本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 手动将所需的 IAM 角色添加到现有角色 AWS 账户 并进行注册 如果您已经设置了 AWS Control Tower 登录区,则可以开始将组织的账户注册到已在 AWS Control Tower 注册的 OU 中。如果您尚未设置登录区,请按照《AWS Control Tower 用户指南》**的 [Getting Started, Step 2](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two) 中所述的步骤进行操作。登录区准备就绪后,手动完成以下步骤,将现有账户纳入 AWS Control Tower 的监管范围。 **请务必阅读本章前面提到的 [注册的先决条件](enrollment-prerequisites.md)。** 在 AWS Control Tower 中注册账户之前,您必须向 AWS Control Tower 授予管理该账户的权限。为此,您需要添加一个对账户具有完全访问权限的角色,如以下步骤所示。必须对您注册的每个账户执行这些步骤。 **对于每个账户:** **步骤 1:以管理员权限登录到组织(当前包含您希望注册的账户)的管理账户。** 例如,如果您从中创建此账户, AWS Organizations 并使用跨账户 IAM 角色登录,则可以按照以下步骤操作: 1. 登录到组织的管理账户。 1. 转到 **AWS Organizations**。 1. 在**账户**下,选择您要注册的账户并复制其账户 ID。 1. 打开顶部导航栏上的账户下拉菜单,然后选择**切换角色**。 1. 在**切换角色**表单上,填写以下字段: + 在**账户**中,输入您复制的账户 ID。 + 在**角色**下,输入允许跨账户访问此账户的 IAM 角色的名称。该角色的名称是在创建账户时定义的。如果您在创建账户时未指定角色名称,请输入默认角色名称 `OrganizationAccountAccessRole`。 1. 选择**切换角色**。 1. 现在,您应该以儿童 AWS 管理控制台 身份登录帐户。 1. 完成后,留在子账户中以便进行接下来的步骤。 1. 记下管理账户 ID,因为需要在下一步中输入该 ID。 **步骤 2:授予 AWS Control Tower 管理账户的权限。** 1. 前往 **IAM**。 1. 转到**角色**。 1. 选择**创建角色**。 1. 当系统要求选择该角色所针对的服务时,选择**自定义信任策略**。 1. 复制此处显示的代码示例,然后将其粘贴到策略文档中。将字符串 *`Management Account ID`* 替换为管理账户的实际管理账户 ID。以下是要粘贴的策略: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] } ``` ------ 1. 当要求附加政策时,选择**AdministratorAccess**。 1. 选择**下一步: 标签**。 1. 您可能会看到一个标题为**添加标签**的可选屏幕。选择**下一步: 审核**,暂时跳过此屏幕。 1. 在**审核**页面上,在**角色名称**字段中输入 `AWSControlTowerExecution`。 1. 在**描述**框中输入简短描述,例如*允许注册时具有完全的账户访问权限。* 1. 选择**创建角色**。 **步骤 3:通过将账户转移到已注册的 OU 来注册账户,然后验证注册。** 通过创建角色设置必要权限后,按照以下步骤注册账户并验证注册。 1. **再次以管理员身份登录并前往 AWS Control Tower。** 1. **注册账户。** + 在 AWS Control Tower 的**组织**页面中,选择您的账户,然后从右上角的**操作**下拉菜单中选择**注册**。 + 按照 [手动注册账户的步骤](quick-account-provisioning.md#enrollment-steps) 页面上所示的步骤注册个人账户。 1. **验证注册。** + 在 AWS Control Tower 中,在左侧导航中选择**组织**。 + 查找您最近注册的账户。其初始状态将显示为**正在注册**。 + 当状态更改为**已注册**时,则表示移动成功。 要继续此过程,请登录组织中您想要在 AWS Control Tower 中注册的每个账户。针对每个账户重复执行先决条件步骤和注册步骤。