注册现有 OU

在 AWS Control Tower 控制台的组织页面上，您可以按层次结构查看组织的所有 OU 和账户，包括已在 AWS Control Tower 中注册的 OU 和未注册的 OU。

一般来说，未注册的 OU 是在 AWS Organizations 中创建的，它们不受任何其他登录区的监管。您可以注册最多包含 1000 个账户的现有 OU。如果一个 OU 包含的账户超过 1000 个，则无法在 AWS Control Tower 中进行注册。

从控制台注册现有 OU

登录 AWS Control Tower 控制台，网址为 https://console.aws.amazon.com/controltower。
在左侧窗格导航菜单中，选择组织。
在组织页面上，选择要注册的 OU 旁边的单选按钮，然后从右上角的操作下拉菜单中选择注册组织单元，或者选择 OU 的名称，以便查看该 OU 的 OU 详细信息页面。
在 OU 详细信息页面的右上角，您可以从操作下拉菜单中选择注册 OU。

注册过程至少需要 10 分钟才能将监管范围扩展到 OU，每增加一个账户最多需要 2 分钟。

通过 API 注册现有 OU

要使用 AWS Control Tower API 注册现有 OU，您可以在 baselineIdentifier 字段中通过 AWSControlTowerBaseline 调用 EnableBaseline API。有关更多信息，请参阅仅使用 API 注册 AWS Control Tower OU。

注册现有 OU 的结果

注册现有 OU 后，AWSControlTowerExecution 角色允许 AWS Control Tower 将监管范围扩展到个人账户。强制执行防护机制，并将有关账户活动的信息报告给您的审计和日志记录账户。

其他结果还包括：

AWSControlTowerExecution 允许 AWS Control Tower 审计账户进行审计。
AWSControlTowerExecution 可帮助您配置组织的日志记录，以便每个账户的所有日志都发送到日志记录账户。
AWSControlTowerExecution 可确保您选择的 AWS Control Tower 控件自动应用于 OU 中的每个个人账户，以及您在 AWS Control Tower 中创建的每个新账户。

对于已注册的 OU，您可以根据 AWS Control Tower 控件所包含的审计和日志记录功能提供合规性和安全性报告。您的安全性和合规性团队可以验证是否满足所有要求，并且没有发生组织偏移。有关偏移的更多信息，请参阅在 AWS Control Tower 中检测并解决偏移问题。

注意

当 AWS Control Tower 显示 OU 及其账户时，可能会出现一种异常情况。如果您在一个已注册的 OU 中创建了一个账户，随后又将该注册账户移动到另一个未注册的 OU 中，特别是如果您使用 AWS Organizations 来移动该账户，就会在 OU 详细信息页面中看到“1 个（共 0 个）”账户的结果。此外，您可能已在该未注册的 OU 中创建了另一个未注册的账户。如果有未注册的账户，控制台可能会显示该 OU 为“1 个（共 1 个）”。看起来，单个（新创建的）账户已注册，但实际上并非如此。您必须注册新账户。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

注册一个 OU 以注册多个账户

创建新 OU