本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AWS Control Tower 更新和移动账户
更新已注册账户的最简单方法是通过 AWS Control Tower 控制台完成该操作。单独的账户更新对于解决偏移问题很有用,例如移动的成员账户。此外,作为完整的登录区更新的一部分,也需要更新账户。
在控制台中更新账户
在 AWS Control Tower 控制台中更新账户
-
登录 AWS Control Tower 后,导航到组织页面。
-
在 OUs 和账户列表中,选择要更新的账户名称。可供更新的账户将显示更新可用状态。
-
接下来,您将看到所选账户的账户详细信息页面。
-
在右上角,选择更新账户。
如果您将账户从一个组织单元(OU)移动到另一个 OU,请记住,新 OU 所应用的控件可能与原 OU 中的控件不同。请确保新 OU 中的控件符合账户的策略要求。
AWS Control Tower 账户的修改方式有所不同,具体取决于您是否选择了自动注册账户。有关自动注册的更多信息,请参阅(可选)为账户配置自动注册。
控制在账户之间移动时的行为 OUs,启用了自动注册
当您将账户移动到新 OU 时,AWS Control Tower 会将该 OU 启用的基准和控件应用于此账户。系统将移除先前 OU 中的控件和基准。如果您将账户移动到已注册的 OU 之外,则 AWS Control Tower 会删除所有已部署的基准和控件。
控制在账户之间移动时的行为 OUs,不使用自动注册
当您在账户之间移动时 OUs,目标 OU 的控件将应用于 账户。但是,系统不会删除已应用于账户的前 OU 中的控件。控件的确切行为取决于前 OU 和目标 OU 上处于活动状态的控件的实施情况。
-
对于使用AWS Config规则实现的控件:来自先前 OU 的控件 未被删除。必须手动删除这些控件。
-
对于使用以下方法实现的控件 SCPs:以前的 OU 中基于 SCP 的控件是 已移除。目标 OU 中基于 SCP 的控件将对此账户生效。
-
对于使用CloudFormation钩子实施的控件:此行为取决于新 OU 中的控件的状态。
-
如果目标 OU 中没有基于钩子的活跃控件:除非您手动删除控件,否则已移动账户的旧控件将仍然保持活动状态。
-
如果目标 OU 中存在活跃的钩子控件:系统将删除旧控件,并将目标 OU 中的控件应用于账户。
-
