As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Sobre como inscrever contas existentes
<a name="enroll-account"></a>

Você pode estender a governança da AWS Control Tower para um indivíduo, existente Conta da AWS quando você o *inscreve* em uma unidade organizacional (OU) que já é governada pela AWS Control Tower. Existem contas qualificadas em *pessoas não registradas OUs que fazem parte da mesma AWS Organizations organização da* OU do AWS Control Tower.

Existem vários métodos para inscrever contas no AWS Control Tower. **As informações nesta página se aplicam a todos os métodos de inscrição.**

**nota**  
Você não pode inscrever uma AWS conta existente para servir como sua conta de auditoria ou arquivamento de registros, exceto durante a configuração inicial do landing zone.

## O que acontece durante a inscrição da conta
<a name="what-happens-during-account-enrollment"></a>

Durante o processo de inscrição, o AWS Control Tower executa estas ações:
+ Aplicar linhas de base à conta, que inclui a implantação destes conjuntos de pilhas:
  + `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
  + `AWSControlTowerBP-BASELINE-CLOUDWATCH`
  + `AWSControlTowerBP-BASELINE-CONFIG`
  + `AWSControlTowerBP-BASELINE-ROLES`
  + `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
  + `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
  + `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`

  É uma boa ideia revisar os modelos desses conjuntos de pilhas e verificar se eles não entram em conflito com suas políticas existentes.
+ Identifica a conta por meio de Centro de Identidade do AWS IAM ou AWS Organizations.
+ Coloca a conta na UO especificada. Certifique-se de aplicar tudo o SCPs que é aplicado na OU atual, para que sua postura de segurança permaneça consistente.
+ Aplica controles obrigatórios à conta por meio dos SCPs que se aplicam à OU selecionada como um todo.
+ Ativa AWS Config e configura para registrar todos os recursos na conta.
+ Adiciona as AWS Config regras que aplicam os controles de detetive do AWS Control Tower à conta.

**Trilhas em nível de contas e organização CloudTrail**  
Para as versões 3.1 e posteriores da zona de pouso, se você selecionou a integração opcional do AWS CloudTrail nas configurações da zona de pouso:  
Todas as contas de membros em uma OU são regidas pela AWS CloudTrail trilha da OU, inscritas ou não.
Quando você inscreve uma conta no AWS Control Tower, ela é administrada pela trilha do AWS CloudTrail da nova organização. Se você já tiver uma implantação de uma CloudTrail trilha, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la no AWS Control Tower. 
Se você mover uma conta para uma OU registrada, por exemplo, por meio do AWS Organizations console ou, APIs talvez queira remover todas as trilhas restantes no nível da conta. Se você já tiver uma implantação de uma CloudTrail trilha, você incorrerá em cobranças duplicadas. CloudTrail 
Se você atualizar sua landing zone e optar por não receber trilhas em nível organizacional, ou se sua landing zone for anterior à versão 3.0, as trilhas em nível organizacional não se aplicarão às suas CloudTrail contas.

## Inscreva contas existentes com VPCs
<a name="enroll-existing-accounts-with-vpcs"></a>

O AWS Control Tower lida VPCs de forma diferente quando você provisiona uma nova conta no Account Factory do que quando você inscreve uma conta existente.
+ Quando você cria uma conta, o AWS Control Tower remove automaticamente a VPC padrão da AWS e cria uma VPC para essa conta.
+ Quando você registra uma conta existente, o AWS Control Tower não cria uma VPC para essa conta.
+ Quando você inscreve uma conta existente, o AWS Control Tower não remove nenhuma VPC existente ou VPC AWS padrão associada à conta.

**dica**  
É possível alterar o comportamento padrão de novas contas configurando o Account Factory, para que uma VPC não seja configurada por padrão para contas na organização no AWS Control Tower. Para obter mais informações, consulte [Criar uma conta no AWS Control Tower sem uma VPC](configure-without-vpc.md#create-without-vpc).

## Inscrever contas com recursos AWS Config
<a name="example-config-cli-commands"></a>

A conta a ser inscrita não deve ter AWS Config recursos existentes. Consulte [Inscrever contas que tenham AWS Config recursos existentes](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html).

Aqui estão alguns exemplos de comandos da AWS Config CLI que você pode usar para determinar o status dos AWS Config recursos existentes da sua conta, como o gravador de configuração e o canal de entrega.

**Comandos de exibição:**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`

A resposta normal é algo como `"name": "default"`

**Comandos de exclusão:**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`

# Pré-requisitos da inscrição
<a name="enrollment-prerequisites"></a>

*Esta seção descreve como inscrever uma AWS conta existente no AWS Control Tower se você não tiver selecionado o recurso opcional de inscrição automática na página de **configurações** da zona de destino ou se estiver operando com uma versão da zona de pouso anterior à 3.1.*

Esses pré-requisitos são necessários antes que você possa inscrever um existente no AWS Control Conta da AWS Tower:

**nota**  
O pré-requisito para adicionar a função `AWSControlTowerExecution` não é necessário se você tiver ativado o recurso de inscrição automática do AWS Control Tower na página de **configurações** da zona de pouso ou se estiver inscrevendo a conta como parte de um processo de **registro da UO**. No entanto, em todos os casos, a conta a ser inscrita pode não ter AWS Config recursos existentes. Consulte [Inscrever contas que tenham recursos existentes AWS Config](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)

1. Para cadastrar uma existente Conta da AWS, a `AWSControlTowerExecution` função deve estar presente na conta que você está cadastrando. Você pode consultar detalhes e instruções em [Enroll an account](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html). 

1. Além do perfil `AWSControlTowerExecution`, a Conta da AWS existente que você deseja inscrever deve ter as seguintes permissões e relações de confiança estabelecidas. Caso contrário, o registro falhará.

   Permissão de função: `AdministratorAccess` (política AWS gerenciada)

   **Relação de confiança da função:**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Recomendamos que a conta não tenha um gravador AWS Config de configuração ou canal de entrega. Eles podem ser excluídos ou modificados pela AWS CLI antes que você possa inscrever uma conta. Caso contrário, consulte [Inscrever contas que tenham AWS Config recursos existentes](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html) para obter instruções sobre como você pode modificar seus recursos existentes.

1. A conta que você deseja inscrever deve existir na mesma organização do AWS Organizations como a conta de gerenciamento do AWS Control Tower. A conta que existe podem ser inscritas *apenas* na mesma organização da conta de gerenciamento do AWS Control Tower, em uma UO que já esteja registrada no AWS Control Tower. 

Consulte outros pré-requisitos de inscrição em [Getting Started with AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-with-control-tower.html).

**nota**  
Quando você inscreve uma conta no AWS Control Tower, ela é administrada pela trilha do AWS CloudTrail da organização do AWS Control Tower. Se você já tiver uma implantação de uma CloudTrail trilha, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la no AWS Control Tower.

**Sobre o acesso confiável com a função `AWSControTowerExecution`**

*Antes de inscrever um existente Conta da AWS no AWS Control Tower, você deve dar permissão para que o AWS Control Tower gerencie ou controle a conta.* Especificamente, o AWS Control Tower exige permissão para estabelecer um acesso confiável entre AWS CloudFormation e AWS Organizations em seu nome, para que CloudFormation você possa implantar sua pilha automaticamente nas contas da organização selecionada. Com esse acesso confiável, o perfil `AWSControlTowerExecution` realiza as atividades necessárias para gerenciar cada conta. É por isso que você deve adicionar esse perfil a cada conta antes de inscrevê-la.

 Quando o acesso confiável está ativado, CloudFormation pode criar, atualizar ou excluir pilhas em várias contas e Regiões da AWS com uma única operação. O AWS Control Tower depende dessa capacidade de confiança para poder aplicar perfis e permissões às contas existentes antes de transferi-las a uma unidade organizacional registrada e, assim, colocá-las sob governança.

[Para saber mais sobre acesso confiável e AWS CloudFormationStackSets, consulte AWS CloudFormationStackSetsAWS Organizations e.](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) 

# Mova e registre contas com inscrição automática
<a name="account-auto-enrollment"></a>

O atributo de inscrição automática da conta está disponível para zonas de pouso da versão 3.1 e superior.

 Se você habilitar opcionalmente esse recurso, poderá utilizar o console AWS Organizations APIs e para mover contas para o AWS Control Tower, sem criar um [https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html). A conta recebe automaticamente os recursos de linha de base e as configurações de controle da unidade organizacional (UO) de destino no AWS Control Tower. Esse recurso opcional também permite que você mova contas entre OUs dentro do AWS Control Tower, sem criar um desvio de herança, se as duas OUs tiverem a mesma configuração básica e os mesmos controles habilitados.

**Para ativar a inscrição automática:** **você pode selecionar a inscrição automática de contas na página de **configurações** da landing zone no console da AWS Control Tower, ou ligando para a AWS Control Tower `CreateLandingZone` ou `UpdateLandingZone` APIs, com o valor do `RemediationType` parâmetro definido como Inheritance Drift.**

**Para aplicar a inscrição automática:** depois de selecionar essa opção na sua página de **configurações**, você pode mover uma conta por meio do AWS Organizations console, da AWS Organizations `MoveAccount` API ou do console do AWS Control Tower.

**Para cancelar o registro de uma conta com inscrição automática:** se você mover uma conta para fora de uma UO registrada, o AWS Control Tower removerá automaticamente todos os recursos e controles básicos implantados.

**nota**  
Se a origem e o destino OUs no AWS Control Tower tiverem configurações diferentes, a conta poderá apresentar [Conta de membro migrada](governance-drift.md#drift-account-moved) desvios. 

## Pré-requisitos: configurar para inscrição automática
<a name="w2aac44c24c18c15"></a>
+ É preciso executar a zona de pouso do AWS Control Tower versão 3.1 ou posterior.
+  Opte pelo recurso de inscrição automática do AWS Control Tower por meio da página de **configurações** da zona de pouso no console ou por meio da zona de pouso do AWS Control Tower APIs, definindo o valor do `RemediationTypes` parâmetro como. `Inheritance Drift` Quando você se inscreve, o AWS Control Tower reage aos `move account` eventos e corrige imediatamente o desvio de herança das contas movidas, em seu nome. AWS Organizations

## Permissões obrigatórias
<a name="w2aac44c24c18c17"></a>

 Funções e permissões específicas são necessárias para que você use a AWS Organizations `CreateAccount` API e a `MoveAccount` API. Para obter mais informações sobre o uso AWS Organizations com o AWS Control Tower, consulte [AWS Control Tower AWS Organizations e.](https://docs.aws.amazon.com//organizations/latest/userguide/services-that-can-integrate-CTower.html) 

## Exemplos de uso de API
<a name="w2aac44c24c18c19"></a>

Para obter mais informações e exemplos sobre isso APIs, consulte [https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html)e [https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html)na *Referência da AWS Organizations API*. 

## Considerações
<a name="w2aac44c24c18c21"></a>
+  **Cronograma de inscrição:** uma conta transferida para uma UO registrada no AWS Control Tower é cadastrada com um modelo de *consistência eventual*. Esse processo normalmente leva alguns minutos, até várias horas, dependendo do número de contas que estão sendo movidas. 
+  **Processo de cancelamento de inscrição:** você pode usar o mesmo processo para cancelar o registro de suas contas no AWS Control Tower, movendo-as para uma UO fora do AWS Control Tower. Esse processo remove todas as funções e recursos implantados pelo AWS Control Tower e todos os controles habilitados no AWS Control Tower. 

# Inscrever uma conta existente pelo console do AWS Control Tower
<a name="quick-account-provisioning"></a>

Existem duas formas comuns de inscrever um indivíduo Conta da AWS no AWS Control Tower. 

1. Depois de selecionar o recurso de *inscrição automática* na página de **configurações**, você pode criar uma Conta da AWS parte externa do AWS Control Tower e movê-la diretamente para uma OU registrada. Para obter mais informações, consulte [Mover e registrar contas automaticamente](https://docs.aws.amazon.com//controltower/latest/userguide/account-auto-enroll.html). Essa opção só está disponível nas versões da zona de pouso 3.1 e posteriores.

1. É possível inscrever manualmente uma conta existente pelo console do AWS Control Tower.

**As seções a seguir descrevem a segunda opção,** que não exige nenhuma configuração prévia do seu ambiente do AWS Control Tower. Eles Conta da AWS devem atender aos [pré-requisitos](https://docs.aws.amazon.com//controltower/latest/userguide/enrollment-prerequisites.html) exigidos.

**Veja suas contas qualificadas no console:**

1. Acesse a página **Organização** no AWS Control Tower.

1. Encontre o nome da conta que você deseja inscrever. Para encontrá-la, escolha **Somente contas** no menu suspenso no canto superior direito e localize o nome da conta na tabela filtrada.

Em seguida, siga as etapas para inscrever uma conta individual, conforme mostrado na seção [Etapas para inscrever manualmente uma conta](#enrollment-steps).

## Considerações para se inscrever a partir do console
<a name="enroll-from-console"></a>
+ O recurso de **inscrição de contas** disponível no console do AWS Control Tower é destinado ao registro de contas existentes para que Contas da AWS sejam governadas pela AWS Control Tower. Consulte mais informações em [Enroll an existing Conta da AWS](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html).
+ O recurso **Inscrever conta** baseado em console estará disponível quando a zona de pouso não estiver em um estado de [desvio](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html). Se sua zona de destino estiver em estado de oscilação, talvez não seja possível usar o recurso **Enroll account (Registrar conta)** com êxito. Será necessário provisionar novas contas por meio do Account Factory ou outro método até que o desvio da zona de pouso seja resolvido. 
+ Ao inscrever contas pelo console do AWS Control Tower, é necessário fazer login em uma conta com um usuário do IAM que tenha a política `AWSServiceCatalogEndUserFullAccess` habilitada, junto com permissões de acesso de **administrador** para usar o console do AWS Control Tower, e você não pode se conectar como usuário-raiz.
+ As contas inscritas podem ser atualizadas por meio do Account Factory do AWS Control Tower, como você atualizaria qualquer outra conta. Os procedimentos de atualização são fornecidos na seção [Atualizar e mover contas com o AWS Control Tower](updating-account-factory-accounts.md). 

**nota**  
Ao inscrever um existente Conta da AWS, certifique-se de verificar o endereço de e-mail existente. Caso contrário, uma conta poderá ser criada.

## Etapas para inscrever manualmente uma conta
<a name="enrollment-steps"></a>

Depois que a permissão de **AdministratorAccess**acesso (política) estiver em vigor em sua Conta da AWS conta existente, siga estas etapas para registrar a conta:

**Como inscrever uma conta individual no AWS Control Tower do console**
+ Acesse a página **Organização** do AWS Control Tower.
+ Na página **Organização**, as contas que elegíveis para inscrição permitem que você selecione **Inscrever** no menu suspenso **Ações** na parte superior da seção. Essas contas também mostram um botão **Inscrever conta** quando você as visualiza na página **Detalhes da conta**.
+ Ao escolher **Inscrever conta**, você verá uma página **Inscrever conta**, na qual será solicitado que você adicione o perfil `AWSControlTowerExecution` à conta. Consulte instruções em [Adicione manualmente a função do IAM necessária a uma existente Conta da AWS e inscreva-a](enroll-manually.md).
+ Depois, selecione uma UO registrada na lista suspensa. Se a conta já estiver em uma UO registrada, essa lista mostrará a UO.
+ Escolha **Enroll account (Registrar conta)**.
+ Você verá um lembrete modal para adicionar o perfil `AWSControlTowerExecution` e confirmar a ação.
+ Escolha **Inscrever**.
+ O AWS Control Tower inicia o processo de inscrição e você é direcionado de volta à página **Detalhes da conta**.

## Causas comuns para falha de inscrição
<a name="common-causes-for-enrollment-failure"></a>
+ Para inscrever uma conta existente, o perfil `AWSControlTowerExecution` deve estar presente na conta que você está inscrevendo.
+ Sua entidade principal do IAM pode não ter as permissões necessárias para provisionar uma conta.
+ AWS Security Token Service (AWS STS) está desativado Conta da AWS em sua região de origem ou em qualquer região suportada pelo AWS Control Tower.
+ Você pode ter feito login com uma conta que precisa ser adicionada ao portfólio do Account Factory no AWS Service Catalog. A conta deve ser adicionada antes que você tenha acesso ao Account Factory para que seja possível criar ou inscrever uma conta no AWS Control Tower. Se o usuário ou perfil apropriado não for adicionado ao portfólio do Account Factory, será exibido um erro ao tentar adicionar uma conta. Para obter instruções sobre como conceder acesso aos AWS Service Catalog portfólios, consulte [Conceder acesso aos usuários](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html).
+ É possível que você esteja conectado como raiz.
+ A conta que você está tentando registrar pode ter AWS Config configurações residuais. Em particular, a conta pode ter um gravador de configuração ou canal de entrega. Eles devem ser excluídos ou modificados por meio do AWS CLI antes que você possa registrar uma conta. Para obter mais informações, consulte [Inscrever contas que tenham recursos existentes AWS Config](existing-config-resources.md) e [Interaja com AWS Control Tower por meio de AWS CloudShell](cshell-examples.md). 
+ Se a conta pertencer a outra UO com uma conta de gerenciamento, incluindo outra UO do AWS Control Tower, você deverá encerrar a conta em sua UO atual antes que ela possa ingressar em outra UO. Os recursos existentes devem ser removidos na UO original. Caso contrário, o registro falhará.
+ O provisionamento e a inscrição da conta falharão se suas UOs de destino SCPs não permitirem que você crie todos os recursos necessários para essa conta. Por exemplo, uma SCP na UO de destino pode bloquear a criação de recursos sem determinadas tags. Nesse caso, o provisionamento ou a inscrição da conta falham, porque o AWS Control Tower não permite a marcação de recursos. Se precisar de ajuda, entre em contato com seu representante de conta ou com o Suporte.

Consulte mais informações sobre como o AWS Control Tower funciona com perfis quando você está criando contas ou registrando contas existentes em [Roles and accounts](https://docs.aws.amazon.com//controltower/latest/userguide/roles.html).

**dica**  
Se você não puder confirmar se um existente Conta da AWS atende aos pré-requisitos de inscrição, você pode configurar uma OU de **inscrição e inscrever a conta nessa OU**. Depois que a inscrição for bem-sucedida, você poderá mover a conta para a UO desejada. Se a inscrição falhar, nenhuma outra conta ou OUs será afetada pela falha.

Se tiver dúvidas de que suas contas existentes e suas configurações são compatíveis com o AWS Control Tower, você poderá seguir as práticas recomendadas indicadas na seção a seguir. 

**Recomendado: é possível configurar uma abordagem em duas etapas para o registro da conta**
+ Primeiro, use um *pacote de AWS Config conformidade* para avaliar como suas contas podem ser afetadas por alguns controles do AWS Control Tower. Para determinar como a inscrição na AWS Control Tower pode afetar suas contas, consulte [Estender a governança da AWS Control Tower usando pacotes de AWS Config conformidade](https://aws.amazon.com//blogs/mt/extend-aws-control-tower-governance-using-aws-config-conformance-packs/). 
+ Depois disso, talvez você queira registrar a conta. Se os resultados de conformidade forem satisfatórios, o caminho de migração será mais fácil porque é possível registrar a conta sem consequências inesperadas.
+ Depois de fazer sua avaliação, se você decidir configurar uma landing zone do AWS Control Tower, talvez seja necessário remover o canal de AWS Config entrega e o gravador de configuração que foram criados para sua avaliação. Depois disso, será possível configurar o AWS Control Tower com êxito.

**nota**  
O pacote de conformidade também funciona em situações em que as contas estão localizadas OUs registradas pela AWS Control Tower, mas as cargas de trabalho são executadas em AWS regiões que não têm suporte da AWS Control Tower. É possível usar o pacote de conformidade para gerenciar recursos em contas que existem em regiões onde o AWS Control Tower não está implantado.

# Se a conta não atender aos pré-requisitos
<a name="fulfill-prerequisites"></a>

 Lembre-se de que, como pré-requisito, as contas elegíveis para serem inscritas na governança do AWS Control Tower devem fazer parte da mesma organização geral. Para cumprir esse pré-requisito de inscrição da conta, você pode seguir estas etapas preparatórias a fim de mover uma conta para a mesma organização do AWS Control Tower. 

**Etapas preparatórias para colocar uma conta na mesma organização do AWS Control Tower**

1.  Retire a conta da organização existente. Você deverá fornecer uma forma de pagamento separada se usar essa abordagem. 

1.  Convide a conta para se juntar à organização do AWS Control Tower. Para obter mais informações, consulte [Convidar uma AWS conta para participar da sua organização](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_invites.html) no *Guia do AWS Organizations usuário*. 

1.  Aceite o convite. A conta aparece na raiz da organização. Essa etapa move a conta para a mesma organização da AWS Control Tower e estabelece SCPs e consolida o faturamento. 

**dica**  
 Você pode enviar o convite para a nova organização antes que a conta seja retirada da organização antiga. O convite estará aguardando quando a conta for retirada oficialmente de sua organização existente. 

**Etapas para cumprir os pré-requisitos restantes:**

1.  Crie os perfis do `AWSControlTowerExecution` necessários. 

1.  Limpe a VPC padrão. (Essa parte é opcional. O AWS Control Tower não altera a VPC padrão existente.) 

1.  Exclua ou modifique qualquer gravador AWS Config de configuração ou canal de entrega existente por meio do AWS CLI ou AWS CloudShell. Consulte mais informações em [Inscrever contas com recursos AWS Config](enroll-account.md#example-config-cli-commands) e [Inscrever contas que tenham recursos existentes AWS Config](existing-config-resources.md) 

 Depois de concluir essas etapas preparatórias, você poderá inscrever a conta no AWS Control Tower. Para obter mais informações, consulte [Etapas para inscrever manualmente uma conta](quick-account-provisioning.md#enrollment-steps). Essa etapa coloca a conta na governança completa do AWS Control Tower. 

**Etapas opcionais para desprovisionar uma conta, para que ela possa ser inscrita e manter sua pilha**

1.  Para manter a CloudFormation pilha aplicada, exclua a instância da pilha dos conjuntos de pilhas e escolha **Reter pilhas** para a instância. 

1.  Encerre o produto provisionado pela conta no Account Factory AWS Service Catalog . (Essa etapa remove apenas o produto provisionado do AWS Control Tower. Isso não exclui a conta.) 

1.  Configure a conta com os detalhes de cobrança necessários, conforme exigido para qualquer conta que não pertença a uma organização. Depois, remova a conta da organização. (Você faz isso para que a conta não conte no total da sua AWS Organizations cota.) 

1.  Limpe a conta se os recursos permanecerem e, depois, encerre-a seguindo as etapas de encerramento da conta em [Cancelar a inscrição de uma conta](unmanage-account.md). 

1.  Se tiver uma OU **suspensa** com controles definidos, você poderá mover a conta para lá em vez de executar a Etapa 1. 

# Adicione manualmente a função do IAM necessária a uma existente Conta da AWS e inscreva-a
<a name="enroll-manually"></a>

Se já configurou a zona de pouso do AWS Control Tower, você pode começar a inscrever as contas da organização em uma UO registrada no AWS Control Tower. Se você não configurou a zona de pouso, siga as etapas descritas no *Guia do usuário do AWS Control Tower* em [Getting Started, Etapa 2](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two). Depois que a zona de pouso estiver pronta, conclua as etapas a seguir para colocar as contas existentes na governança do AWS Control Tower manualmente.

**Certifique-se de revisar os [Pré-requisitos da inscrição](enrollment-prerequisites.md) mencionados anteriormente neste capítulo.**

Antes de inscrever uma conta no AWS Control Tower, você deve dar permissão ao AWS Control Tower para gerenciar essa conta. Para fazer isso, adicione um perfil que tenha acesso total à conta, conforme mostrado nas etapas a seguir. Essas etapas devem ser realizadas em cada conta que você inscrever.

**Para cada conta:**

**Etapa 1: faça login com acesso de administrador à conta de gerenciamento da organização que atualmente contém a conta que você deseja inscrever.**

Por exemplo, se você criou essa conta AWS Organizations e usa uma função do IAM entre contas para fazer login, siga estas etapas:

1. Faça login na conta de gerenciamento da organização.

1. Acesse **AWS Organizations**.

1. Em **Contas**, selecione a conta que você deseja inscrever e copie o ID da conta.

1. Abra o menu suspenso da conta na barra de navegação superior e escolha **Mudar de perfil**.

1. No formulário **Mudar de perfil**, preencha os seguintes campos:
   + Em **Conta**, insira o ID da conta que você copiou.
   + Em **Perfil**, insira o nome do perfil do IAM que permite o acesso entre contas a essa conta. O nome desse perfil foi definido quando a conta foi criada. Se você não especificou um nome de perfil ao criar a conta, insira o nome de perfil padrão, `OrganizationAccountAccessRole`.

1. Selecione **Mudar de perfil**.

1. Agora você deve estar conectado Console de gerenciamento da AWS à conta de criança.

1. Ao terminar, permaneça na conta secundária durante a próxima parte do procedimento.

1. Anote o ID da conta de gerenciamento, pois será necessário inseri-lo na próxima etapa.

**Etapa 2: dê permissão ao AWS Control Tower para gerenciar a conta.**

1. Acesse o **IAM**.

1. Abra **Perfis**.

1. Selecione **Criar perfil**.

1. Quando for solicitado que você selecione para qual serviço o perfil se destina, escolha **Política de confiança personalizada**. 

1. Copie o exemplo de código mostrado aqui e cole-o no Documento de política. Substitua a string *`Management Account ID`* pelo ID real da sua conta de gerenciamento. Aqui está a política a ser colada:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. Quando solicitado a anexar políticas, escolha **AdministratorAccess**.

1. Selecione **Next: Tags** (Próximo: tags).

1. Você pode ver uma tela opcional intitulada **Adicionar tags**. Ignore esta tela por enquanto escolhendo **Próximo: revisão**

1. Na página **Revisão**, no campo **Nome do perfil**, insira `AWSControlTowerExecution`.

1. Insira uma breve descrição na caixa **Descrição**, como *Permite acesso total à conta para inscrição*.

1. Selecione **Criar perfil**.

**Etapa 3: inscreva a conta movendo-a para uma UO registrada e verifique a inscrição.**

Depois de configurar as permissões necessárias criando o perfil, siga estas etapas para registrar a conta e verificar a inscrição.

1. **Faça login novamente como administrador e acesse o AWS Control Tower.**

1. 

**Registre a conta.**
   + Na página **Organização** no AWS Control Tower, selecione sua conta e escolha **Inscrever** no menu suspenso **Ações** no canto superior direito.
   + Siga as etapas para inscrever uma conta individual, conforme mostrado na página [Etapas para inscrever manualmente uma conta](quick-account-provisioning.md#enrollment-steps).

1. 

**Verifique a inscrição.**
   + No AWS Control Tower, escolha **Organização** no painel de navegação à esquerda.
   + Procure a conta que você inscreveu recentemente. Seu estado inicial mostrará o status **Inscrevendo**.
   + Quando o estado muda para **Inscrita**, a mudança foi bem-sucedida.

Para continuar esse processo, faça login em cada conta da organização que você deseja inscrever no AWS Control Tower. Repita as etapas de pré-requisito e as etapas de inscrição para cada conta.

**Exemplo de adição da função `AWSControlTowerExecution`**

O modelo YAML a seguir pode ajudar a criar o perfil necessário em uma conta, para que ela possa ser inscrita programaticamente.

```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```