Inscriba una cuenta existente - AWS Control Tower
Pasos para inscribir una cuentaCausas frecuentes de no inscripción

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Inscriba una cuenta existente

La función Inscribir cuentas está disponible en la consola de la Torre de Control de AWS, para inscribir a las existentes de Cuentas de AWS forma que estén gobernadas por la Torre de Control de AWS. Para obtener más información, consulte Inscribir una empresa existente Cuenta de AWS.

La función Enroll account (Inscribir cuenta) está disponible cuando la zona de inicio no se encuentra en un estado de desviación. Para ver esta capacidad en la consola:

  • Diríjase a la página de la organización en AWS Control Tower.

  • Busque el nombre de la cuenta que desea inscribir. Para encontrarlo, selecciona Solo cuentas en el menú desplegable de la esquina superior derecha y, a continuación, busca el nombre de la cuenta en la tabla filtrada.

  • Sigue los pasos para registrar una cuenta individual, tal y como se muestra en la Pasos para inscribir una cuenta sección.

nota

Cuando inscribas una existente Cuenta de AWS, asegúrate de verificar la dirección de correo electrónico existente. De lo contrario, es posible que se cree una cuenta nueva.

Algunos errores pueden requerir que actualice la página y lo intente de nuevo. Si su zona de inicio se encuentra en un estado de desviación, es posible que no pueda utilizar correctamente la función Enroll account (Inscribir cuenta) . Deberás aprovisionar nuevas cuentas a través de Account Factory hasta que se resuelva tu problema de zona de aterrizaje.

Al inscribir cuentas desde la consola de la Torre de Control de AWS, debe iniciar sesión en una cuenta con un usuario que tenga la AWSServiceCatalogEndUserFullAccess política habilitada, junto con permisos de acceso de administrador para usar la consola de la Torre de Control de AWS, y no puede iniciar sesión como usuario raíz.

Las cuentas que inscriba se pueden actualizar a través de AWS Service Catalog la fábrica de cuentas de AWS Control Tower, del mismo modo que actualizaría cualquier otra cuenta. Los procedimientos de actualización se indican en la sección Actualice y mueva cuentas de fábrica con AWS Control Tower o con AWS Service Catalog.

Pasos para inscribir una cuenta

Una vez que el AdministratorAccesspermiso (política) esté en vigor en tu cuenta actual, sigue estos pasos para inscribir la cuenta:

Para inscribir una cuenta individual en AWS Control Tower

  • Diríjase a la página de organización de la Torre de Control de AWS.

  • En la página de la organización, las cuentas que pueden inscribirse le permiten seleccionar Inscribirse en el menú desplegable Acciones situado en la parte superior de la sección. Estas cuentas también muestran el botón Inscribir una cuenta cuando las ves en la página de detalles de la cuenta.

  • Al seleccionar Inscribir una cuenta, verá la página Inscribir una cuenta, en la que se le solicitará que añada el AWSControlTowerExecution rol a la cuenta. Para obtener algunas instrucciones, consulteAñada manualmente el rol de IAM requerido a uno existente Cuenta de AWS e inscríbalo.

  • A continuación, seleccione una unidad organizativa registrada de la lista desplegable. Si la cuenta ya está en una unidad organizativa registrada, esta lista mostrará la unidad organizativa.

  • Seleccione Enroll account (Inscribir cuenta).

  • Verás un recordatorio modal para añadir el AWSControlTowerExecution rol y confirmar la acción.

  • Selecciona Inscribir.

  • AWS Control Tower comienza el proceso de inscripción y se le redirige a la página de detalles de la cuenta.

Causas frecuentes de no inscripción

  • Para inscribir una cuenta existente, el AWSControlTowerExecution rol debe estar presente en la cuenta que estás inscribiendo.

  • La entidad principal de IAM carece de los permisos necesarios para aprovisionar una cuenta.

  • AWS Security Token Service (AWS STS) está deshabilitado Cuenta de AWS en su región de origen o en cualquier región compatible con la Torre de Control de AWS.

  • Es posible que haya iniciado sesión en una cuenta que deba añadirse a la cartera de Account Factory en AWS Service Catalog. La cuenta debe añadirse antes de poder acceder a Account Factory para poder crear o inscribir una cuenta en AWS Control Tower. Si el usuario o rol apropiado no se agrega a la cartera de Account Factory, recibirás un error cuando intentes agregar una cuenta. Para obtener instrucciones sobre cómo conceder acceso a las AWS Service Catalog carteras, consulta Conceder acceso a los usuarios.

  • Es posible que haya iniciado sesión como usuario raíz.

  • Es posible que la cuenta que estás intentando inscribir tenga una AWS Config configuración residual. En concreto, la cuenta puede tener un grabador de configuración o un canal de entrega. Deben eliminarse o modificarse AWS CLI antes de poder registrar una cuenta. Para obtener más información, consulte Inscribir cuentas que cuenten con AWS Config recursos existentes y Interactuar con AWS Control Tower el uso AWS CloudShell.

  • Si la cuenta pertenece a otra OU con una cuenta de administración, incluida otra OU de AWS Control Tower, debe cancelar la cuenta en su OU actual antes de que pueda unirse a otra OU. Los recursos existentes se deben eliminar de la OU original. De lo contrario, la inscripción fallará.

  • El aprovisionamiento y la inscripción de la cuenta fallan si los SCP de la OU de destino no le permiten crear todos los recursos necesarios para esa cuenta. Por ejemplo, un SCP de la unidad organizativa de destino puede bloquear la creación de recursos sin determinadas etiquetas. En este caso, se produce un error en el aprovisionamiento o la inscripción de la cuenta porque AWS Control Tower no admite el etiquetado de los recursos. Para obtener ayuda, póngase en contacto con su representante de cuentas o AWS Support

Para obtener más información sobre cómo AWS Control Tower trabaja con los roles al crear cuentas nuevas o al inscribir cuentas existentes, consulte Funciones y cuentas.

sugerencia

Si no puede confirmar que una cuenta existente Cuenta de AWS cumple con los requisitos previos de inscripción, puede configurar una OU de inscripción e inscribir la cuenta en esa OU. Una vez que la inscripción se haya realizado correctamente, puede mover la cuenta a la OU que desee. Si se produce un error en la inscripción, el error no afectará a ninguna otra cuenta o unidad organizativa.

Si tiene dudas sobre si sus cuentas actuales y sus configuraciones son compatibles con AWS Control Tower, puede seguir las prácticas recomendadas en la siguiente sección.

Recomendado: puede configurar un enfoque de dos pasos para la inscripción de cuentas

  • En primer lugar, utilice un paquete de AWS Config conformidad para evaluar cómo algunos controles de la Torre de Control de AWS pueden afectar a sus cuentas. Para determinar cómo la inscripción en la Torre de Control de AWS puede afectar a sus cuentas, consulte Ampliar la gobernanza de la Torre de Control de AWS mediante paquetes de AWS Config conformidad.

  • A continuación, es posible que desee inscribir la cuenta. Si los resultados de conformidad son satisfactorios, la ruta de migración es más fácil porque puede inscribir la cuenta sin consecuencias inesperadas.

  • Una vez realizada la evaluación, si decide configurar una zona de aterrizaje de la AWS Control Tower, es posible que tenga que eliminar el canal de AWS Config entrega y el registrador de configuración que se crearon para la evaluación. De este modo, podrá configurar AWS Control Tower correctamente.

nota

El paquete de conformidad también funciona en situaciones en las que las cuentas están ubicadas en unidades organizativas registradas por la Torre de Control de AWS, pero las cargas de trabajo se ejecutan en AWS regiones que no son compatibles con la Torre de Control de AWS. Puede usar el paquete de conformidad para administrar los recursos de las cuentas que existen en regiones en las que AWS Control Tower no está implementada.