As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Pré-requisitos da inscrição
Esta seção descreve como inscrever uma AWS conta existente no AWS Control Tower se você não tiver selecionado o recurso opcional de inscrição automática na página de configurações da zona de destino ou se estiver operando com uma versão da zona de pouso anterior à 3.1.
Esses pré-requisitos são necessários antes que você possa inscrever um existente no AWS Control Conta da AWS Tower:
nota
O pré-requisito para adicionar a função AWSControlTowerExecution não é necessário se você tiver ativado o recurso de inscrição automática do AWS Control Tower na página de configurações da zona de pouso ou se estiver inscrevendo a conta como parte de um processo de registro da UO. No entanto, em todos os casos, a conta a ser inscrita pode não ter AWS Config recursos existentes. Consulte Inscrever contas que tenham recursos existentes AWS Config
-
Para cadastrar uma existente Conta da AWS, a
AWSControlTowerExecutionfunção deve estar presente na conta que você está cadastrando. Você pode consultar detalhes e instruções em Enroll an account. -
Além do perfil
AWSControlTowerExecution, a Conta da AWS existente que você deseja inscrever deve ter as seguintes permissões e relações de confiança estabelecidas. Caso contrário, o registro falhará.Permissão de função:
AdministratorAccess(política AWS gerenciada)Relação de confiança da função:
-
Recomendamos que a conta não tenha um gravador AWS Config de configuração ou canal de entrega. Eles podem ser excluídos ou modificados pela AWS CLI antes que você possa inscrever uma conta. Caso contrário, consulte Inscrever contas que tenham AWS Config recursos existentes para obter instruções sobre como você pode modificar seus recursos existentes.
-
A conta que você deseja inscrever deve existir na mesma organização do AWS Organizations como a conta de gerenciamento do AWS Control Tower. A conta que existe podem ser inscritas apenas na mesma organização da conta de gerenciamento do AWS Control Tower, em uma UO que já esteja registrada no AWS Control Tower.
Consulte outros pré-requisitos de inscrição em Getting Started with AWS Control Tower.
nota
Quando você inscreve uma conta no AWS Control Tower, ela é administrada pela trilha do AWS CloudTrail da organização do AWS Control Tower. Se você já tiver uma implantação de uma CloudTrail trilha, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la no AWS Control Tower.
Sobre o acesso confiável com a função AWSControTowerExecution
Antes de inscrever um existente Conta da AWS no AWS Control Tower, você deve dar permissão para que o AWS Control Tower gerencie ou controle a conta. Especificamente, o AWS Control Tower exige permissão para estabelecer um acesso confiável entre AWS CloudFormation e AWS Organizations em seu nome, para que CloudFormation você possa implantar sua pilha automaticamente nas contas da organização selecionada. Com esse acesso confiável, o perfil AWSControlTowerExecution realiza as atividades necessárias para gerenciar cada conta. É por isso que você deve adicionar esse perfil a cada conta antes de inscrevê-la.
Quando o acesso confiável está ativado, CloudFormation pode criar, atualizar ou excluir pilhas em várias contas e Regiões da AWS com uma única operação. O AWS Control Tower depende dessa capacidade de confiança para poder aplicar perfis e permissões às contas existentes antes de transferi-las a uma unidade organizacional registrada e, assim, colocá-las sob governança.
