在 AWS Control Tower 中预置和管理账户 - AWS Control Tower
所需权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 AWS Control Tower 中预置和管理账户

本章涵盖:

  • 在 AWS Control Tower 中预置和管理新成员账户的概述与步骤。

  • 将现有AWS账户注册到 AWS Control Tower 的概述和程序。

有关 AWS Control Tower 中账户的常规信息,请参阅AWS 账户在 AWS Control Tower 中简介。有关将多个账户注册到 AWS Control Tower 的信息,请参阅 向 AWS Control Tower 注册现有组织单元

注意

单个账户的配置、更新和自定义必须针对 AWSControlTowerBaseline 已启用的组织单位 (OU)。如果 OU 未 AWSControlTowerBaseline 启用,则可以激活账户自动注册功能,也可以使用该 OU ResetEnabledControl APIs 上的 an ResetEnabledBaseline d on an EnabledBaselines d EnabledControls and and 来注册账户。当 OU AWSControl TowerBaseline 启用单一账户时,没有单一账户配置限制。

注意

您最多可以同时执行五(5)项与账户相关的操作,包括预置、更新和注册。

预置账户所需的权限

使用适当的用户组权限,预置者可以为其组织中的所有账户指定标准化基准和网络配置。

使用 Account Factory 从 AWS Control Tower 控制台创建账户时,您必须使用已启用 AWSServiceCatalogEndUserFullAccess 策略的 IAM 用户身份登录账户,并获得使用 AWS Control Tower 控制台的权限,且不能以用户身份登录。

注意

预置账户时,账户请求者必须始终拥有 CreateAccountDescribeCreateAccountStatus 权限。此权限集是管理员角色的一部分,当请求者代入管理员角色时会自动获得这些权限。如果您将预置账户的权限委派给他人,则可能需要直接为账户请求者添加这些权限。

有关 AWS Control Tower 中所需权限的一般信息,请参阅 在 AWS Control Tower 中使用基于身份的策略(IAM 策略)。有关 AWS Control Tower 中角色和账户的信息,请参阅角色和账户