从 AWS Control Tower 控制台注册现有账户 - AWS Control Tower
从控制台注册的注意事项手动注册账户的步骤注册失败的常见原因

从 AWS Control Tower 控制台注册现有账户

有两种常见的方法可以将单个 AWS 账户注册到 AWS Control Tower。

  1. 设置页面中选择自动注册 特征后,您可以在 AWS Control Tower 之外创建一个 AWS 账户,然后将其直接移至已注册的 OU 中。有关更多信息,请参阅自动移动和注册账户。此选项在登录区 3.1 及更高版本中可用。

  2. 您可以从 AWS Control Tower 控制台手动注册现有账户。

以下各节描述了第二个选项,它不需要事先配置您的 AWS Control Tower 环境。AWS 账户必须满足所需的先决条件

在控制台中查看符合条件的账户:

  1. 导航到 AWS Control Tower 中的组织页面。

  2. 查找要注册的账户的名称。要找到它,请从右上角的下拉菜单中选择仅限账户,然后在筛选后的表格中找到账户名称。

接下来,按照注册单个账户的步骤进行操作,如手动注册账户的步骤一节所示。

从控制台注册的注意事项

  • AWS Control Tower 控制台中提供的注册账户特征旨在用于注册现有 AWS 账户,使其受 AWS Control Tower 的监管。有关更多信息,请参阅 Enroll an existing AWS 账户

  • 当您的登录区未处于偏移状态时,可以使用基于控制台的注册账户功能。如果您的登录区处于偏移状态,您可能无法成功使用注册账户功能。您需要通过 Account Factory 或其他方法来预置新账户,直到登录区偏移得到解决。

  • 当您从 AWS Control Tower 控制台注册账户时,您必须使用已启用 AWSServiceCatalogEndUserFullAccess 策略且拥有使用 AWS Control Tower 控制台的管理员访问权限的用户身份登录到账户,而不能以根用户身份登录。

  • 您注册的账户必须通过 AWS Control Tower Account Factory 进行更新,就像更新任何其他账户一样。使用 AWS Control Tower 更新和移动账户 部分介绍了更新流程。

注意

注册现有 AWS 账户 时,请务必验证现有的电子邮件地址。否则,可能会创建一个新账户。

手动注册账户的步骤

您的现有 AWS 账户账户具有 AdministratorAccess 访问权限(策略)后,请按照下列步骤注册账户:

在 AWS Control Tower 中通过控制台注册单个账户

  • 导航到 AWS Control Tower 组织页面。

  • 组织页面上,对于符合注册资格的账户,您可以从该部分顶部的操作下拉菜单中选择注册。当您在账户详细信息页面查看这些账户时,它们还会显示注册账户按钮。

  • 当您选择注册账户时,将会看到注册账户页面,其中提示您将该 AWSControlTowerExecution 角色添加到账户。有关说明,请参阅 手动将所需的 IAM 角色添加到现有 AWS 账户 并进行注册

  • 接下来,从下拉列表中选择一个已注册的 OU。如果该账户已在注册的 OU 中,则此列表将显示 OU。

  • 选择注册账户

  • 您会看到一个模态提醒,提醒您添加 AWSControlTowerExecution 角色并确认操作。

  • 选择注册

  • AWS Control Tower 开始注册流程,并引导您回到账户详细信息页面。

注册失败的常见原因

  • 要注册现有账户,您要注册的账户中必须存在 AWSControlTowerExecution 角色。

  • 您的 IAM 委托人可能缺乏预置账户所需的权限。

  • 在您主区域的 AWS 账户 中,或 AWS Control Tower 支持的任何区域中,AWS Security Token Service(AWS STS)处于禁用状态。

  • 您可能会登录到需要添加到 AWS Service Catalog 的 Account Factory 产品组合中的账户。必须先添加账户,然后才能访问 Account Factory,以便您可以在 AWS Control Tower 中创建或注册账户。如果适当的用户或角色未添加到 Account Factory 产品组合中,那么当您尝试添加账户时将会收到一条错误消息。有关如何授予对 AWS Service Catalog 产品组合的访问权限的说明,请参阅 Granting access to users

  • 您可以用根用户身份登录。

  • 您尝试注册的账户可能具有残留的 AWS Config 设置。特别是,该账户可能有配置记录器或传输通道。必须先通过 AWS CLI 删除或修改这些内容,然后才能注册账户。有关更多信息,请参阅注册拥有现有 AWS Config 资源的账户通过 AWS CloudShell 与 AWS Control Tower 进行交互

  • 如果该账户属于具有管理账户的另一个 OU,包括另一个 AWS Control Tower OU,则必须先在其当前 OU 中终止该账户,然后它才能加入另一个 OU。必须移除原始 OU 中的现有资源。否则,注册将失败。

  • 如果您的目标 OU 的 SCP 不允许您创建该账户所需的所有资源,则账户预置和注册将失败。例如,目标 OU 中的 SCP 可能会在没有特定标签的情况下阻止创建资源。在这种情况下,账户预置或注册会失败,因为 AWS Control Tower 不支持为资源添加标签。如需帮助,请联系您的客户代表,或 支持。

有关在创建新账户或注册现有账户时 AWS Control Tower 如何使用角色的更多信息,请参阅 Roles and accounts

提示

如果您无法确认现有 AWS 账户 是否满足注册先决条件,则可以设置注册 OU 并将该账户注册到该 OU。注册成功后,您可以将账户转移到所需的 OU。如果注册失败,不会影响其他账户或 OU。

如果您不确定现有账户及其配置是否与 AWS Control Tower 兼容,可以遵循下一节中推荐的最佳实践。

建议:您可以设置一个包含两个步骤的账户注册方法

  • 首先,使用 AWS Config 一致性包来评估您的账户可能受某些 AWS Control Tower 控制措施的影响程度。要确定注册 AWS Control Tower 会如何影响您的账户,请参阅 Extend AWS Control Tower governance using AWS Config conformance packs

  • 接下来,您可能希望注册该账户。如果合规性结果令人满意,迁移路径会更容易,因为您可以注册账户而不会产生意外后果。

  • 完成评估后,如果您决定设置 AWS Control Tower 登录区,您可能需要删除为评估创建的 AWS Config 传输通道和配置记录器。然后,您将能够成功设置 AWS Control Tower。

注意

一致性包也适用于账户位于由 AWS Control Tower 注册的 OU 中,但工作负载在没有 AWS Control Tower 支持的 AWS 区域内运行的情况。对于存在于未部署 AWS Control Tower 的区域中的账户,您可以使用一致性包来管理这些账户中的资源。