Añada manualmente el rol de IAM requerido a uno existente Cuenta de AWS e inscríbalo - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Añada manualmente el rol de IAM requerido a uno existente Cuenta de AWS e inscríbalo

Si ya ha configurado la zona de aterrizaje de la Torre de Control de AWS, puede empezar a inscribir las cuentas de su organización en una OU que esté registrada en AWS Control Tower. Si no ha configurado su landing zone, siga los pasos descritos en la Guía del usuario de AWS Control Tower, en Introducción, paso 2. Cuando la landing zone esté lista, complete los siguientes pasos para que AWS Control Tower controle las cuentas existentes de forma manual.

Asegúrese de revisar lo Requisitos previos para la inscripción indicado anteriormente en este capítulo.

Antes de inscribir una cuenta en AWS Control Tower, debe conceder permiso a AWS Control Tower para administrar esa cuenta. Para ello, añadirá un rol que tenga acceso total a la cuenta, tal y como se indica en los pasos que se indican a continuación. Estos pasos se deben realizar para cada cuenta que inscriba.

Para cada cuenta:

Paso 1: inicie sesión con acceso de administrador en la cuenta de administración de la organización que contiene actualmente la cuenta que desea inscribir.

Por ejemplo, si creó esta cuenta AWS Organizations y utiliza un rol de IAM multicuenta para iniciar sesión, puede seguir estos pasos:

  1. Inicia sesión en la cuenta de administración de tu organización.

  2. Vaya a AWS Organizations.

  3. En Cuentas, selecciona la cuenta que quieres inscribir y copia su ID de cuenta.

  4. Abre el menú desplegable de la cuenta en la barra de navegación superior y selecciona Cambiar rol.

  5. En el formulario Cambiar de rol, rellena los siguientes campos:

    • En Cuenta, introduce el ID de cuenta que copiaste.

    • En Función, introduzca el nombre de la función de IAM que permite el acceso entre cuentas a esta cuenta. El nombre de este rol se definió cuando se creó la cuenta. Si no especificó un nombre de rol al crear la cuenta, introduzca el nombre de rol predeterminado,OrganizationAccountAccessRole.

  6. Elija Switch Role.

  7. Ahora debería iniciar sesión en la cuenta AWS Management Console como hijo.

  8. Cuando termines, permanece en la cuenta infantil durante la siguiente parte del procedimiento.

  9. Anota el identificador de la cuenta de administración, ya que tendrás que introducirlo en el siguiente paso.

Paso 2: Otorgue permiso a AWS Control Tower para administrar la cuenta.

  1. Vaya a IAM.

  2. Ve a Funciones.

  3. Elija Crear rol.

  4. Cuando se te pida que selecciones el servicio al que corresponde el rol, selecciona Política de confianza personalizada.

  5. Copie el ejemplo de código que se muestra aquí y péguelo en el documento de política. Sustituya la cadena Management Account IDpor el ID de cuenta de administración real de su cuenta de administración. Esta es la política para pegar:

    {
   "Version":"2012-10-17",
   "Statement":[
      {
      "Effect":"Allow",
      "Principal":{
         "AWS": "arn:aws:iam::Management Account ID:root"
         },
         "Action": "sts:AssumeRole",
         "Condition": {} 
      }
   ]
  }

  6. Cuando se le pida que adjunte políticas, elija AdministratorAccess.

  7. Elija Siguiente:Etiquetas.

  8. Es posible que veas una pantalla opcional titulada Añadir etiquetas. Omite esta pantalla por ahora seleccionando Next:Review

  9. En la pantalla de revisión, en el campo Nombre del rol, introduzca. AWSControlTowerExecution

  10. Introduzca una breve descripción en el cuadro Descripción, como por ejemplo Permite el acceso total a la cuenta para la inscripción.

  11. Elija Crear rol.

Paso 3: Para inscribir la cuenta, muévala a una unidad organizativa registrada y verifique la inscripción.

Una vez que haya configurado los permisos necesarios mediante la creación del rol, siga estos pasos para inscribir la cuenta y verificar la inscripción.

  1. Vuelva a iniciar sesión como administrador y vaya a AWS Control Tower.

  2. Inscriba la cuenta.

    • En la página de la organización de AWS Control Tower, seleccione su cuenta y, a continuación, elija Inscribirse en el menú desplegable Acciones de la esquina superior derecha.

    • Siga los pasos para inscribir una cuenta individual, tal y como se muestra en la Pasos para inscribir una cuenta página.

  3. Verifica la inscripción.

    • En la Torre de Control de AWS, elija Organization en el panel de navegación de la izquierda.

    • Busque la cuenta que ha inscrito recientemente. Su estado inicial mostrará el estado de Inscripción.

    • Cuando el estado cambia a Inscrito, la mudanza se realizó correctamente.

Para continuar con este proceso, inicie sesión en cada cuenta de su organización que desee inscribir en AWS Control Tower. Repita los pasos previos y los pasos de inscripción para cada cuenta.