Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Daftarkan unit organisasi yang ada dengan AWS Control Tower
Cara efisien untuk membawa banyak AWS akun yang sudah ada ke AWS Control Tower adalah dengan *memperluas tata kelola* oleh AWS Control Tower ke seluruh unit organisasi (OU).
Untuk mengaktifkan tata kelola AWS Control Tower atas OU yang sudah ada yang dibuat dengan AWS Organizations, dan akunnya, *daftarkan* OU dengan landing zone AWS Control Tower Anda. Anda dapat mendaftar OUs yang berisi hingga 1000 akun. Jika OU berisi lebih dari 1000 akun, Anda tidak dapat mendaftarkannya di AWS Control Tower.
Saat Anda mendaftarkan OU, akun anggotanya terdaftar ke zona landing zone AWS Control Tower. Mereka diatur oleh kontrol yang berlaku untuk OU mereka.
Dimulai dengan Landing Zone versi 4.0, Anda dapat langsung mengaktifkan kontrol pada OU. Kontrol Detektif memerlukan perekaman AWS Config yang dapat diaktifkan dengan mendaftarkan OU atau mengaktifkan perekaman AWS Config di OU. Register OU akan mengaktifkan`AWSControlTowerBaseline`. Aktifkan perekaman AWS Config akan diaktifkan. `ConfigBaseline` Untuk informasi selengkapnya, lihat [Jenis baseline](types-of-baselines.md) dan [**Panduan Referensi Kontrol AWS Control Tower**](link-to-new-guide.md)
**catatan**
Jika Anda belum memiliki zona landing zone AWS Control Tower, mulailah dengan menyiapkan landing zone, baik di organisasi baru yang dibuat oleh AWS Control Tower, atau di AWS Organizations organisasi yang sudah ada. Untuk detail selengkapnya tentang cara mengatur landing zone, lihat[Memulai AWS Control Tower](getting-started-with-control-tower.md).
**Apa yang terjadi pada akun saya ketika saya mendaftarkan OU saya?**
AWS Control Tower memerlukan izin untuk membuat akses tepercaya antara AWS CloudFormation dan AWS Organizations atas nama Anda, sehingga AWS CloudFormation dapat menerapkan tumpukan Anda ke akun di organisasi Anda secara otomatis.
+ `AWSControlTowerExecution`Peran ditambahkan ke semua akun dengan status **Tidak terdaftar**.
+ Kontrol wajib diaktifkan secara default ke OU Anda dan semua akunnya saat Anda mendaftarkan OU Anda.
**Pendaftaran sebagian akun setelah OU terdaftar**
Dimungkinkan untuk mendaftarkan OU dengan sukses, namun akun tertentu mungkin tetap tidak terdaftar. Jika demikian, akun-akun ini tidak memenuhi beberapa prasyarat untuk pendaftaran. Jika pendaftaran akun sebagai bagian dari proses **Register OU** tidak berhasil, status akun di halaman akun menunjukkan **Pendaftaran** gagal. Anda juga dapat melihat informasi akun di halaman OU Anda seperti **4 dari 5**, di bidang akun.
Misalnya, jika Anda melihat **4 dari 5**, itu berarti OU Anda memiliki 5 akun secara total, dan 4 di antaranya berhasil terdaftar, tetapi satu akun gagal **mendaftar selama proses Register OU**. Anda dapat memilih **Daftar Ulang OU** untuk membawa akun ke dalam pendaftaran, setelah Anda memastikan akun memenuhi prasyarat pendaftaran.
**Prasyarat pengguna IAM untuk mendaftarkan OU**
Identitas AWS Identity and Access Management (IAM) Anda (pengguna atau peran) atau identitas pengguna IAM Identity Center harus disertakan pada portofolio Account Factory yang sesuai ketika Anda melakukan operasi **Register OU**, meskipun Anda sudah memiliki `Admin` izin. Jika tidak, pembuatan produk yang disediakan akan gagal saat pendaftaran. Kegagalan terjadi karena AWS Control Tower bergantung pada kredensi pengguna IAM atau identitas pengguna IAM Identity Center saat mendaftarkan OU.
Portofolio yang relevan adalah portofolio yang dibuat oleh AWS Control Tower, yang disebut **AWS Control Tower Account Factory Portfolio**. Arahkan ke sana dengan memilih **Service Catalog > Account Factory > AWS Control Tower Account Factory Portfolio**. Kemudian pilih tab yang disebut **Grup, peran, dan pengguna** untuk melihat identitas IAM atau IAM Identity Center Anda. Untuk informasi selengkapnya tentang cara memberikan akses, lihat [dokumentasi untuk AWS Service Catalog.](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html)
# Daftarkan OU yang ada
Di konsol AWS Control Tower, di halaman **Organisasi**, Anda dapat melihat semua akun OUs dan organisasi Anda dalam hierarki, termasuk OUs yang terdaftar di AWS Control Tower, dan akun yang tidak terdaftar.
Secara umum, tidak terdaftar OUs dibuat di AWS Organizations, dan mereka tidak diatur oleh landing zone lainnya. Anda dapat mendaftarkan OUs yang sudah ada yang berisi hingga 1000 akun. Jika OU berisi lebih dari 1000 akun, Anda tidak dapat mendaftarkannya di AWS Control Tower.
**Untuk mendaftarkan OU yang ada dari konsol**
1. Masuk ke konsol AWS Control Tower di [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower).
1. **Di menu navigasi panel kiri, pilih Organisasi.**
1. Pada halaman **Organisasi**, pilih tombol radio di sebelah OU yang ingin Anda daftarkan, lalu pilih **Daftarkan unit organisasi** dari menu tarik-turun **Tindakan** di kanan atas, atau sebagai alternatif, pilih nama OU sehingga Anda dapat melihat halaman **detail OU** untuk OU itu.
1. Pada halaman **detail OU**, di kanan atas Anda dapat memilih **Register OU** dari menu dropdown **Actions**.
Proses pendaftaran membutuhkan waktu minimal 10 menit untuk memperpanjang tata kelola ke OU, dan hingga 2 menit tambahan untuk setiap akun tambahan.
**Untuk mendaftarkan OU yang ada dengan APIs**
Untuk mendaftarkan OU yang ada dengan AWS Control Tower APIs, Anda dapat memanggil `EnableBaseline` API dengan `baselineIdentifier` kolom `AWSControlTowerBaseline` in the. Untuk informasi selengkapnya, lihat [Mendaftarkan AWS Control Tower OU APIs hanya dengan](https://docs.aws.amazon.com//controltower/latest/userguide/walkthrough-baseline-steps.html).
**Hasil pendaftaran OU yang ada**
Setelah Anda mendaftarkan OU yang ada, `AWSControlTowerExecution` peran tersebut memungkinkan AWS Control Tower untuk memperluas tata kelola ke akun individualnya. Pagar pembatas diberlakukan, dan informasi tentang aktivitas akun dilaporkan ke akun audit dan pencatatan Anda.
Hasil lainnya termasuk yang berikut:
+ `AWSControlTowerExecution`memungkinkan audit oleh akun audit AWS Control Tower.
+ `AWSControlTowerExecution`membantu Anda mengonfigurasi pencatatan organisasi Anda, sehingga semua log untuk setiap akun dikirim ke akun logging.
+ `AWSControlTowerExecution`memastikan bahwa kontrol AWS Control Tower yang Anda pilih berlaku secara otomatis ke setiap akun individual di akun Anda OUs, serta setiap akun baru yang Anda buat di AWS Control Tower.
Untuk OU terdaftar, Anda dapat memberikan laporan kepatuhan dan keamanan berdasarkan fitur audit dan pencatatan yang terkandung dalam kontrol AWS Control Tower. Tim keamanan dan kepatuhan Anda dapat memverifikasi bahwa semua persyaratan terpenuhi, dan tidak ada penyimpangan organisasi yang terjadi. Untuk informasi lebih lanjut tentang drift, lihat[Mendeteksi dan mengatasi penyimpangan di AWS Control Tower](drift.md).
**catatan**
Satu situasi yang tidak biasa dapat terjadi ketika AWS Control Tower ditampilkan OUs dan akunnya. Jika Anda telah membuat akun di OU terdaftar dan kemudian Anda memindahkan akun terdaftar itu ke OU lain yang tidak terdaftar, terutama jika Anda menggunakannya AWS Organizations untuk memindahkan akun, Anda dapat melihat hasil akun “1 dari 0” di halaman detail OU Anda. Selain itu, Anda mungkin telah membuat akun lain yang tidak terdaftar di OU yang tidak terdaftar tersebut. Jika ada akun yang tidak terdaftar, konsol dapat membaca “1 dari 1" untuk OU. Tampaknya akun tunggal (yang baru dibuat) terdaftar, tetapi sebenarnya tidak. Anda harus mendaftarkan akun baru.
# Buat OU baru
Berikut cara membuat OU atau OU bersarang di AWS Control Tower.
**Untuk membuat OU baru di AWS Control Tower**
1. Arahkan ke halaman **Organisasi**.
1. Pilih **Buat unit organisasi** dari menu tarik-turun **Buat sumber daya** di kanan atas.
1. Tentukan nama di bidang **nama OU**.
1. Di dropdown **OU Induk**, Anda dapat melihat hierarki terdaftar. OUs Pilih OU induk untuk OU baru yang Anda buat.
1. Pilih **Tambahkan**.
**Tip**
Untuk menambahkan OU bersarang dalam langkah yang lebih sedikit, pilih nama OU induk yang ditampilkan dalam tabel di halaman **Organisasi**, lihat halaman **OU** untuk OU induk tersebut, lalu pilih **Tambahkan OU** dari menu tarik-turun **Tindakan** di kanan atas. OU baru dibuat sebagai OU bersarang di bawah OU yang Anda pilih, secara otomatis.
**catatan**
Jika landing zone Anda tidak up to date, Anda akan melihat daftar datar alih-alih hierarki di menu dropdown. Bahkan jika landing zone Anda termasuk nested OUs, Anda tidak akan melihat L5 OU di dropdown, karena Anda tidak dapat membuat OU baru di bawah L5 OU. Untuk informasi selengkapnya tentang nested OUs di AWS Control Tower, lihat[Bersarang OUs di AWS Control Tower](nested-ous.md).
# Hapus OU
AWS Control Tower mendukung tindakan konsol terpisah untuk *membatalkan pendaftaran* OU dan *menghapus* OU.
Menghapus OU adalah final. Itu tidak bisa dibatalkan.
**Pertimbangan-pertimbangan**
+ OU harus kosong dari akun untuk operasi **Delete** dan **Deregister** agar berhasil.
+ Semua kontrol opsional harus dihapus dari OU.
+ Anda harus membatalkan pendaftaran OU sebelum Anda menghapusnya.
+ Anda dapat menghapus OU dari AWS Control Tower dengan membatalkan pendaftarannya, tanpa menghapusnya.
**Untuk menghapus OU dari AWS Control Tower**
1. Masuk ke konsol AWS Control Tower di [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower).
1. Arahkan ke halaman **Organisasi**.
1. Pilih nama OU untuk melihat halaman **rincian OU**, dan pastikan bahwa semua akun dihapus dari OU.
1. Juga pada halaman **rincian OU**, pastikan bahwa semua kontrol opsional dihapus dari OU.
1. Kembali ke halaman **Organisasi** dan pilih tombol radio di sebelah OU.
1. Pilih **Deregister unit organisasi** dari menu dropdown **Tindakan** di kanan atas.
1. **Berhenti di sini** jika Anda tidak ingin menghapus OU sepenuhnya, hanya untuk membatalkan pendaftarannya dari AWS Control Tower. Untuk menghapus OU sepenuhnya, lanjutkan ke langkah berikutnya.
1. Untuk melanjutkan, pilih **Hapus** dari menu tarik-turun **Tindakan** di kanan atas.
Anda harus menunggu sampai proses deregistrasi selesai sebelum Anda dapat membatalkan pendaftaran OU lain.
**catatan**
Untuk menghapus akun yang dikelola oleh AWS Control Tower, Anda dapat menavigasi ke **pabrik Akun** dari panel navigasi kiri di konsol AWS Control Tower. Untuk menghapus akun di OU yang tidak dikelola oleh AWS Control Tower, buka AWS Organizations konsol.
[Untuk membatalkan pendaftaran OU secara terprogram, panggil API. `DisableBaseline`](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html)
# Penyebab umum kegagalan saat pendaftaran atau pendaftaran ulang
Secara umum, ketika Anda mendaftar atau mendaftarkan ulang OU, semua akun dalam OU tersebut terdaftar di AWS Control Tower. Namun, ada kemungkinan bahwa beberapa akun mungkin gagal mendaftar, bahkan jika OU secara keseluruhan berhasil terdaftar. Dalam kasus ini, Anda harus menyelesaikan kegagalan pra-pemeriksaan yang terkait dengan akun dan kemudian mencoba mendaftarkan kembali akun tersebut atau OU.
Jika pendaftaran (atau pendaftaran ulang) OU atau akun anggotanya gagal, AWS Control Tower mengembalikan pesan kesalahan untuk akun anggota yang terpengaruh. Anda dapat melihat pesan kesalahan pada halaman **rincian OU**, di mana tabel menggabungkan prechecks dan pesan kesalahan akun. Jika operasi **Register OU** gagal, tabel menunjukkan semua pesan kesalahan untuk semua akun di bawah OU. Jika diperlukan, Anda juga dapat melihat pesan kesalahan di halaman **Detail akun** untuk setiap akun.
Secara opsional, Anda dapat mengunduh file yang berisi laporan terperinci yang menunjukkan pra-pemeriksaan mana yang tidak lulus, untuk analisis offline. Anda dapat menyelesaikan unduhan dengan memilih tombol **Unduh**, yang muncul di kanan atas area pendaftaran.
Bagian ini mencantumkan jenis kesalahan yang mungkin Anda terima jika pra-pemeriksaan gagal, dan cara memperbaiki kesalahan.
**Kesalahan Zona Pendaratan**
+ **Zona pendaratan belum siap**
Setel ulang landing zone Anda saat ini, atau perbarui ke versi terbaru.
**Kesalahan OU**
+ **Melebihi jumlah maksimum SCPs**
Anda mungkin melebihi batas untuk kebijakan kontrol layanan (SCPs) per OU, atau Anda mungkin telah mencapai kuota lain. Batas 5 SCPs per OU berlaku untuk semua OUs di zona landing AWS Control Tower Anda. Jika Anda memiliki SCPs lebih dari kuota yang diizinkan, Anda harus menghapus atau menggabungkan. SCPs
+ **Bertentangan SCPs**
Yang ada SCPs dapat diterapkan ke OU atau akun, yang mencegah AWS Control Tower mendaftarkan akun. Periksa kebijakan apa pun SCPs yang berlaku yang dapat mencegah AWS Control Tower berfungsi. Pastikan untuk memeriksa SCPs yang diwarisi dari yang OUs lebih tinggi dalam hierarki.
+ **Melebihi kuota set tumpukan**
Kuota set tumpukan mungkin telah terlampaui. Jika Anda memiliki lebih banyak instance daripada yang diizinkan oleh kuota, Anda harus menghapus beberapa instance tumpukan. Untuk informasi lebih lanjut, lihat [kuota AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html) dalam *Panduan Pengguna AWS CloudFormation *.
+ **Melebihi batas akun**
AWS Control Tower membatasi setiap OU hingga 1000 akun selama pendaftaran.
**Kesalahan akun**
+ **Pra-cek dicegah pada akun**
SCP yang ada di OU mencegah AWS Control Tower melakukan pra-pemeriksaan pada akun anggota OU Anda. Untuk mengatasi kegagalan pra-pemeriksaan ini, perbarui atau hapus SCP dari OU.
+ **Kesalahan alamat email**
Alamat email yang Anda tentukan untuk akun tidak sesuai dengan standar penamaan. Berikut adalah ekspresi reguler (regex) yang menentukan karakter mana yang diizinkan: `[A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+`
+ **Perekam konfigurasi atau saluran pengiriman diaktifkan**
Akun mungkin memiliki perekam AWS Config konfigurasi atau saluran pengiriman yang ada. Ini harus dihapus atau dimodifikasi melalui di semua AWS Wilayah AWS CLI di mana akun manajemen AWS Control Tower telah mengatur sumber daya, sebelum Anda dapat mendaftarkan akun.
+ **STS dinonaktifkan**
AWS Security Token Service (AWS STS) dapat dinonaktifkan di akun. AWS Titik akhir STS harus diaktifkan di akun untuk semua Wilayah yang didukung oleh AWS Control Tower.
+ **Konflik Pusat Identitas IAM**
Wilayah rumah AWS Control Tower tidak sama dengan Wilayah AWS IAM Identity Center (IAM Identity Center). Jika Pusat Identitas IAM sudah disiapkan, wilayah asal AWS Control Tower harus sama dengan Wilayah Pusat Identitas IAM.
+ **Topik SNS yang bertentangan**
Akun ini memiliki nama topik Amazon Simple Notification Service (Amazon SNS) yang perlu digunakan AWS Control Tower. AWS Control Tower membuat sumber daya (seperti topik SNS) dengan nama tertentu. Jika nama-nama ini sudah diambil, penyiapan AWS Control Tower gagal. Situasi ini dapat terjadi jika Anda menggunakan kembali akun yang sebelumnya terdaftar di AWS Control Tower.
+ **Akun yang ditangguhkan terdeteksi**
Akun ini telah ditangguhkan. Itu tidak dapat didaftarkan ke AWS Control Tower. Hapus akun dari OU ini, dan coba lagi.
+ **Pengguna IAM tidak dalam portofolio**
Tambahkan pengguna AWS Identity and Access Management (IAM) ke portofolio Service Catalog sebelum mendaftarkan OU Anda. Kesalahan ini hanya berkaitan dengan akun manajemen.
+ **Akun tidak memenuhi prasyarat**
Akun tidak memenuhi prasyarat untuk pendaftaran akun. Misalnya, akun mungkin kehilangan peran dan izin yang diperlukan untuk mendaftarkannya di AWS Control Tower. Petunjuk untuk menambahkan peran tersedia di[Tambahkan peran IAM yang diperlukan secara manual ke yang sudah ada Akun AWS dan daftarkan](enroll-manually.md).
Sebagai pengingat, AWS CloudTrail diaktifkan secara otomatis di semua AWS akun Anda saat Anda mendaftarkannya di AWS Control Tower. Jika CloudTrail diaktifkan pada akun sebelum pendaftaran, Anda dapat mengalami penagihan ganda kecuali Anda menonaktifkan CloudTrail sebelum memulai proses pendaftaran.