Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower

Un moyen efficace de réunir plusieursAWScomptes dans AWS Control Tower est deétendre la gouvernancepar AWS Control Tower à l'ensemble d'une unité d'organisation.

Pour activer la gouvernance d'AWS Control Tower sur une unité d'organisation existante créée avecAWS Organizations, et ses comptes,s'inscrirel'unité d'organisation avec votre landing zone AWS Control Tower. Vous pouvez enregistrer des unités d'organisation contenant jusqu'à 300 comptes. Si une unité d'organisation contient plus de 300 comptes, vous ne pouvez pas l'enregistrer dans AWS Control Tower.

Lorsque vous enregistrez une UO, ses comptes membres sont inscrits dans la landing zone d'AWS Control Tower. Ils sont régis par les garde-fous qui s'appliquent à leur UO.

Note

Si vous ne disposez pas encore d'une landing zone AWS Control Tower, commencez par configurer une landing zone, soit dans une nouvelle organisation créée par AWS Control Tower, soit dans une zone existanteAWS Organizationsorganisation. Pour découvrir comment configurer une landing zone, consultez.Premiers pas avec AWS Control Tower.

Qu'advient-il de mes comptes lorsque j'enregistre mon UO ?

AWS Control Tower nécessite une autorisation pour établir un accès sécurisé entreAWS CloudFormationetAWS Organizationsen votre nom, afin queAWS CloudFormationpeut déployer automatiquement votre pile sur les comptes de votre organisation.

  • LeAWSControlTowerExecutionle rôle est ajouté à tous les comptes avec statutNon inscrit.

  • Les barrières de sécurité obligatoires sont activées par défaut pour votre unité d'organisation et tous ses comptes lorsque vous enregistrez votre unité d'organisation.

Inscription partielle des comptes après l'enregistrement d'une unité d'organisation

Il est possible d'enregistrer une unité d'organisation avec succès, mais certains comptes peuvent ne pas être inscrits. Si tel est le cas, ces comptes ne remplissent pas certaines des conditions préalables à l'inscription. Si l'inscription d'un compte dans le cadre duinscritle processus échoue, l'état du compte sur la page des comptes indiqueL'inscription. Vous pouvez également voir les informations de compte sur la page de votre UO, telles que4 de 5, dans le champ Comptes.

Par obtenir des exemples, si vous voyez4 de 5, cela signifie que votre unité d'organisation possède 5 comptes au total, dont 4 se sont inscrits avec succès, mais qu'un compte n'a pas pu s'inscrire pendant lainscritprocessus. Vous pouvez choisirRéenregistrement d'une organisationpour intégrer les comptes à l'inscription, une fois que vous vous êtes assuré qu'ils répondent aux conditions d'inscription.

Conditions préalables à l'enregistrement d'une UO pour l'utilisateur IAM

Vos recettesAWS Identity and Access Management(IAM) (utilisateur ou rôle) doit être incluse dans le portefeuille Account Factory approprié lorsque vous effectuez l'inscritopération, même si vous avez déjàAdminautorisations. Dans le cas contraire, la création des produits provisionnés échouera lors de l'enregistrement. L'échec se produit car AWS Control Tower s'appuie sur les informations d'identification de l'identité IAM lors de l'enregistrement d'une unité d'organisation.

Le portefeuille pertinent est celui créé par AWS Control Tower, appeléAWS Control Tower Account Factory Portfolio. Naviguez vers celui-ci en choisissantService Catalog > Account Factory > Portefeuille de comptes AWS Control Tower Account Factory. Sélectionnez ensuite l'onglet appeléGroupes, rôles et utilisateurspour voir votre identité IAM. Pour de plus amples informations sur la façon d'octroyer l'accès, veuillez consulterla documentation relative à AWS Service Catalog.

Causes courantes d'échec lors de l'enregistrement ou du réenregistrement

Si l'enregistrement (ou le réenregistrement) d'une unité d'organisation ou de l'un de ses comptes membres échoue, vous pouvez télécharger un fichier contenant un rapport détaillé indiquant quelles vérifications préalables n'ont pas réussi. Vous pouvez terminer le téléchargement en sélectionnant l'optionTéléchargement, qui s'affiche dans l'angle supérieur droit de la zone d'enregistrement.

Cette section répertorie les types d'erreurs que vous pouvez recevoir en cas d'échec des vérifications préalables et indique comment les corriger.

En général, lorsque vous enregistrez ou réenregistrez une UO, tous les comptes de cette UO sont inscrits dans AWS Control Tower. Cependant, il est possible que certains comptes ne parviennent pas à s'inscrire, même si l'unité d'organisation dans son ensemble est enregistrée avec succès. Dans ce cas, vous devez résoudre l'échec de pré-vérification lié au compte, puis essayer de réinscrire ce compte ou cette unité d'organisation.

Erreur de destination

  • Zone d'atterrissage non prête

    Réparez votre landing zone actuelle ou mettez-la à jour avec la dernière version.

Erreurs d'organisation

  • Dépasse le nombre maximal de SCP

    Vous avez peut-être dépassé la limite des stratégies de contrôle des services (SCP) par unité d'organisation ou vous avez peut-être atteint un autre quota. Une limite de 5 stratégies de contrôle de service par unité d'organisation s'applique à toutes les unités d'organisation situées dans la landing zone AWS Control Tower Si vous avez plus de points de connexion de service que le quota ne le permet, vous devez supprimer ou combiner les points de service.

  • SCP en conflit

    Les SCP existants peuvent être appliqués à l'unité d'organisation ou au compte, ce qui empêche AWS Control Tower d'inscrire le compte. Vérifiez les points de connexion de service appliqués pour connaître toute politique susceptible d'empêcher AWS Control Tower de fonctionner. Veillez à vérifier les points de service hérités des unités d'organisation situées plus haut dans la hiérarchie.

  • Dépasse le quota de pile défini

    Le quota de la pile a peut-être été dépassé. Si vous avez plus d'instances que le quota ne le permet, vous devez supprimer certaines instances de pile. Pour de plus amples informations, veuillez consulterAWS CloudFormationquotasdans leAWS CloudFormationGuide de l'utilisateur.

  • Dépasse la limite du

    AWS Control Tower limite chaque unité d'organisation à 298 comptes lors de l'enregistrement.

Erreurs de compte

  • Pré-vérifications bloquées sur les comptes

    Un SCP existant sur l'UO empêche AWS Control Tower d'effectuer des pré-vérifications sur les comptes des membres de l'UO. Pour résoudre cet échec de pré-vérification, mettez à jour ou supprimez le SCP de l'unité d'organisation.

  • Erreur e-mail

    L'adresse e-mail que vous avez spécifiée pour le compte n'est pas conforme aux normes de dénomination. Voici l'expression régulière (regex) qui spécifie les caractères autorisés :[A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+

  • Enregistreur de Config ou canal de diffusion activé

    Le compte peut avoir unAWS Configl'enregistreur de configuration ou le canal de livraison. Ils doivent être supprimés ou modifiés par l'intermédiaire duAWS CLIen toutAWSLes régions dans lesquelles le compte de gestion AWS Control Tower a régi les ressources, avant que vous ne puissiez inscrire un compte.

  • STS désactivé

    AWS Security Token Service(AWS STS) peut être désactivé dans le compte.AWS Les points de terminaison STS doivent être activés dans les comptes de toutes les régions prises en charge par AWS Control Tower.

  • Conflit IAM Identity Center

    La région d'origine d'AWS Control Tower n'est pas la même que celleAWS IAM Identity Center (successor to AWS Single Sign-On)(IAM Identity Center). Si IAM Identity Center est déjà configuré, la région d'origine d'AWS Control Tower doit être la même que la région IAM Identity Center.

  • Rubrique SNS conflictuel

    Le compte possède un nom de rubrique Amazon Simple Notification Service (Amazon SNS) qu'AWS Control Tower doit utiliser. AWS Control Tower crée des ressources (telles que des rubriques SNS) avec des noms spécifiques. Si ces noms sont déjà utilisés, la configuration d'AWS Control Tower échoue. Cette situation peut se produire si vous réutilisez un compte précédemment inscrit à AWS Control Tower.

  • Compte suspendu détecté

    Ce compte a été suspendu. Il ne peut pas être inscrit dans AWS Control Tower. Supprimez le compte de cette unité d'organisation et réessayez.

  • L'utilisateur IAM n'est pas dans le portefeuille

    Ajout duAWS Identity and Access Management(IAM) à laAWS Service Catalogportefeuille avant d'enregistrer votre UO. Cette erreur concerne uniquement le compte de gestion.

  • Le compte ne répond pas aux conditions préalables

    Le compte ne remplit pas les conditions préalables à l'inscription d'un compte. Par exemple, il se peut que le compte ne dispose pas des rôles et des autorisations nécessaires pour l'inscrire dans AWS Control Tower. Les instructions relatives à l'ajout d'un rôle sont disponibles dansAjouter manuellement le rôle IAM requis à un rôle existantAWScompte et inscrivez-le.

Pour rappel,AWS CloudTrailest activé automatiquement sur tous vosAWSlorsque vous les inscrivez à AWS Control Tower. Si CloudTrail est activé sur un compte avant l'inscription, vous pourriez être confronté à une double facturation à moins que vous ne désactiviez CloudTrail avant de commencer le processus d'inscription.