Enregistrer un compte existant depuis la console AWS Control Tower

• La fonctionnalité d'inscription d'un compte disponible dans la console AWS Control Tower est destinée à l'enregistrement des comptes existants Comptes AWS afin qu'ils soient régis par AWS Control Tower. Pour plus d'informations, voir Inscrire un existant Compte AWS.

• La fonctionnalité d'inscription basée sur la console est disponible lorsque votre zone d'atterrissage n'est pas en état de dérive. Si votre zone de destination est en état de dérive, il se peut que vous ne puissiez pas utiliser la fonction Inscrire un compte avec succès. Vous devrez créer de nouveaux comptes via Account Factory ou une autre méthode, jusqu'à ce que la dérive de votre zone d'atterrissage soit résolue.

• Lorsque vous enregistrez des comptes depuis la console AWS Control Tower, vous devez être connecté à un compte dont la AWSServiceCatalogEndUserFullAccess politique est activée, ainsi que des autorisations d'accès d'administrateur pour utiliser la console AWS Control Tower, et vous ne pouvez pas être connecté en tant qu'utilisateur root.

• Les comptes que vous inscrivez peuvent être mis à jour par le biais de l'AWS Control Tower Account Factory, comme vous le feriez pour tout autre compte. Les procédures de mise à jour sont indiquées dans la section appelée Mettez à jour et déplacez des comptes avec AWS Control Tower.

Pour inscrire un compte individuel dans AWS Control Tower depuis la console

• Accédez à la page d'organisation d'AWS Control Tower.

• Sur la page Organisation, les comptes éligibles à l'inscription vous permettent de sélectionner S'inscrire dans le menu déroulant Actions en haut de la section. Ces comptes affichent également un bouton d'inscription lorsque vous les consultez sur la page des détails du compte.

• Lorsque vous choisissez Enregistrer un compte, vous verrez une page d'inscription sur laquelle vous êtes invité à ajouter le AWSControlTowerExecution rôle au compte. Pour obtenir des instructions, voirAjoutez manuellement le rôle IAM requis à un rôle existant Compte AWS et inscrivez-le.

• Sélectionnez ensuite une unité d'organisation enregistrée dans la liste déroulante. Si le compte se trouve déjà dans une unité d'organisation enregistrée, cette liste affichera l'unité d'organisation.

• Choisissez Inscrire un compte.

• Vous verrez un rappel modal vous demandant d'ajouter le AWSControlTowerExecution rôle et de confirmer l'action.

• Choisissez S'inscrire.

• AWS Control Tower lance le processus d'inscription et vous êtes redirigé vers la page des détails du compte.

• Pour inscrire un compte existant, le AWSControlTowerExecution rôle doit être présent dans le compte que vous inscrivez.

• Votre principal IAM peut ne pas disposer des autorisations nécessaires pour provisionner un compte.

• AWS Security Token Service (AWS STS) est désactivé Compte AWS dans votre région d'origine ou dans toute région prise en charge par AWS Control Tower.

• Vous êtes peut-être connecté à un compte qui doit être ajouté à Account Factory Portfolio in AWS Service Catalog. Le compte doit être ajouté pour que vous puissiez accéder à Account Factory afin que vous puissiez créer ou enregistrer un compte dans AWS Control Tower. Si l'utilisateur ou le rôle approprié n'est pas ajouté au portefeuille Account Factory, vous recevrez un message d'erreur lorsque vous tenterez d'ajouter un compte. Pour savoir comment accorder l'accès aux AWS Service Catalog portefeuilles, consultez la section Accorder l'accès aux utilisateurs.

• Vous pouvez être connecté en tant que racine.

• Le compte que vous essayez d'enregistrer comporte peut-être des AWS Config paramètres résiduels. En particulier, le compte peut disposer d'un enregistreur de configuration ou d'un canal de diffusion. Vous devez les supprimer ou les modifier AWS CLI avant de pouvoir créer un compte. Pour plus d’informations, consultez Inscrire des comptes disposant de ressources existantes AWS Config et Interagissez avec AWS Control Tower via AWS CloudShell.

• Si le compte appartient à une autre unité d'organisation dotée d'un compte de gestion, y compris une autre unité d'organisation AWS Control Tower, vous devez résilier le compte dans son unité d'organisation actuelle avant qu'il ne puisse rejoindre une autre unité d'organisation. Les ressources existantes doivent être supprimées dans l'unité d'organisation d'origine. Sinon, l'inscription échouera.

• Le provisionnement et l'inscription du compte échouent si les unités d'organisation de votre destination SCPs ne vous permettent pas de créer toutes les ressources requises pour ce compte. Par exemple, un SCP dans votre unité d'organisation de destination peut bloquer la création de ressources sans certaines balises. Dans ce cas, le provisionnement ou l'inscription du compte échouent, car AWS Control Tower ne prend pas en charge le balisage des ressources. Pour obtenir de l'aide, contactez le représentant de votre compte, ou Support.

Recommandé : vous pouvez configurer une approche en deux étapes pour l'inscription de compte

• Tout d'abord, utilisez un pack de AWS Config conformité pour évaluer dans quelle mesure vos comptes peuvent être affectés par certains contrôles de l'AWS Control Tower. Pour déterminer dans quelle mesure l'inscription à AWS Control Tower peut affecter vos comptes, consultez Étendre la gouvernance d'AWS Control Tower à l'aide de packs de AWS Config conformité.

• Ensuite, vous pouvez inscrire le compte. Si les résultats de conformité sont satisfaisants, le chemin de migration est plus facile car vous pouvez inscrire le compte sans conséquences inattendues.

• Une fois votre évaluation terminée, si vous décidez de configurer une zone d'atterrissage AWS Control Tower, vous devrez peut-être supprimer le canal de AWS Config diffusion et l'enregistreur de configuration créés pour votre évaluation. Vous serez alors en mesure de configurer AWS Control Tower avec succès.