注册的先决条件 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

注册的先决条件

本节介绍如果您尚未在着陆区设置页面上选择可选的自动注册功能,或者您使用的是 3.1 之前的着陆区版本,则如何将现有 AWS 账户注册到 AWS Control Tower。

要在 AWS Control Tower AWS 账户 中注册现有的,必须具备以下先决条件:

注意

如果您已在登录区设置页面中激活 AWS Control Tower 自动注册功能,或者您要在注册 OU 流程中注册账户,则不需要添加 AWSControlTowerExecution 角色的先决条件。但是,在所有情况下,要注册的账户都可能没有现有 AWS Config 资源。请参阅注册拥有现有 AWS Config 资源的账户

  1. 要注册现有账户 AWS 账户,该AWSControlTowerExecution角色必须存在于您注册的账户中。您可以查看注册账户,以了解详细信息和说明。

  2. AWSControlTowerExecution 角色外,您要注册的现有 AWS 账户 还必须具有以下权限和信任关系。否则,注册将失败。

    角色权限:AdministratorAccess(AWS 托管策略)

    角色信任关系:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. 我们建议该账户不应有 AWS Config 配置记录器或传送渠道。在注册账户之前,可以通过 AWS CLI 删除或修改这些内容。否则,请查看注册拥有现有 AWS Config 资源的账户,了解如何修改现有资源的说明。

  4. 您希望注册的账户必须与 AWS Control Tower 管理账户位于同一 AWS Organizations 组织中。已有的账户只能注册到与 AWS Control Tower 管理账户(在已注册到 AWS Control Tower 的 OU 中)相同的组织中。

要查看注册的其他先决条件,请参阅 Getting Started with AWS Control Tower

注意

当您将账户注册到 AWS Control Tower 时,您的账户将受 AWS Control Tower 组织的 AWS CloudTrail 跟踪监管。如果您已经部署了 CloudTrail跟踪,则可能会看到重复的费用,除非您在将其注册到 AWS Control Tower 之前删除该账户的现有跟踪。

关于 AWSControTowerExecution 角色的可信访问权限

在 AWS 账户 将现有账户注册到 AWS Control Tower 之前,您必须授予 AWS Control Tower 管理或监管账户的权限。具体而言,AWS Control Tower 需要获得权限才能 AWS Organizations 在您之间 AWS CloudFormation 和代表您之间建立 CloudFormation 可信访问权限,这样才能将您的堆栈自动部署到所选组织中的账户。有了这种可信访问,AWSControlTowerExecution 角色就能开展管理每个账户所需的活动。因此,在注册之前,您必须将此角色添加到每个账户。

启用可信访问后,只需一次操作 CloudFormation 即可跨多个账户创建、更新或删除堆栈。 AWS 区域 AWS Control Tower 依靠这种信任功能,可以在将现有账户移动到已注册的组织单元之前,为这些账户应用角色和权限,从而将它们纳入监管范围。

要了解有关可信访问和的更多信息 AWS CloudFormation StackSets,请参阅AWS CloudFormationStackSets和 AWS Organizations