本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 注册的先决条件
<a name="enrollment-prerequisites"></a>

*本节介绍如果您尚未在着陆区**设置**页面上选择可选的自动注册功能，或者您使用的是 3.1 之前的着陆区版本，则如何将现有 AWS 账户注册到 AWS Control Tower。*

要在 AWS Control Tower AWS 账户 中注册现有的，必须具备以下先决条件：

**注意**  
如果您已在登录区**设置**页面中激活 AWS Control Tower 自动注册功能，或者您要在**注册 OU** 流程中注册账户，则不需要添加 `AWSControlTowerExecution` 角色的先决条件。但是，在所有情况下，要注册的账户都可能没有现有 AWS Config 资源。请参阅[注册拥有现有 AWS Config 资源的账户](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)

1. 要注册现有账户 AWS 账户，该`AWSControlTowerExecution`角色必须存在于您注册的账户中。您可以查看[注册账户](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html)，以了解详细信息和说明。

1. 除 `AWSControlTowerExecution` 角色外，您要注册的现有 AWS 账户 还必须具有以下权限和信任关系。否则，注册将失败。

   角色权限:`AdministratorAccess`（AWS 托管策略）

   **角色信任关系：**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. 我们建议该账户不应有 AWS Config 配置记录器或传送渠道。在注册账户之前，可以通过 AWS CLI 删除或修改这些内容。否则，[请查看注册拥有现有 AWS Config 资源的账户](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)，了解如何修改现有资源的说明。

1. 您希望注册的账户必须与 AWS Control Tower 管理账户位于同一 AWS Organizations 组织中。已有的账户*只能*注册到与 AWS Control Tower 管理账户（在已注册到 AWS Control Tower 的 OU 中）相同的组织中。

要查看注册的其他先决条件，请参阅 [Getting Started with AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-with-control-tower.html)。

**注意**  
当您将账户注册到 AWS Control Tower 时，您的账户将受 AWS Control Tower 组织的 AWS CloudTrail 跟踪监管。如果您已经部署了 CloudTrail跟踪，则可能会看到重复的费用，除非您在将其注册到 AWS Control Tower 之前删除该账户的现有跟踪。

**关于 `AWSControTowerExecution` 角色的可信访问权限**

在 AWS 账户 将现有账户注册到 AWS Control Tower 之前，您必须授予 AWS Control Tower *管理或监管*账户的权限。具体而言，AWS Control Tower 需要获得权限才能 AWS Organizations 在您之间 AWS CloudFormation 和代表您之间建立 CloudFormation 可信访问权限，这样才能将您的堆栈自动部署到所选组织中的账户。有了这种可信访问，`AWSControlTowerExecution` 角色就能开展管理每个账户所需的活动。因此，在注册之前，您必须将此角色添加到每个账户。

 启用可信访问后，只需一次操作 CloudFormation 即可跨多个账户创建、更新或删除堆栈。 AWS 区域 AWS Control Tower 依靠这种信任功能，可以在将现有账户移动到已注册的组织单元之前，为这些账户应用角色和权限，从而将它们纳入监管范围。

要了解有关可信访问和的更多信息 AWS CloudFormation StackSets，请参阅[AWS CloudFormationStackSets和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html)。