Ajoutez manuellement le rôle IAM requis à un rôle existant Compte AWS et inscrivez-le - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajoutez manuellement le rôle IAM requis à un rôle existant Compte AWS et inscrivez-le

Si vous avez déjà configuré la zone de landing de votre AWS Control Tower, vous pouvez commencer à inscrire les comptes de votre organisation dans une unité d'organisation enregistrée auprès d'AWS Control Tower. Si vous n'avez pas configuré votre zone de landing zone, suivez les étapes décrites dans le guide de l'utilisateur d'AWS Control Tower sur Getting Started, étape 2. Une fois la zone de landing zone prête, suivez les étapes ci-dessous pour intégrer manuellement les comptes existants à la gouvernance d'AWS Control Tower.

N'oubliez pas de consulter ce qui est Conditions préalables à l'inscription indiqué précédemment dans ce chapitre.

Avant de créer un compte auprès d'AWS Control Tower, vous devez autoriser AWS Control Tower à gérer ce compte. Pour ce faire, vous allez ajouter un rôle disposant d'un accès complet au compte, comme indiqué dans les étapes suivantes. Ces étapes doivent être effectuées pour chaque compte que vous inscrivez.

Pour chaque compte :

Étape 1 : Connectez-vous avec un accès administrateur au compte de gestion de l'organisation qui contient actuellement le compte que vous souhaitez inscrire.

Par exemple, si vous avez créé ce compte à partir de AWS Organizations et que vous utilisez un rôle IAM entre comptes pour vous connecter, vous pouvez suivre les étapes suivantes :

  1. Connectez-vous au compte de gestion de votre organisation.

  2. Accédez à AWS Organizations.

  3. Sous Comptes, sélectionnez le compte que vous souhaitez enregistrer et copiez son numéro de compte.

  4. Ouvrez le menu déroulant du compte dans la barre de navigation supérieure et choisissez Changer de rôle.

  5. Sur le formulaire Switch role, renseignez les champs suivants :

    • Sous Compte, entrez le numéro de compte que vous avez copié.

    • Sous Rôle, entrez le nom du rôle IAM qui permet l'accès entre comptes à ce compte. Le nom de ce rôle a été défini lors de la création du compte. Si vous n'avez pas spécifié de nom de rôle lors de la création du compte, entrez le nom de rôle par défaut,OrganizationAccountAccessRole.

  6. Choisissez Changer de rôle.

  7. Vous devriez maintenant être connecté au compte en AWS Management Console tant qu'enfant.

  8. Lorsque vous avez terminé, restez dans le compte enfant pour la prochaine étape de la procédure.

  9. Prenez note de l'identifiant du compte de gestion, car vous devrez le saisir à l'étape suivante.

Étape 2 : autorisez AWS Control Tower à gérer le compte.

  1. Accédez à IAM.

  2. Accédez à Rôles.

  3. Sélectionnez Créer un rôle.

  4. Lorsque vous êtes invité à sélectionner le service auquel le rôle est destiné, choisissez Politique de confiance personnalisée.

  5. Copiez l'exemple de code présenté ici et collez-le dans le document de politique. Remplacez la chaîne Management Account IDpar l'identifiant de compte de gestion réel de votre compte de gestion. Voici la politique à coller :

    {
   "Version":"2012-10-17",
   "Statement":[
      {
      "Effect":"Allow",
      "Principal":{
         "AWS": "arn:aws:iam::Management Account ID:root"
         },
         "Action": "sts:AssumeRole",
         "Condition": {} 
      }
   ]
  }

  6. Lorsque vous êtes invité à joindre des politiques, sélectionnez AdministratorAccess.

  7. Choisissez Suivant : balises.

  8. Vous pouvez voir un écran facultatif intitulé Ajouter des balises. Ignorez cet écran pour le moment en choisissant Next:Review

  9. Sur l'écran de révision, dans le champ Nom du rôle, entrezAWSControlTowerExecution.

  10. Entrez une brève description dans le champ Description, telle que Autorise l'accès complet au compte pour l'inscription.

  11. Sélectionnez Créer un rôle.

Étape 3 : Enregistrez le compte en le transférant dans une unité d'organisation enregistrée et vérifiez l'inscription.

Après avoir configuré les autorisations nécessaires en créant le rôle, suivez ces étapes pour enregistrer le compte et vérifier l'inscription.

  1. Connectez-vous à nouveau en tant qu'administrateur et accédez à AWS Control Tower.

  2. Enregistrez le compte.

    • Sur la page Organisation d'AWS Control Tower, sélectionnez votre compte, puis choisissez S'inscrire dans le menu déroulant Actions en haut à droite.

    • Suivez les étapes pour créer un compte individuel, comme indiqué sur la Étapes pour créer un compte page.

  3. Vérifiez l'inscription.

    • Dans AWS Control Tower, choisissez Organization dans le menu de navigation de gauche.

    • Recherchez le compte que vous avez récemment ouvert. Son état initial indiquera le statut d'inscription.

    • Lorsque l'état passe à Inscrit, le transfert a été effectué avec succès.

Pour poursuivre ce processus, connectez-vous à chaque compte de votre organisation que vous souhaitez inscrire à AWS Control Tower. Répétez les étapes préalables et les étapes d'inscription pour chaque compte.