使用自动注册功能移动和注册账户

账户自动注册特征适用于 3.1 及更高版本的登录区。

如果您选择启用此特征，则可以利用 AWS Organizations API 和控制台将账户移到 AWS Control Tower 中，而不会出现继承偏移。账户将自动接收来自 AWS Control Tower 中目标组织单元（OU）的基准资源和控件配置。此可选功能还允许您在 AWS Control Tower 内的 OU 之间移动账户，而不会出现继承偏移，但前提是两个 OU 具有相同的基准配置并启用了相同的控件。

激活自动注册：您可以在 AWS Control Tower 控制台的登录区设置页面上，选择自动注册账户，也可以通过调用 AWS Control Tower CreateLandingZone 或 UpdateLandingZone API，将 RemediationType 参数的值设置为继承偏移。

应用自动注册：在设置页面中选择此选项后，可以通过 AWS Organizations 控制台、AWS Organizations MoveAccount API 或 AWS Control Tower 控制台移动账户。

取消注册已自动注册的账户：如果您将账户移至已注册 OU 的外部，AWS Control Tower 会自动移除所有已部署的基准资源和控件。

注意

如果 AWS Control Tower 中的源和目标 OU 具有不同的配置，则该账户可能会出现移动的成员账户偏移。

先决条件：为自动注册进行配置

您必须运行 AWS Control Tower 登录区 3.1 或更高版本。
通过控制台中的登录区设置页面或通过 AWS Control Tower 登录区 API，将 RemediationTypes 参数值设置为 Inheritance Drift，以选择使用 AWS Control Tower 自动注册功能。启用后，AWS Control Tower 会代表您对 AWS Organizations 的 move account 事件做出响应，并立即修复已移动账户的继承偏移。

所需的权限

使用 AWS Organizations CreateAccount API 和 MoveAccount API 需要特定的角色与权限。有关将 AWS Organizations 与 AWS Control Tower 配合使用的更多信息，请参阅 AWS Control Tower 和 AWS Organizations。

API 使用示例

有关这些 API 的更多信息和示例，请参阅《AWS Organizations API 参考》中的 CreateAccount 与 MoveAccount。

注意事项

注册时间线：移至已在 AWS Control Tower 注册的 OU 的账户将使用最终一致性 模型进行注册。此过程通常需要几分钟，最多几个小时，具体取决于要移动的账户数量。
取消注册流程：您可以使用相同的流程从 AWS Control Tower 取消注册账户，方法是将账户移到 AWS Control Tower 之外的 OU。此过程会删除 AWS Control Tower 部署的所有角色和资源以及 AWS Control Tower 中启用的任何控件。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

注册的先决条件

从控制台注册