本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 從 AWS Control Tower 主控台註冊現有帳戶
有兩種常見方式可將個人註冊 AWS 帳戶 到 AWS Control Tower。
1. 在**設定**頁面中選取*自動註冊*功能後,您可以在 AWS Control Tower AWS 帳戶 外部建立 ,並將其直接移入已註冊的 OU。如需詳細資訊,請參閱[自動移動和註冊帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/account-auto-enroll.html)。此選項適用於登陸區域 3.1 版和更新版本。
1. 您可以從 AWS Control Tower 主控台手動註冊現有帳戶。
**下列各節說明第二個選項,**不需要 AWS Control Tower 環境的先前組態。 AWS 帳戶 必須符合必要的[先決條件](https://docs.aws.amazon.com//controltower/latest/userguide/enrollment-prerequisites.html)。
**在 主控台中檢視您的合格帳戶:**
1. 導覽至 AWS Control Tower 中的**組織**頁面。
1. 尋找您要註冊的帳戶名稱。若要尋找,請從右上角的下拉式選單中選擇**帳戶**,然後在篩選的表格中找到帳戶名稱。
接著,請遵循註冊個別帳戶的步驟,如 [手動註冊帳戶的步驟](#enrollment-steps)一節所示。
## 從主控台註冊的考量事項
+ AWS Control Tower 主控台中提供的**註冊帳戶**功能旨在註冊現有的 , AWS 帳戶 以便它們由 AWS Control Tower 管理。如需詳細資訊,請參閱[註冊現有的 AWS 帳戶](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html)。
+ 當您的登陸區域未處於[偏離](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html)狀態時,可以使用主控台型**註冊帳戶**功能。如果登陸區域處於偏離狀態,您可能無法成功使用 **Enroll account (註冊帳戶)** 佈建。您需要透過 Account Factory 或其他方法佈建新帳戶,直到您的登陸區域偏離解決為止。
+ 當您從 AWS Control Tower 主控台註冊帳戶時,您必須使用已啟用`AWSServiceCatalogEndUserFullAccess`政策的使用者登入帳戶,以及使用 AWS Control Tower 主控台的**管理員**存取許可,而且您無法以根使用者身分登入。
+ 您註冊的帳戶可能會透過 AWS Control Tower 帳戶工廠更新,就像您更新任何其他帳戶一樣。稱為[使用 AWS Control Tower 更新和移動帳戶](updating-account-factory-accounts.md)的小節會提供更新程序。
**注意**
當您註冊現有的 時 AWS 帳戶,請務必驗證現有的電子郵件地址。否則,可能會建立新帳戶。
## 手動註冊帳戶的步驟
在現有 AWS 帳戶 帳戶中具備 **AdministratorAccess** 存取許可 (政策) 之後,請依照下列步驟註冊帳戶:
**從主控台在 AWS Control Tower 中註冊個別帳戶**
+ 導覽至 AWS Control Tower **Organization** 頁面。
+ 在**組織**頁面上,有資格註冊的帳戶可讓您從區段頂端**的動作**下拉式功能表中選取**註冊**。當您在帳戶詳細資訊頁面上檢視帳戶時,這些帳戶也會顯示**註冊**帳戶按鈕。 ****
+ 選擇**註冊帳戶**時,您會看到**註冊帳戶**頁面,提示您將`AWSControlTowerExecution`角色新增至帳戶。如需一些說明,請參閱 [手動將必要的 IAM 角色新增至現有 AWS 帳戶 並註冊](enroll-manually.md)。
+ 接著,從下拉式清單中選取已註冊的 OU。如果帳戶已在已註冊的 OU 中,此清單會顯示 OU。
+ 選擇 **Enroll acount (註冊帳戶)**。
+ 您會看到新增`AWSControlTowerExecution`角色並確認動作的模態提醒。
+ 選擇**註冊**。
+ AWS Control Tower 會開始註冊程序,系統會將您導向至**帳戶詳細資訊**頁面。
## 註冊失敗的常見原因
+ 若要註冊現有帳戶,`AWSControlTowerExecution`角色必須存在於您要註冊的帳戶中。
+ 您的 IAM 委託人可能缺乏佈建帳戶的必要許可。
+ AWS Security Token Service (AWS STS) 在您的 AWS 帳戶 主區域或 AWS Control Tower 支援的任何區域中已停用。
+ 您可能會登入需要新增至帳戶工廠產品組合的帳戶 AWS Service Catalog。您必須先新增帳戶,才能存取 Account Factory,才能在 AWS Control Tower 中建立或註冊帳戶。如果適當的使用者或角色未新增至 Account Factory 產品組合,當您嘗試新增帳戶時,會收到錯誤。如需如何授予 AWS Service Catalog 產品組合存取權的指示,請參閱[授予使用者存取權](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html)。
+ 您可以 root 身分登入。
+ 您嘗試註冊的帳戶可能會有剩餘的 AWS Config 設定。特別是,帳戶可能具有組態記錄器或交付管道。您必須先透過 刪除或修改這些項目, AWS CLI 才能註冊 帳戶。如需詳細資訊,請參閱[註冊具有現有 AWS Config 資源的帳戶](existing-config-resources.md)及[透過 與 互動 AWS Control Tower AWS CloudShell](cshell-examples.md)。
+ 如果帳戶屬於另一個具有管理帳戶的 OU,包括另一個 AWS Control Tower OU,您必須先終止其目前 OU 中的帳戶,才能加入另一個 OU。必須移除原始 OU 中的現有資源。否則,註冊將會失敗。
+ 如果您的目的地 OU 的 SCPs 不允許您建立該帳戶所需的所有資源,則帳戶佈建和註冊會失敗。例如,目的地 OU 中的 SCP 可能會在沒有特定標籤的情況下封鎖資源建立。在此情況下,帳戶佈建或註冊會失敗,因為 AWS Control Tower 不支援資源標記。如需協助,請聯絡您的客戶代表,或 支援。
如需在建立新帳戶或註冊現有帳戶時,AWS Control Tower 如何使用角色的詳細資訊,請參閱[角色和帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/roles.html)。
**提示**
如果您無法確認現有的 AWS 帳戶 符合註冊先決條件,您可以設定**註冊 OU** 並將帳戶註冊到該 OU。註冊成功後,您可以將帳戶移至所需的 OU。如果註冊發生失敗,則不會有其他帳戶或 OUs 受到失敗的影響。
如果您不確定現有帳戶及其組態是否與 AWS Control Tower 相容,您可以遵循下一節建議的最佳實務。
**建議:您可以為帳戶註冊設定雙步驟方法**
+ 首先,使用 AWS Config *一致性套件*來評估您的帳戶可能如何受到某些 AWS Control Tower 控制項的影響。若要判斷註冊 AWS Control Tower 如何影響您的帳戶,請參閱[使用一致性套件擴展 AWS Control Tower AWS Config 控管](https://aws.amazon.com//blogs/mt/extend-aws-control-tower-governance-using-aws-config-conformance-packs/)。
+ 接下來,您可能希望註冊該帳戶。如果合規結果令人滿意,遷移路徑會更容易,因為您可以在預期的情況下註冊帳戶。
+ 完成評估後,如果您決定設定 AWS Control Tower 登陸區域,您可能需要移除為評估建立的 AWS Config 交付管道和組態記錄器。然後,您就可以成功設定 AWS Control Tower。
**注意**
一致性套件也適用於帳戶位於 AWS Control Tower 註冊OUs 中的情況,但工作負載會在沒有 AWS Control Tower 支援的 AWS 區域中執行。您可以使用一致性套件來管理 AWS Control Tower 未部署區域中現有的帳戶中的資源。