註冊的先決條件 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

註冊的先決條件

本節說明如何在登陸區域設定頁面上未選取選用的自動註冊功能,或是您使用 3.1 之前的登陸區域版本操作時,在 AWS Control Tower 中註冊現有 AWS 帳戶。

在您可以註冊 AWS Control Tower AWS 帳戶 中現有的 之前,需要這些先決條件:

注意

如果您已在登陸區域設定頁面中啟用 AWS Control Tower 自動註冊功能,或者您正在註冊帳戶作為註冊 OU 程序的一部分,則不需要新增AWSControlTowerExecution角色的先決條件。不過,在所有情況下,要註冊的帳戶可能沒有現有的 AWS Config 資源。請參閱註冊具有現有 AWS Config 資源的帳戶

  1. 若要註冊現有的 AWS 帳戶,AWSControlTowerExecution角色必須存在於您要註冊的帳戶中。您可以檢閱註冊帳戶以取得詳細資訊和指示。

  2. 除了 AWSControlTowerExecution角色之外, AWS 帳戶 您要註冊的現有 必須具有下列許可和信任關係。否則,註冊將會失敗。

    角色許可: AdministratorAccess (AWS 受管政策)

    角色信任關係:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  3. 我們建議帳戶不應有 AWS Config 組態記錄器或交付管道。您可以透過 AWS CLI 刪除或修改這些項目,然後才能註冊 帳戶。否則,請檢閱註冊具有現有 AWS Config 資源的帳戶,以取得如何修改現有資源的指示。

  4. 您要註冊的帳戶必須存在於與 AWS Control Tower 管理帳戶相同的 AWS Organizations 組織中。已存在的帳戶只能在已向 AWS Control Tower 註冊的 OU 中,註冊到與 AWS Control Tower 管理帳戶相同的組織。

若要檢查其他註冊先決條件,請參閱 AWS Control Tower 入門

注意

當您將帳戶註冊到 AWS Control Tower 時,您的帳戶會受 AWS CloudTrail AWS Control Tower 組織的線索管理。如果您有現有的 CloudTrail 追蹤部署,除非您在 AWS Control Tower 中註冊帳戶之前刪除該帳戶的現有追蹤,否則可能會看到重複費用。

關於使用 AWSControTowerExecution角色的受信任存取

在將現有的 註冊 AWS 帳戶 到 AWS Control Tower 之前,您必須授予 AWS Control Tower 管理或控管帳戶的許可。具體而言,AWS Control Tower 需要許可,才能 AWS Organizations 代表您在 AWS CloudFormation 和 之間建立信任的存取,以便 CloudFormation 可以自動將堆疊部署到所選組織中的帳戶。透過此受信任的存取,AWSControlTowerExecution角色會執行管理每個帳戶所需的活動。因此,您必須先將此角色新增至每個帳戶,才能註冊。

啟用受信任存取時, CloudFormation 可以透過 AWS 區域 單一操作跨多個帳戶建立、更新或刪除堆疊。AWS Control Tower 依賴此信任功能,因此在將角色和許可移至已註冊的組織單位之前,可以先將角色和許可套用至現有帳戶,進而使其受到控管。

若要進一步了解受信任存取和 AWS CloudFormation StackSets,請參閱 AWS CloudFormationStackSets和 AWS Organizations