本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 关于注册现有账户
您可以将 AWS Control Tower 的监管范围扩展到个人, AWS 账户 当您将个人*注册*到已经由 AWS Control Tower 管理的组织单位 (OU) 时,该组织就存在了。符合条件的账户存在于与 AWS Control Tower OU *属于同一个 AWS Organizations 组织的未注册 OUs *账户。
有几种方法可以将账户注册到 AWS Control Tower。**此页面上的信息适用于所有注册方法。**
**注意**
除非在初始 land AWS ing zone 设置期间,否则您无法注册现有账户作为审核或日志存档账户。
## 在账户注册期间发生的情况
在注册过程中,AWS Control Tower 会执行以下操作:
+ 为账户设定基准,包括部署以下堆栈集:
+ `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
+ `AWSControlTowerBP-BASELINE-CLOUDWATCH`
+ `AWSControlTowerBP-BASELINE-CONFIG`
+ `AWSControlTowerBP-BASELINE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
+ `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`
最好查看这些堆栈集的模板,并确保它们不会与现有策略冲突。
+ 通过 AWS IAM Identity Center 或识别账户 AWS Organizations。
+ 将账户放入您指定的 OU 中。请务必应用当前 OU 中应用的所有 SCPs 内容,这样您的安全状况才能保持一致。
+ 通过适用于整个选定组织单位 SCPs 的强制控制措施对账户应用强制性控制。
+ 启用 AWS Config 并配置它以记录账户中的所有资源。
+ 添加将 AWS Control Tower 侦探控件应用于账户的 AWS Config 规则。
**账户和组织级别的跟踪 CloudTrail**
对于登录区 3.1 及更高版本,如果您在登录区设置中选择了可选 AWS CloudTrail 集成:
无论是否注册,OU 中的所有成员账户都受该 OU 的 AWS CloudTrail 跟踪控制。
当您将账户注册到 AWS Control Tower 时,您的账户将受新组织的 AWS CloudTrail 跟踪监管。如果您已经部署了 CloudTrail 跟踪,则可能会看到重复的费用,除非您在将其注册到 AWS Control Tower 之前删除该账户的现有跟踪。
如果您将账户转移到已注册的 OU(例如通过 AWS Organizations 控制台或 APIs),则可能希望删除该账户的所有剩余账户级别跟踪。如果您已经部署了 CloudTrail 跟踪,则会产生重复的 CloudTrail 费用。
如果您更新了着陆区并选择退出组织级别的跟踪,或者您的着陆区版本低于 3.0,则组织级别的 CloudTrail跟踪不适用于您的账户。
## 使用注册现有账户 VPCs
当您在 Account Factory 中配置新账户时,AWS Control Tower 的处理 VPCs 方式与注册现有账户时的处理方式不同。
+ 创建新账户时,AWS Control Tower 会自动删除 AWS 默认 VPC 并为该账户创建新的 VPC。
+ 注册现有账户时,AWS Control Tower 不会为该账户创建新 VPC。
+ 当您注册现有账户时,AWS Control Tower 不会删除与该账户关联的任何现有 VPC 或 AWS 默认 VPC。
**提示**
您可以通过配置 Account Factory 来更改新账户的默认行为,以便在默认情况下,它不会在 AWS Control Tower 下为组织中的账户设置 VPC。有关更多信息,请参阅 [在 AWS Control Tower 中创建一个不含 VPC 的账户](configure-without-vpc.md#create-without-vpc)。
## 使用 AWS Config 资源注册账户
要注册的账户不得有现有 AWS Config 资源。请参阅[注册拥有现有 AWS Config 资源的账户](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)。
以下是一些用于确定现有账户 AWS Config 资源的状态的 AWS Config CLI 命令示例,例如配置记录器和交付渠道。
**查看命令:**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`
正常的响应类似于 `"name": "default"`
**删除命令:**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name {{NAME-FROM-DESCRIBE-OUTPUT}}`
+ `aws configservice delete-delivery-channel --delivery-channel-name {{NAME-FROM-DESCRIBE-OUTPUT}}`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name {{NAME-FROM-DESCRIBE-OUTPUT}}`
**添加 `AWSControlTowerExecution` 角色的示例**
以下 YAML 模板可以帮助您在账户中创建所需的角色,以便可以通过编程方式进行注册。
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
account as a target account in AWS CloudFormation StackSets.
Parameters:
AdministratorAccountId:
Type: String
Description: AWS Account Id of the administrator account (the account in which
StackSets will be created).
MaxLength: 12
MinLength: 12
Resources:
ExecutionRole:
Type: AWS::IAM::Role
Properties:
RoleName: AWSControlTowerExecution
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref AdministratorAccountId
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```