Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tentang mendaftarkan akun yang ada
Anda dapat memperluas tata kelola AWS Control Tower ke individu, yang ada Akun AWS saat Anda *mendaftarkannya* ke unit organisasi (OU) yang sudah diatur oleh AWS Control Tower. Akun yang memenuhi syarat ada di *tidak terdaftar OUs yang merupakan bagian dari AWS Organizations organisasi yang sama dengan* AWS Control Tower OU.
Ada beberapa metode untuk mendaftarkan akun ke AWS Control Tower. **Informasi di halaman ini berlaku untuk semua metode pendaftaran.**
**catatan**
Anda tidak dapat mendaftarkan AWS akun yang ada untuk dijadikan akun audit atau arsip log Anda kecuali selama penyiapan landing zone awal.
## Apa yang terjadi selama pendaftaran akun
Selama proses pendaftaran, AWS Control Tower melakukan tindakan berikut:
+ Memberi dasar akun, yang mencakup penerapan kumpulan tumpukan ini:
+ `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
+ `AWSControlTowerBP-BASELINE-CLOUDWATCH`
+ `AWSControlTowerBP-BASELINE-CONFIG`
+ `AWSControlTowerBP-BASELINE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
+ `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`
Sebaiknya tinjau templat kumpulan tumpukan ini dan pastikan templat tersebut tidak bertentangan dengan kebijakan Anda yang ada.
+ Mengidentifikasi akun melalui AWS IAM Identity Center atau AWS Organizations.
+ Menempatkan akun ke dalam OU yang telah Anda tentukan. Pastikan untuk menerapkan semua SCPs yang diterapkan dalam OU saat ini, sehingga postur keamanan Anda tetap konsisten.
+ Menerapkan kontrol wajib ke akun dengan cara SCPs yang berlaku untuk OU yang dipilih secara keseluruhan.
+ Mengaktifkan AWS Config dan mengonfigurasinya untuk merekam semua sumber daya di akun.
+ Menambahkan AWS Config aturan yang menerapkan kontrol detektif AWS Control Tower ke akun.
**Akun dan jejak tingkat organisasi CloudTrail**
Untuk landing zone versi 3.1 dan yang lebih baru, jika Anda telah memilih AWS CloudTrail integrasi opsional dalam pengaturan landing zone:
Semua akun anggota dalam OU diatur oleh AWS CloudTrail jejak untuk OU, terdaftar atau tidak.
Saat Anda mendaftarkan akun ke AWS Control Tower, akun Anda diatur oleh AWS CloudTrail jejak untuk organisasi baru. Jika Anda memiliki penerapan CloudTrail jejak yang sudah ada, Anda mungkin melihat biaya duplikat kecuali Anda menghapus jejak yang ada untuk akun tersebut sebelum Anda mendaftarkannya di AWS Control Tower.
Jika Anda memindahkan akun ke OU terdaftar—misalnya melalui AWS Organizations konsol atau APIs —Anda mungkin ingin menghapus jejak tingkat akun yang tersisa untuk akun tersebut. Jika Anda memiliki penyebaran CloudTrail jejak yang ada, Anda akan dikenakan biaya duplikat CloudTrail .
Jika Anda memperbarui landing zone dan memilih untuk keluar dari jalur tingkat organisasi, atau jika landing zone Anda lebih tua dari versi 3.0, CloudTrail jejak tingkat organisasi tidak berlaku untuk akun Anda.
## Daftarkan akun yang ada dengan VPCs
AWS Control Tower menangani VPCs secara berbeda saat Anda menyediakan akun baru di Account Factory dibandingkan saat Anda mendaftarkan akun yang sudah ada.
+ Saat Anda membuat akun baru, AWS Control Tower secara otomatis menghapus VPC AWS default dan membuat VPC baru untuk akun tersebut.
+ Saat Anda mendaftarkan akun yang sudah ada, AWS Control Tower tidak membuat VPC baru untuk akun tersebut.
+ Saat Anda mendaftarkan akun yang sudah ada, AWS Control Tower tidak menghapus VPC yang ada atau VPC AWS default yang terkait dengan akun tersebut.
**Tip**
Anda dapat mengubah perilaku default untuk akun baru dengan mengonfigurasi Account Factory, sehingga tidak menyiapkan VPC secara default untuk akun di organisasi Anda di bawah AWS Control Tower. Untuk informasi selengkapnya, lihat [Membuat Akun di AWS Control Tower Tanpa VPC](configure-without-vpc.md#create-without-vpc).
## Daftarkan akun dengan sumber daya AWS Config
Akun yang akan didaftarkan tidak boleh memiliki AWS Config sumber daya yang ada. Lihat [Mendaftarkan akun yang memiliki AWS Config sumber daya yang ada](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html).
Berikut adalah beberapa contoh perintah AWS Config CLI yang dapat Anda gunakan untuk menentukan status AWS Config sumber daya akun Anda yang ada, seperti perekam konfigurasi dan saluran pengiriman.
**Lihat perintah:**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`
Respon normal adalah sesuatu seperti `"name": "default"`
**Hapus perintah:**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
**Contoh untuk menambahkan `AWSControlTowerExecution` peran**
Template YAMB berikut dapat membantu Anda membuat peran yang diperlukan dalam akun, sehingga dapat didaftarkan secara terprogram.
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
account as a target account in AWS CloudFormation StackSets.
Parameters:
AdministratorAccountId:
Type: String
Description: AWS Account Id of the administrator account (the account in which
StackSets will be created).
MaxLength: 12
MinLength: 12
Resources:
ExecutionRole:
Type: AWS::IAM::Role
Properties:
RoleName: AWSControlTowerExecution
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref AdministratorAccountId
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```