Pré-requisitos da inscrição - AWS Control Tower

Pré-requisitos da inscrição

Esta seção descreve como inscrever uma conta da AWS existente no AWS Control Tower se você não tiver selecionado o atributo opcional de inscrição automática na página de configurações da zona de pouso ou se estiver operando com uma versão da zona de pouso anterior à 3.1.

Esses pré-requisitos são necessários para inscrever uma Conta da AWS existente no AWS Control Tower:

nota

O pré-requisito para adicionar a função AWSControlTowerExecution não é necessário se você tiver ativado o recurso de inscrição automática do AWS Control Tower na página de configurações da zona de pouso ou se estiver inscrevendo a conta como parte de um processo de registro da UO. No entanto, em todos os casos, a conta a ser inscrita pode não ter recursos do AWS Config existentes. Consulte Inscrever contas que tenham recursos do AWS Config existentes

  1. Para inscrever uma Conta da AWS existente, o perfil AWSControlTowerExecution deve estar presente na conta que você está inscrevendo. Você pode consultar detalhes e instruções em Enroll an account.

  2. Além do perfil AWSControlTowerExecution, a Conta da AWS existente que você deseja inscrever deve ter as seguintes permissões e relações de confiança estabelecidas. Caso contrário, o registro falhará.

    Permissão do perfil: AdministratorAccess (política gerenciada pela AWS)

    Relação de confiança da função:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. Recomendamos que a conta não tenha um gravador de configuração ou canal de entrega do AWS Config. Eles podem ser excluídos ou modificados pela AWS CLI antes que você possa inscrever uma conta. Caso contrário, consulte instruções sobre como você pode modificar seus recursos existentes em Enroll accounts that have existing AWS Config resources.

  4. A conta que você deseja inscrever deve existir na mesma organização do AWS Organizations como a conta de gerenciamento do AWS Control Tower. A conta que existe podem ser inscritas apenas na mesma organização da conta de gerenciamento do AWS Control Tower, em uma UO que já esteja registrada no AWS Control Tower.

Consulte outros pré-requisitos de inscrição em Getting Started with AWS Control Tower.

nota

Quando você inscreve uma conta no AWS Control Tower, ela é administrada pela trilha do AWS CloudTrail da organização do AWS Control Tower. Se você já tiver uma implantação de uma trilha do CloudTrail, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la no AWS Control Tower.

Sobre o acesso confiável com a função AWSControTowerExecution

Antes de inscrever uma Conta da AWS existente no AWS Control Tower, é necessário conceder permissão para o AWS Control Tower gerenciar, ou administrar, a conta. Especificamente, o AWS Control Tower requer permissão para estabelecer o acesso confiável entre o AWS CloudFormation e o AWS Organizations em seu nome, para que o CloudFormation possa implantar sua pilha automaticamente nas contas da organização selecionada. Com esse acesso confiável, o perfil AWSControlTowerExecution realiza as atividades necessárias para gerenciar cada conta. É por isso que você deve adicionar esse perfil a cada conta antes de inscrevê-la.

Quando o acesso confiável é habilitado, o CloudFormation pode criar, atualizar ou excluir pilhas em várias contas e Regiões da AWS com uma única operação. O AWS Control Tower depende dessa capacidade de confiança para poder aplicar perfis e permissões às contas existentes antes de transferi-las a uma unidade organizacional registrada e, assim, colocá-las sob governança.

Para saber mais sobre acesso confiável e AWS CloudFormation StackSets, consulte AWS CloudFormationStackSets e AWS Organizations.