本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 註冊的先決條件 *本節說明如何在登陸區域**設定**頁面上未選取選用的自動註冊功能,或是您使用 3.1 之前的登陸區域版本操作時,在 AWS Control Tower 中註冊現有 AWS 帳戶。* 在您可以註冊 AWS Control Tower AWS 帳戶 中現有的 之前,需要這些先決條件: **注意** 如果您已在登陸區域**設定**頁面中啟用 AWS Control Tower 自動註冊功能,或者您正在註冊帳戶作為**註冊 OU** 程序的一部分,則不需要新增`AWSControlTowerExecution`角色的先決條件。不過,在所有情況下,要註冊的帳戶可能沒有現有的 AWS Config 資源。請參閱[註冊具有現有 AWS Config 資源的帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html) 1. 若要註冊現有的 AWS 帳戶,`AWSControlTowerExecution`角色必須存在於您要註冊的帳戶中。您可以檢閱[註冊帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html)以取得詳細資訊和指示。 1. 除了 `AWSControlTowerExecution`角色之外, AWS 帳戶 您要註冊的現有 必須具有下列許可和信任關係。否則,註冊將會失敗。 角色許可: `AdministratorAccess` (AWS 受管政策) **角色信任關係:** ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole" } ] } ``` ------ 1. 我們建議帳戶不應有 AWS Config 組態記錄器或交付管道。您可以透過 AWS CLI 刪除或修改這些項目,然後才能註冊 帳戶。否則,請檢閱[註冊具有現有 AWS Config 資源的帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html),以取得如何修改現有資源的指示。 1. 您要註冊的帳戶必須存在於與 AWS Control Tower 管理帳戶相同的 AWS Organizations 組織中。已存在的帳戶只能在已**向 AWS Control Tower 註冊的 OU 中,註冊到與 AWS Control Tower 管理帳戶相同的組織。 若要檢查其他註冊先決條件,請參閱 [AWS Control Tower 入門](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-with-control-tower.html)。 **注意** 當您向 AWS Control Tower 註冊帳戶時,您的帳戶會受 AWS CloudTrail AWS Control Tower 組織的追蹤所管理。如果您有現有的 CloudTrail 追蹤部署,除非您在 AWS Control Tower 中註冊帳戶之前刪除該帳戶的現有追蹤,否則可能會看到重複費用。 **關於使用 `AWSControTowerExecution`角色的受信任存取** 在將現有的 註冊 AWS 帳戶 到 AWS Control Tower 之前,您必須授予 AWS Control Tower 管理或*控管*帳戶的許可。具體而言,AWS Control Tower 需要許可,才能 AWS Organizations 代表您在 AWS CloudFormation 和 之間建立受信任的存取,以便 CloudFormation 可以自動將堆疊部署到所選組織中的帳戶。透過此受信任的存取,`AWSControlTowerExecution`角色會執行管理每個帳戶所需的活動。因此,您必須先將此角色新增至每個帳戶,才能註冊。 啟用受信任存取時, CloudFormation 可以透過 AWS 區域 單一操作跨多個帳戶建立、更新或刪除堆疊。AWS Control Tower 依賴此信任功能,因此在將角色和許可移至已註冊的組織單位之前,可以先將角色和許可套用至現有帳戶,進而使其受到控管。 若要進一步了解受信任存取和 AWS CloudFormation StackSets,請參閱 [AWS CloudFormationStackSets和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) 。