本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 从 AWS Control Tower 控制台注册现有账户
注册个人加 AWS 账户 入 AWS Control Tower 有两种常见方法。
1. 在 “**设置**” 页面中选择*自动注册*功能后,您可以在 AWS Control Tower AWS 账户 之外创建一个,然后将其直接移至已注册的 OU 中。有关更多信息,请参阅[自动移动和注册账户](https://docs.aws.amazon.com//controltower/latest/userguide/account-auto-enroll.html)。此选项在登录区 3.1 及更高版本中可用。
1. 您可以从 AWS Control Tower 控制台手动注册现有账户。
**以下各节描述了第二个选项,**它不需要事先配置您的 AWS Control Tower 环境。 AWS 账户 必须满足所需的先[决条件](https://docs.aws.amazon.com//controltower/latest/userguide/enrollment-prerequisites.html)。
**在控制台中查看符合条件的账户:**
1. 导航到 AWS Control Tower 中的**组织**页面。
1. 查找要注册的账户的名称。要找到它,请从右上角的下拉菜单中选择**仅限账户**,然后在筛选后的表格中找到账户名称。
接下来,按照注册单个账户的步骤进行操作,如[手动注册账户的步骤](#enrollment-steps)一节所示。
## 从控制台注册的注意事项
+ AWS Control Tower 控制台中提供的**注册账户**功能旨在注册现有账户, AWS 账户 使其受 AWS Control Tower 的管理。有关更多信息,请参阅 [Enroll an existing AWS 账户](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html)。
+ 当您的登录区未处于[偏移](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html)状态时,可以使用基于控制台的**注册账户**功能。如果您的登录区处于偏移状态,您可能无法成功使用**注册账户**功能。您需要通过 Account Factory 或其他方法来预置新账户,直到登录区偏移得到解决。
+ 当您从 AWS Control Tower 控制台注册账户时,您必须使用已启用 `AWSServiceCatalogEndUserFullAccess` 策略且拥有使用 AWS Control Tower 控制台的**管理员**访问权限的用户身份登录到账户,而不能以根用户身份登录。
+ 您注册的账户必须通过 AWS Control Tower Account Factory 进行更新,就像更新任何其他账户一样。[使用 AWS Control Tower 更新和移动账户](updating-account-factory-accounts.md) 部分介绍了更新流程。
**注意**
注册现有电子邮件地址时 AWS 账户,请务必验证现有的电子邮件地址。否则,可能会创建一个新账户。
## 手动注册账户的步骤
在现有 AWS 账户 账户中设置**AdministratorAccess**访问权限(政策)后,请按照以下步骤注册该账户:
**在 AWS Control Tower 中通过控制台注册单个账户**
+ 导航到 AWS Control Tower **组织**页面。
+ 在**组织**页面上,对于符合注册资格的账户,您可以从该部分顶部的**操作**下拉菜单中选择**注册**。当您在**账户详细信息**页面查看这些账户时,它们还会显示**注册账户**按钮。
+ 当您选择**注册账户**时,将会看到**注册账户**页面,其中提示您将该 `AWSControlTowerExecution` 角色添加到账户。有关说明,请参阅 [手动将所需的 IAM 角色添加到现有角色 AWS 账户 并进行注册](enroll-manually.md)。
+ 接下来,从下拉列表中选择一个已注册的 OU。如果该账户已在注册的 OU 中,则此列表将显示 OU。
+ 选择**注册账户**。
+ 您会看到一个模态提醒,提醒您添加 `AWSControlTowerExecution` 角色并确认操作。
+ 选择**注册**。
+ AWS Control Tower 开始注册流程,并引导您回到**账户详细信息**页面。
## 注册失败的常见原因
+ 要注册现有账户,您要注册的账户中必须存在 `AWSControlTowerExecution` 角色。
+ 您的 IAM 委托人可能缺乏预置账户所需的权限。
+ AWS Security Token Service (AWS STS) AWS 账户 在您所在的地区或 AWS Control Tower 支持的任何区域中被禁用。
+ 您可能会登录到需要添加到 AWS Service Catalog的 Account Factory 产品组合中的账户。必须先添加账户,然后才能访问 Account Factory,以便您可以在 AWS Control Tower 中创建或注册账户。如果适当的用户或角色未添加到 Account Factory 产品组合中,那么当您尝试添加账户时将会收到一条错误消息。有关如何授予对 AWS Service Catalog 投资组合的访问权限的说明,请参阅[向用户授予访问权限](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html)。
+ 您可以用根用户身份登录。
+ 您尝试注册的账户可能有剩余 AWS Config 设置。特别是,该账户可能有配置记录器或传输通道。必须先通过删除或修改这些 AWS CLI 信息,然后才能注册账户。有关更多信息,请参阅[注册拥有现有 AWS Config 资源的账户](existing-config-resources.md)和[AWS Control Tower通过以下方式与之互动AWS CloudShell](cshell-examples.md)。
+ 如果该账户属于具有管理账户的另一个 OU,包括另一个 AWS Control Tower OU,则必须先在其当前 OU 中终止该账户,然后它才能加入另一个 OU。必须移除原始 OU 中的现有资源。否则,注册将失败。
+ 如果您的目标 OU SCPs 不允许您创建该账户所需的所有资源,则账户配置和注册将失败。例如,目标 OU 中的 SCP 可能会在没有特定标签的情况下阻止创建资源。在这种情况下,账户预置或注册会失败,因为 AWS Control Tower 不支持为资源添加标签。如需帮助,请联系您的客户代表,或 支持。
有关在创建新账户或注册现有账户时 AWS Control Tower 如何使用角色的更多信息,请参阅 [Roles and accounts](https://docs.aws.amazon.com//controltower/latest/userguide/roles.html)。
**提示**
如果您无法确认现有组织是否 AWS 账户 满足注册先决条件,则可以设置**注册 OU** 并将该账户注册到该 OU。注册成功后,您可以将账户转移到所需的 OU。如果注册失败,则不会 OUs 有其他账户或受该失败的影响。
如果您不确定现有账户及其配置是否与 AWS Control Tower 兼容,可以遵循下一节中推荐的最佳实践。
**建议:您可以设置一个包含两个步骤的账户注册方法**
+ 首先,使用 AWS Config *一致性包来评估某些 AWS Con* trol Tower 控制措施可能如何影响您的账户。要确定注册 AWS Control Tower 会如何影响您的账户,请参阅[使用 AWS Config 一致性包扩展 AWS Control Tower 的治理](https://aws.amazon.com//blogs/mt/extend-aws-control-tower-governance-using-aws-config-conformance-packs/)。
+ 接下来,您可能希望注册该账户。如果合规性结果令人满意,迁移路径会更容易,因为您可以注册账户而不会产生意外后果。
+ 完成评估后,如果您决定设置 AWS Control Tower 着陆区,则可能需要移除为评估而创建的 AWS Config 交付渠道和配置记录器。然后,您将能够成功设置 AWS Control Tower。
**注意**
合规包也适用于账户位于 AWS Control Tower OUs 注册但工作负载在不支持 AWS Control Tower 的 AWS 区域内运行的情况。对于存在于未部署 AWS Control Tower 的区域中的账户,您可以使用一致性包来管理这些账户中的资源。