Prasyarat untuk pendaftaran - AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk pendaftaran

Bagian ini menjelaskan cara mendaftarkan AWS akun yang ada ke AWS Control Tower jika Anda belum memilih fitur pendaftaran otomatis opsional di halaman Pengaturan landing zone, atau jika Anda beroperasi dengan versi landing zone sebelum 3.1.

Prasyarat ini diperlukan sebelum Anda dapat mendaftarkan yang sudah ada di AWS Control Akun AWS Tower:

catatan

Prasyarat untuk menambahkan AWSControlTowerExecution peran tidak diperlukan jika Anda telah mengaktifkan kemampuan pendaftaran otomatis AWS Control Tower di halaman Pengaturan landing zone, atau jika Anda mendaftarkan akun sebagai bagian dari proses Register OU. Namun, dalam semua kasus, akun yang akan didaftarkan mungkin tidak memiliki AWS Config sumber daya yang ada. Lihat Mendaftarkan akun yang memiliki sumber daya yang ada AWS Config

  1. Untuk mendaftarkan yang sudah ada Akun AWS, AWSControlTowerExecution peran harus ada di akun yang Anda daftarkan. Anda dapat meninjau Daftarkan akun untuk detail dan instruksi.

  2. Selain AWSControlTowerExecution peran, yang sudah ada yang ingin Akun AWS Anda daftarkan harus memiliki izin dan hubungan kepercayaan berikut. Jika tidak, pendaftaran akan gagal.

    Izin Peran: AdministratorAccess (kebijakan AWS terkelola)

    Hubungan Kepercayaan Peran:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Kami menyarankan agar akun tidak memiliki perekam AWS Config konfigurasi atau saluran pengiriman. Ini dapat dihapus atau dimodifikasi melalui AWS CLI sebelum Anda dapat mendaftarkan akun. Jika tidak, tinjau Daftarkan akun yang memiliki AWS Config sumber daya yang ada untuk petunjuk tentang cara memodifikasi sumber daya yang ada.

  4. Akun yang ingin Anda daftarkan harus ada di AWS Organizations organisasi yang sama dengan akun manajemen AWS Control Tower. Akun yang ada hanya dapat didaftarkan ke organisasi yang sama dengan akun manajemen AWS Control Tower, di OU yang sudah terdaftar di AWS Control Tower.

Untuk memeriksa prasyarat lain untuk pendaftaran, lihat Memulai AWS Control Tower.

catatan

Saat Anda mendaftarkan akun ke AWS Control Tower, akun Anda diatur oleh AWS CloudTrail jejak untuk organisasi AWS Control Tower. Jika Anda memiliki penerapan CloudTrail jejak yang sudah ada, Anda mungkin melihat biaya duplikat kecuali Anda menghapus jejak yang ada untuk akun tersebut sebelum Anda mendaftarkannya di AWS Control Tower.

Tentang akses tepercaya dengan AWSControTowerExecution peran

Sebelum Anda dapat mendaftarkan yang sudah ada Akun AWS ke AWS Control Tower, Anda harus memberikan izin kepada AWS Control Tower untuk mengelola, atau mengatur, akun tersebut. Secara khusus, AWS Control Tower memerlukan izin untuk membuat akses tepercaya antara AWS CloudFormation dan AWS Organizations atas nama Anda, sehingga CloudFormation dapat menerapkan tumpukan Anda secara otomatis ke akun di organisasi yang Anda pilih. Dengan akses tepercaya ini, AWSControlTowerExecution peran melakukan aktivitas yang diperlukan untuk mengelola setiap akun. Itu sebabnya Anda harus menambahkan peran ini ke setiap akun sebelum Anda mendaftarkannya.

Ketika akses tepercaya diaktifkan, CloudFormation dapat membuat, memperbarui, atau menghapus tumpukan di beberapa akun dan Wilayah AWS dengan satu operasi. AWS Control Tower mengandalkan kemampuan kepercayaan ini sehingga dapat menerapkan peran dan izin ke akun yang ada sebelum memindahkannya ke unit organisasi terdaftar, dan dengan demikian membawa mereka di bawah tata kelola.

Untuk mempelajari lebih lanjut tentang akses tepercaya dan AWS CloudFormation StackSets, lihat AWS CloudFormationStackSetsdan AWS Organizations.