本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用自动注册功能移动和注册账户
账户自动注册功能适用于 3.1 及更高版本的登录区。
如果您选择启用此功能,则可以利用 AWS Organizations API 和控制台将账户转移到 AWS Control Tower 中,而不会产生继承偏差。账户将自动接收来自 AWS Control Tower 中目标组织单元(OU)的基准资源和控件配置。此可选功能还允许您在 AWS Control Tower 内的 OU 之间移动账户,而不会出现继承偏移,但前提是两个 OU 具有相同的基准配置并启用了相同的控件。
激活自动注册:您可以在 AWS Control Tower 控制台的登录区设置页面上,选择自动注册账户,也可以通过调用 AWS Control Tower CreateLandingZone 或 UpdateLandingZone API,将 RemediationType 参数的值设置为继承偏移。
注册账户:激活自动注册后,使用控制台、 AWS Organizations
MoveAccount API 或 AWS Control Tower AWS Organizations 控制台将账户移至已注册的 OU。该账户会自动接收来自该 OU 的基准资源和控制权。这适用于现有账户和新创建的账户(默认情况下在组织根目录中创建)。
取消注册账户:将账户移至未在 AWS Control Tower 注册的 OU,或移至该组织的根目录。AWS Control Tower 会自动移除所有已部署的基准资源和控制措施。
注意
如果 AWS Control Tower 中的源和目标 OU 具有不同的配置,则该账户可能会出现移动的成员账户偏移。
先决条件:为自动注册进行配置
-
您必须运行 AWS Control Tower 登录区 3.1 或更高版本。
-
通过控制台中的登录区设置页面或通过 AWS Control Tower 登录区 API,将
RemediationTypes参数值设置为Inheritance Drift,以选择使用 AWS Control Tower 自动注册功能。当您选择加入后,AWS Control Tower 会立即代表您对已移动账户move account的事件做出反应 AWS Organizations,并立即修复已转移账户的继承偏移。
所需的权限
使用 API 和 AWS Organizations
CreateAccount API 需要特定的角色和MoveAccount权限。有关与 AWS Control Tower AWS Organizations 配合使用的更多信息,请参阅 AWS Control Tower 和 AWS Organizations。
API 使用示例
有关这些 API 的更多信息和示例,请参阅《AWS Organizations API 参考》中的 CreateAccount 与 MoveAccount。
注意事项
-
注册时间线:移至已在 AWS Control Tower 注册的 OU 的账户将使用最终一致性 模型进行注册。此过程通常需要几分钟,最多几个小时,具体取决于要移动的账户数量。
-
AWS S@@ ervice Catalog 预配置产品: Auto-enrollment 不创建、修改或终止 AWS 服务目录预配置产品。如果某个账户之前是通过 Account Factory 注册的,并且具有关联的预配置产品,则在取消注册账户后,该预配置产品仍保留在管理账户中。要清理孤立的预配置产品,请参阅 S AWS ervic e Catalog 用户指南中的删除预配置产品。
