregistrée, en particulier si vous avez l'habitude de AWS Organizations déplacer le compte, vous pouvez voir le résultat « 1 sur 0 » comptes sur la page de détails de votre unité d'organisation. En outre, vous avez peut-être créé un autre compte non inscrit dans cette unité d'organisation non enregistrée. S'il existe un compte non enregistré, la console peut indiquer « 1 sur 1 » pour l'unité d'organisation. Il semblerait que le compte unique (nouvellement créé) soit inscrit, mais en réalité ce n'est pas le cas. Vous devez enregistrer le nouveau compte.

# Création d'une nouvelle UO
<a name="create-new-ou"></a>

Voici comment créer une UO ou une UO imbriquée dans AWS Control Tower.

**Pour créer une nouvelle unité d'organisation dans AWS Control Tower**

1.  Accédez à la page **Organisation**.

1. Sélectionnez **Créer une unité organisationnelle** dans le menu déroulant **Créer des ressources** en haut à droite.

1. Spécifiez un nom dans le champ **Nom de** l'unité d'organisation.

1. Dans le menu déroulant de l'unité d'organisation **parent**, vous pouvez voir la hiérarchie des unités enregistrées OUs. Sélectionnez une unité d'organisation parent pour la nouvelle unité d'organisation que vous créez.

1. Choisissez **Ajouter**.

**Astuce**  
Pour ajouter une UO imbriquée en moins d'étapes, sélectionnez le nom de l'UO parent indiqué dans le tableau de la page **Organisation**, consultez la **page** UO de cette UO parent, puis choisissez **Ajouter une UO** dans le menu déroulant **Actions** en haut à droite. La nouvelle UO est automatiquement créée sous la forme d'une UO imbriquée sous l'UO que vous avez sélectionnée.

**Note**  
Si votre zone de landing zone n'est pas à jour, vous verrez une liste plate au lieu d'une hiérarchie dans le menu déroulant. Même si votre zone d'atterrissage inclut des unités imbriquées OUs, vous ne verrez pas les unités d'organisation L5 dans la liste déroulante, car vous ne pouvez pas créer de nouvelle unité d'organisation sous une unité d'organisation de niveau 5. Pour plus d'informations sur Nested OUs in AWS Control Tower, consultez[Imbriqué OUs dans AWS Control Tower](nested-ous.md).

# Supprimer une UO
<a name="remove-ou"></a>

AWS Control Tower prend en charge des actions de console distinctes pour *désenregistrer une unité* d'organisation et pour *supprimer* une unité d'organisation.

La suppression d'une UO est définitive. Elle ne peut pas être annulée.

**Considérations**
+ L'UO doit être vide de comptes pour que les opérations de **suppression** et de **désenregistrement** aboutissent.
+ Toutes les commandes facultatives doivent être supprimées de l'unité d'organisation.
+ Vous devez désenregistrer l'UO avant de la supprimer.
+ Vous pouvez supprimer une unité d'organisation d'AWS Control Tower en la désenregistrant, sans la supprimer.

**Pour supprimer une unité d'organisation d'AWS Control Tower**

1. Connectez-vous à la console AWS Control Tower à l'adresse [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower). 

1. Accédez à la page **Organisation**.

1. Sélectionnez le nom de l'unité d'organisation pour afficher la page **de détails** de l'unité d'organisation et assurez-vous que tous les comptes sont supprimés de l'unité d'organisation.

1. Également sur la page des **détails** de l'unité d'organisation, assurez-vous que toutes les commandes facultatives sont supprimées de l'unité d'organisation.

1. Retournez à la page **Organisation** et sélectionnez le bouton radio à côté de l'unité d'organisation.

1. Sélectionnez **Désenregistrer l'unité organisationnelle** dans le menu déroulant **Actions** en haut à droite.

1.  **Arrêtez-vous ici** si vous ne souhaitez pas supprimer complètement l'unité d'organisation, mais uniquement pour la désenregistrer d'AWS Control Tower. Pour supprimer complètement l'unité d'organisation, passez à l'étape suivante.

1. Pour continuer, sélectionnez **Supprimer** dans le menu déroulant **Actions** en haut à droite.

Vous devez attendre que le processus de désinscription soit terminé avant de pouvoir désenregistrer une autre unité d'organisation.

**Note**  
Pour supprimer des comptes gérés par AWS Control Tower, vous pouvez accéder à **Account Factory** depuis le volet de navigation de gauche de la console AWS Control Tower. Pour supprimer des comptes dans l'unité d'organisation qui ne sont pas gérés par AWS Control Tower, accédez à la AWS Organizations console.

[Pour annuler l'enregistrement d'une UO par programmation, appelez l'API. `DisableBaseline`](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html)

# Causes courantes d'échec lors de l'enregistrement ou du réenregistrement
<a name="common-eg-failures"></a>

En général, lorsque vous enregistrez ou réenregistrez une unité d'organisation, tous les comptes de cette unité d'organisation sont inscrits dans AWS Control Tower. Cependant, il est possible que l'inscription de certains comptes échoue, même si l'unité d'organisation dans son ensemble est correctement enregistrée. Dans ces cas, vous devez résoudre l'échec de la vérification préalable lié au compte, puis essayer de réinscrire ce compte ou cette unité d'organisation.

Si l'enregistrement (ou le réenregistrement) d'une unité d'organisation ou de l'un de ses comptes membres échoue, AWS Control Tower renvoie des messages d'erreur pour les comptes membres concernés. Vous pouvez consulter les messages d'erreur sur la page des **détails** de l'unité d'organisation, où un tableau regroupe les prévérifications et les messages d'erreur du compte. Si une opération d'**enregistrement** de l'unité d'organisation échoue, le tableau affiche tous les messages d'erreur pour tous les comptes de l'unité d'organisation. Si nécessaire, vous pouvez également consulter les messages d'erreur sur la page des **détails du compte** pour chaque compte.

Vous pouvez éventuellement télécharger un fichier contenant un rapport détaillé indiquant les prévérifications qui n'ont pas été validées, pour une analyse hors ligne. Vous pouvez terminer le téléchargement en cliquant sur le bouton **Télécharger**, qui apparaît en haut à droite de la zone d'enregistrement.

 Cette section répertorie les types d'erreurs que vous pouvez recevoir en cas d'échec des vérifications préalables et indique comment les corriger.

**Erreur de zone d'atterrissage**
+ **La zone d'atterrissage n'est pas prête**

  Réinitialisez votre zone d'atterrissage actuelle ou mettez-la à jour avec la dernière version.

**Erreurs de l'UO**
+ **Dépasse le nombre maximum de SCPs**

  Vous avez peut-être dépassé la limite des politiques de contrôle des services (SCPs) par unité d'organisation, ou vous avez peut-être atteint un autre quota. Une limite de 5 SCPs par unité d'organisation s'applique à toutes les personnes OUs présentes dans la zone de landing de votre AWS Control Tower. Si vous avez SCPs plus que le quota autorisé, vous devez supprimer ou combiner les SCPs.
+ **Conflit SCPs**

  L'existant SCPs peut être appliqué à l'unité d'organisation ou au compte, ce qui empêche AWS Control Tower d'enregistrer le compte. Vérifiez la politique appliquée SCPs qui pourrait empêcher le fonctionnement d'AWS Control Tower. Assurez-vous de vérifier ceux SCPs qui sont hérités du OUs niveau supérieur de la hiérarchie.
+ **Dépasse le quota défini pour les piles**

  Le quota du stack set a peut-être été dépassé. Si vous avez plus d'instances que le quota ne le permet, vous devez supprimer certaines instances de pile. Pour plus d'informations, consultez la section sur [AWS CloudFormation les quotas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html) dans le *guide de AWS CloudFormation l'utilisateur*.
+ **Dépasse la limite du compte**

  AWS Control Tower limite chaque UO à 1 000 comptes lors de l'enregistrement.

**Erreurs liées au compte**
+ **Contrôles préalables empêchés sur les comptes**

  Un SCP existant sur l'unité d'organisation empêche AWS Control Tower d'effectuer des vérifications préalables sur les comptes des membres de l'unité d'organisation. Pour résoudre cet échec de pré-vérification, mettez à jour ou supprimez le SCP de l'unité d'organisation.
+ **Erreur d'adresse e-mail**

  L'adresse e-mail que vous avez spécifiée pour le compte n'est pas conforme aux normes de dénomination. Voici l'expression régulière (regex) qui indique quels caractères sont autorisés : `[A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+`
+ **Enregistreur de configuration ou canal de diffusion activé**

  Le compte peut disposer d'un enregistreur AWS Config de configuration ou d'un canal de diffusion existant. Vous devez les supprimer ou les modifier AWS CLI dans toutes les AWS régions où le compte de gestion AWS Control Tower a régi les ressources, avant que vous ne puissiez créer un compte.
+ **STS désactivé**

  AWS Security Token Service (AWS STS) peut être désactivé dans le compte. AWS Les points de terminaison STS doivent être activés dans les comptes de toutes les régions prises en charge par AWS Control Tower.
+ **Conflit avec le centre d'identité IAM**

  La région d'origine d'AWS Control Tower n'est pas la même que la région AWS IAM Identity Center (IAM Identity Center). Si le centre d'identité IAM est déjà configuré, la région d'origine d'AWS Control Tower doit être identique à la région du centre d'identité IAM.
+ **Sujet SNS contradictoire**

  Le compte possède un nom de rubrique Amazon Simple Notification Service (Amazon SNS) que AWS Control Tower doit utiliser. AWS Control Tower crée des ressources (telles que des rubriques SNS) portant des noms spécifiques. Si ces noms sont déjà utilisés, la configuration d'AWS Control Tower échoue. Cette situation peut se produire si vous réutilisez un compte précédemment inscrit dans AWS Control Tower.
+ **Compte suspendu détecté**

  Ce compte a été suspendu. Il ne peut pas être inscrit dans AWS Control Tower. Supprimez le compte de cette unité d'organisation et réessayez.
+ **L'utilisateur IAM ne figure pas dans le portefeuille**

  Ajoutez l'utilisateur Gestion des identités et des accès AWS (IAM) au portefeuille Service Catalog avant d'enregistrer votre unité d'organisation. Cette erreur concerne uniquement le compte de gestion.
+ **Le compte ne répond pas aux prérequis**

  Le compte ne répond pas aux conditions requises pour l'inscription au compte. Par exemple, il se peut que le compte ne comporte pas les rôles et les autorisations nécessaires pour l'inscrire dans AWS Control Tower. Les instructions pour ajouter un rôle sont disponibles dans[Ajoutez manuellement le rôle IAM requis à un rôle existant Compte AWS et inscrivez-le](enroll-manually.md).

Pour rappel, elle AWS CloudTrail est automatiquement activée sur tous vos AWS comptes lorsque vous les inscrivez dans AWS Control Tower. Si cette option CloudTrail est activée sur un compte avant l'inscription, vous risquez de subir une double facturation, sauf si vous la désactivez CloudTrail avant de commencer le processus d'inscription.