本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 向 AWS Control Tower 注册现有组织单元
将多个现有 AWS 账户引入 AWS Control Tower 的一种有效方法是将 AWS Control Tower 的*管理范围扩展*到整个组织单位 (OU)。
要启用 AWS Control Tower 对使用 AWS Organizations其账户创建的现有 OU 及其账户进行管理,请在您的 AWS Control Tower 着陆区*注册*该 OU。您可以注册最多包 OUs 含 1000 个帐户。如果一个 OU 包含的账户超过 1000 个,则无法在 AWS Control Tower 中进行注册。
当您注册一个 OU 时,其成员账户将注册到 AWS Control Tower 登录区中。它们受应用于其 OU 的控件的监管。
从 Landing Zone 版本 4.0 开始,您可以直接启用 OU 上的控件。侦探控制需要 AWS Config 记录,可以通过注册 OU 或在 OU 上启用 AWS Config 录制来激活该记录。注册 OU 将启用`AWSControlTowerBaseline`。启用 AWS Config 录制将启用`ConfigBaseline`。有关更多信息,请参阅 [基准的类型](types-of-baselines.md) 和 [**AWS Control Tower 控件参考指南**](link-to-new-guide.md)
**注意**
如果您还没有 AWS Control Tower 着陆区,请先在 AWS Control Tower 创建的新组织中或现有 AWS Organizations 组织中设置一个着陆区。有关如何设置登录区的更多详细信息,请参阅 [开始使用 AWS Control Tower](getting-started-with-control-tower.md)。
**注册 OU 后,我的账户会发生什么?**
AWS Control Tower 需要获得权限才能 AWS Organizations 在您之间 AWS CloudFormation 以及代表您之间建立 AWS CloudFormation 可信访问权限,这样才能自动将您的堆栈部署到您组织中的账户。
+ `AWSControlTowerExecution` 角色将添加到所有状态为**未注册**的账户。
+ 当您注册 OU 时,默认情况下会对您的 OU 及其所有账户启用强制性控件。
**在 OU 注册后部分注册账户**
虽然可以成功注册一个 OU,但某些账户可能仍处于未注册状态。如果是这样,这些账户就不符合注册的某些先决条件。如果在**注册 OU** 过程中账户注册不成功,账户页面上的账户状态会显示**注册失败**。您还可以在 OU 页面的账户字段中看到账户信息,例如 **4 个(共 5 个)**。
例如,如果您看到 **4 个(共 5 个)**,这表示您的 OU 共有 5 个账户,其中 4 个账户注册成功,但有一个账户在**注册 OU** 过程中注册失败。在确保账户满足注册先决条件后,您可以选择**重新注册 OU**,将账户纳入注册。
**IAM 用户注册 OU 的先决条件**
在执行**注册 OU** 操作时,您 AWS Identity and Access Management 的 (IAM) 身份(用户或角色)或 IAM Identity Center 用户身份必须包含在相应的 Account Factory 产品组合中,即使您已经拥有`Admin`权限。否则,注册过程中预置产品的创建将失败。出现失败的原因是 AWS Control Tower 在注册 OU 时依赖于 IAM 用户身份或 IAM Identity Center 用户身份的凭证。
相关产品组合由 AWS Control Tower 创建,名为 **AWS Control Tower Account Factory 产品组合**。依次选择 **Service Catalog > Account Factory > AWS Control Tower Account Factory 产品组合**,导航至该产品组合。然后选择名为**组、角色和用户**的选项卡,查看 IAM 或 IAM Identity Center 身份。有关如何授予访问权限的更多信息,请参阅 [AWS Service Catalog的文档](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html)。
# 注册现有 OU
在 AWS Control Tower 控制台的**组织**页面上,您可以查看层次结构中的所有 OUs 组织和账户,包括 OUs 在 AWS Control Tower 注册的和未注册的账户。
通常,未注册 OUs 是在中创建的 AWS Organizations,并且不受任何其他着陆区的管辖。您可以注册最多包 OUs 含 1000 个账户的现有账户。如果一个 OU 包含的账户超过 1000 个,则无法在 AWS Control Tower 中进行注册。
**从控制台注册现有 OU**
1. 登录 [https://console.aws.amazon.com/controltower 上的 AWS Control Tower 控制](https://console.aws.amazon.com/controltower)台。
1. 在左侧窗格导航菜单中,选择**组织**。
1. 在**组织**页面上,选择要注册的 OU 旁边的单选按钮,然后从右上角的**操作**下拉菜单中选择**注册组织单元**,或者选择 OU 的名称,以便查看该 OU 的 **OU 详细信息**页面。
1. 在 **OU 详细信息**页面的右上角,您可以从**操作**下拉菜单中选择**注册 OU**。
注册过程至少需要 10 分钟才能将监管范围扩展到 OU,每增加一个账户最多需要 2 分钟。
**向注册现有 OU APIs**
要向 AWS Control Tower 注册现有 OU APIs,您可以在`baselineIdentifier`字段`AWSControlTowerBaseline`中调用 `EnableBaseline` API。有关更多信息,请参阅[ APIs 仅使用注册 AWS Control Tower 组织单位](https://docs.aws.amazon.com//controltower/latest/userguide/walkthrough-baseline-steps.html)。
**注册现有 OU 的结果**
注册现有 OU 后,`AWSControlTowerExecution` 角色允许 AWS Control Tower 将监管范围扩展到个人账户。强制执行防护机制,并将有关账户活动的信息报告给您的审计和日志记录账户。
其他结果还包括:
+ `AWSControlTowerExecution` 允许 AWS Control Tower 审计账户进行审计。
+ `AWSControlTowerExecution` 可帮助您配置组织的日志记录,以便每个账户的所有日志都发送到日志记录账户。
+ `AWSControlTowerExecution`确保您选择的 AWS Control Tower 控制措施自动应用于您 OUs中的每个个人账户以及您在 AWS Control Tower 中创建的每个新账户。
对于已注册的 OU,您可以根据 AWS Control Tower 控件所包含的审计和日志记录功能提供合规性和安全性报告。您的安全性和合规性团队可以验证是否满足所有要求,并且没有发生组织偏移。有关偏移的更多信息,请参阅 [在 AWS Control Tower 中检测并解决偏移问题](drift.md)。
**注意**
当 AWS Control Tower 显示 OUs 及其账户时,可能会出现一种异常情况。如果您在一个已注册的 OU 中创建了一个账户,随后又将该注册账户移动到另一个未注册的 OU 中,特别是如果您使用 AWS Organizations 来移动该账户,就会在 OU 详细信息页面中看到“1 个(共 0 个)”账户的结果。此外,您可能已在该未注册的 OU 中创建了另一个未注册的账户。如果有未注册的账户,控制台可能会显示该 OU 为“1 个(共 1 个)”。看起来,单个(新创建的)账户已注册,但实际上并非如此。您必须注册新账户。
# 创建新 OU
以下介绍如何在 AWS Control Tower 中创建 OU 或嵌套 OU。
**在 AWS Control Tower 中创建新 OU**
1. 导航到**组织**页面。
1. 从右上角的**创建资源**下拉菜单中选择**创建组织单元**。
1. 在 **OU 名称**字段中指定名称。
1. 在**父 OU** 下拉列表中,您可以看到已注册的层次结构 OUs。为您正在创建的新 OU 选择一个父 OU。
1. 选择**添加**。
**提示**
要使用更少的步骤添加嵌套 OU,请选择**组织**页面上表中显示的父 OU 名称,查看该父 OU 的 **OU** 页面,然后从右上角的**操作**下拉菜单中选择**添加 OU**。新 OU 会自动创建为所选 OU 下的嵌套 OU。
**注意**
如果您的登录区不是最新版本,您将在下拉菜单中看到一个平面列表,而不是一个层次结构。即使你的着陆区域包含嵌套的 OUs,你也不会在下拉列表中看到 L5 OU,因为你无法在 L5 OU 下创建新的 OU。有关嵌套 OUs 在 AWS Control Tower 中的更多信息,请参阅[嵌套 OUs 在 AWS Control Tower 中](nested-ous.md)。
# 删除 OU
AWS Control Tower 支持单独的控制台操作来*取消注册* OU 和*删除* OU。
删除 OU 是最终操作。它无法撤消。
**注意事项**
+ OU 中的账户必须为空,**删除**和**取消注册**操作才能成功。
+ 必须从 OU 中删除所有可选控件。
+ 必须先取消注册 OU,然后才能删除它。
+ 可以通过取消注册 OU(而非删除),将其从 AWS Control Tower 中删除。
**将 OU 从 AWS Control Tower 中删除**
1. 登录 [https://console.aws.amazon.com/controltower 上的 AWS Control Tower 控制](https://console.aws.amazon.com/controltower)台。
1. 导航到**组织**页面。
1. 选择 OU 的名称以查看 **OU 详细信息**页面,并确保所有账户都已从 OU 中删除。
1. 另外,在 **OU 详细信息**页面上,确保已从 OU 中删除所有可选控件。
1. 返回到**组织**页面,并选择 OU 旁边的单选按钮。
1. 从右上角的**操作**下拉菜单中选择**取消注册组织单元**。
1. 如果您不想完全删除 OU,只是想从 AWS Control Tower 中取消注册它,请**在此处停止**。要完全删除 OU,请继续执行下一步操作。
1. 要继续,请从右上角的**操作**下拉菜单中选择**删除**。
您必须等到取消注册过程完成后才能取消注册其他 OU。
**注意**
要删除由 AWS Control Tower 管理的账户,您可以从 AWS Control Tower 控制台的左侧导航窗格导航到 **Account Factory**。要删除 OU 中不由 AWS Control Tower 管理的账户,请转到 AWS Organizations 控制台。
要以编程方式取消注册 OU,请调用 [`DisableBaseline` API](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html)。
# 注册或重新注册过程中出现失败的常见原因
通常,当您注册或重新注册一个 OU 时,该 OU 中的所有账户都将在 AWS Control Tower 中注册。不过,即使整个 OU 注册成功,也有可能出现某些账户注册失败的情况。在这些情况下,您必须解决与该账户相关的预检查失败问题,然后尝试重新注册该账户或 OU。
如果一个 OU 或任何成员账户的注册(或重新注册)失败,AWS Control Tower 会为受影响的成员账户返回错误信息。您可以在 **OU 详细信息**页面上查看错误消息,该页面上的表格汇总了预检查和账户错误消息。如果**注册 OU** 操作失败,该表格将显示该 OU 下所有账户的所有错误消息。如果需要,也可以在每个账户的**账户详细信息**页面上查看错误信息。
您还可以下载一个包含详细报告的文件,其中显示哪些预检查未通过,以便进行离线分析。您可以选择注册区右上角的**下载**按钮来完成下载。
本部分列出了预检查失败时可能收到的错误的类型,以及如何纠正错误。
**登录区错误**
+ **登录区尚未准备就绪**
重置您当前的登录区,或将其更新到最新版本。
**OU 错误**
+ **超过最大数量 SCPs**
您可能已超过每个 OU 的服务控制策略 (SCPs) 限制,或者可能已达到其他配额。 SCPs 每个 OU 的上限为 5 个,适用于您的 AWS Control Tower 着陆区 OUs 内的所有区域。如果您的 SCPs 数量超过了配额允许的范围,则必须删除或合并 SCPs。
+ **矛盾的 SCPs**
现有 SCPs 可能会应用于 OU 或账户,这会阻止 AWS Control Tower 注册该账户。请检查已应用 SCPs 的是否存在任何可能阻止 AWS Control Tower 运行的策略。请务必检查从层次结构中 OUs较高层继承的。 SCPs
+ **超出堆栈集配额**
可能已超出堆栈集配额。如果您的实例数超出配额允许的数量,则必须删除一些堆栈实例。有关更多信息,请参阅《AWS CloudFormation 用户指南》**中的 [AWS CloudFormation 配额](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html)。
+ **超出账户上限**
AWS Control Tower 在注册过程中将每个 OU 限制在 1000 个账户以内。
**账户错误**
+ **阻止对账户进行预检查**
OU 上现有的 SCP 会阻止 AWS Control Tower 对您的 OU 成员账户进行预检查。要解决此预检查失败问题,请更新 SCP 或从 OU 中删除 SCP。
+ **电子邮件地址错误**
您为账户指定的电子邮件地址不符合命名标准。以下是指定允许使用哪些字符的正则表达式(regex):`[A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+`
+ **已启用 Config 记录器或传输通道**
该账户可能有现有的 AWS Config 配置记录器或传送渠道。在注册账户之前,必须通过 AWS CLI 在 AWS Control Tower 管理账户管理资源的所有 AWS 区域中删除或修改这些内容。
+ **已禁用 STS**
AWS Security Token Service (AWS STS) 可能会在账户中被禁用。 AWS 必须在 AWS Control Tower 支持的所有区域的账户中激活 STS 终端节点。
+ **IAM Identity Center 冲突**
AWS Control Tower 的主区域与 AWS IAM Identity Center (IAM 身份中心)区域不同。如果已设置 IAM Identity Center,AWS Control Tower 主区域必须与 IAM Identity Center 区域相同。
+ **SNS 主题相互冲突**
账户具有 AWS Control Tower 需要使用的 Amazon Simple Notification Service(Amazon SNS)主题名称。AWS Control Tower 创建具有特定名称的资源(例如 SNS 主题)。如果这些名称已被使用,则 AWS Control Tower 设置失败。如果您重复使用之前在 AWS Control Tower 中注册的账户,则可能会出现这种情况。
+ **检测到已暂停账户**
该账户已被暂停。它无法注册到 AWS Control Tower 中。从该 OU 中删除账户,然后重试。
+ **IAM 用户不在产品组合中**
在注册 OU 之前,将 AWS Identity and Access Management (IAM) 用户添加到 Service Catalog 产品组合中。此错误仅与管理账户有关。
+ **账户不符合先决条件**
账户不符合账户注册的先决条件。例如,账户可能缺少在 AWS Control Tower 中注册所需的角色和权限。有关添加角色的说明,请参阅 [手动将所需的 IAM 角色添加到现有角色 AWS 账户 并进行注册](enroll-manually.md)。
提醒一下,当您在 AWS AWS CloudTrail Control Tower 中注册您的所有 AWS 账户时,系统会自动启用这些账户。 CloudTrail 如果在注册之前已在账户上启用,则除非您在开始注册流程 CloudTrail 之前停用,否则您可能会遇到双重计费的情况。