Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Prerequisiti per l'iscrizione
Questa sezione descrive come registrare un AWS account esistente in AWS Control Tower se non hai selezionato la funzionalità opzionale di registrazione automatica nella pagina delle impostazioni della landing zone o se utilizzi una versione della landing zone precedente alla 3.1.
Questi prerequisiti sono necessari prima di poter registrare un account esistente Account AWS in AWS Control Tower:
Nota
Il prerequisito per aggiungere il AWSControlTowerExecution ruolo non è necessario se hai attivato la funzionalità di registrazione automatica di AWS Control Tower nella pagina delle impostazioni della landing zone o se stai registrando l'account come parte di un processo di registrazione dell'account. Tuttavia, in tutti i casi, l'account da registrare potrebbe non disporre di risorse esistenti. AWS Config Vedi Registrare account che dispongono di risorse esistenti AWS Config
-
Per iscrivere un account esistente Account AWS, il
AWSControlTowerExecutionruolo deve essere presente nell'account che stai registrando. Puoi consultare Registra un account per dettagli e istruzioni. -
Oltre al
AWSControlTowerExecutionruolo, l'esistente che Account AWS desideri iscrivere deve disporre delle seguenti autorizzazioni e relazioni di fiducia. In caso contrario, la registrazione avrà esito negativo.Autorizzazione del ruolo:
AdministratorAccess(politica AWS gestita)Ruolo, relazione di fiducia:
-
È consigliabile che l'account non disponga di un registratore di AWS Config configurazione o di un canale di distribuzione. Questi possono essere eliminati o modificati AWS CLI prima di poter registrare un account. Altrimenti, consulta gli account Enroll che dispongono di AWS Config risorse esistenti per istruzioni su come modificare le risorse esistenti.
-
L'account che desideri registrare deve appartenere alla stessa AWS Organizations organizzazione dell'account di gestione AWS Control Tower. L'account esistente può essere registrato solo nella stessa organizzazione dell'account di gestione AWS Control Tower, in un'unità organizzativa già registrata presso AWS Control Tower.
Per verificare altri prerequisiti per l'iscrizione, consulta Getting Started with AWS Control Tower.
Nota
Quando registri un account in AWS Control Tower, il tuo account è regolato dal AWS CloudTrail percorso dell'organizzazione AWS Control Tower. Se disponi già di una distribuzione di un CloudTrail trail, potresti riscontrare addebiti duplicati, a meno che non elimini il trail esistente per l'account prima di registrarlo in AWS Control Tower.
Informazioni sull'accesso affidabile con il ruolo AWSControTowerExecution
Prima di poter registrare un account esistente Account AWS in AWS Control Tower, devi autorizzare AWS Control Tower a gestire o governare l'account. In particolare, AWS Control Tower richiede l'autorizzazione per stabilire un accesso affidabile tra AWS CloudFormation e AWS Organizations per tuo conto, in modo da CloudFormation poter distribuire automaticamente lo stack agli account dell'organizzazione selezionata. Con questo accesso affidabile, il AWSControlTowerExecution ruolo svolge le attività necessarie per gestire ogni account. Ecco perché è necessario aggiungere questo ruolo a ciascun account prima di registrarlo.
Quando l'accesso affidabile è abilitato, CloudFormation puoi creare, aggiornare o eliminare pile su più account e Regioni AWS con un'unica operazione. AWS Control Tower si affida a questa funzionalità di fiducia in modo da poter applicare ruoli e autorizzazioni agli account esistenti prima di trasferirli in un'unità organizzativa registrata e quindi sottoporli alla governance.
