注册的先决条件 - AWS Control Tower

注册的先决条件

本节介绍如何在以下情况下将现有 AWS 账户注册到 AWS Control Tower:您尚未在登录区设置页面上选择可选的自动注册特征,或者您使用的是 3.1 之前的登录区版本。

需要满足以下先决条件,然后才能在 AWS Control Tower 中注册现有 AWS 账户:

注意

如果您已在登录区设置页面中激活 AWS Control Tower 自动注册功能,或者您要在注册 OU 流程中注册账户,则不需要添加 AWSControlTowerExecution 角色的先决条件。但是,在所有情况下,要注册的账户都可能没有现有 AWS Config 资源。请参阅注册拥有现有 AWS Config 资源的账户

  1. 要注册现有 AWS 账户,您要注册的账户中必须存在 AWSControlTowerExecution 角色。您可以查看注册账户,以了解详细信息和说明。

  2. AWSControlTowerExecution 角色外,您要注册的现有 AWS 账户 还必须具有以下权限和信任关系。否则,注册将失败。

    角色权限:AdministratorAccess(AWS 托管策略)

    角色信任关系:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. 我们建议账户不应有 AWS Config 配置记录器或传输通道。在注册账户之前,可以通过 AWS CLI 删除或修改这些内容。否则,请查看 Enroll accounts that have existing AWS Config resources,了解如何修改现有资源的说明。

  4. 您希望注册的账户必须与 AWS Control Tower 管理账户位于同一 AWS Organizations 组织中。已有的账户只能注册到与 AWS Control Tower 管理账户(在已注册到 AWS Control Tower 的 OU 中)相同的组织中。

要查看注册的其他先决条件,请参阅 Getting Started with AWS Control Tower

注意

当您将账户注册到 AWS Control Tower 时,您的账户将受 AWS Control Tower 组织的 AWS CloudTrail 跟踪监管。如果您已经部署 CloudTrail 跟踪,可能会看到重复的费用,除非您在将账户注册到 AWS Control Tower 之前删除该账户的现有跟踪。

关于 AWSControTowerExecution 角色的可信访问权限

在将现有 AWS 账户 注册到 AWS Control Tower 之前,您必须授予 AWS Control Tower 管理或监管账户的权限。具体而言,AWS Control Tower 需要具备代表您在 AWS CloudFormation 和 AWS Organizations 之间建立可信访问的权限,以便 CloudFormation 能够自动将您的堆栈部署到所选组织中的账户。有了这种可信访问,AWSControlTowerExecution 角色就能开展管理每个账户所需的活动。因此,在注册之前,您必须将此角色添加到每个账户。

启用可信访问后,CloudFormation 可以在一次操作中跨多个账户和 AWS 区域 创建、更新或删除堆栈。AWS Control Tower 依靠这种信任功能,可以在将现有账户移动到已注册的组织单元之前,为这些账户应用角色和权限,从而将它们纳入监管范围。

要了解有关可信访问和 AWS CloudFormationStackSets 的更多信息,请参阅 AWS CloudFormationStackSets 和 AWS Organizations