Enregistrer une unité organisationnelle existante auprès AWS de Control Tower

Un moyen efficace d'intégrer plusieurs AWS comptes existants dans AWS Control Tower consiste à étendre la gouvernance par AWS Control Tower à l'ensemble d'une unité organisationnelle (UO).

Pour permettre à AWS Control Tower de gouverner une UO existante créée avec AWS Organizations et ses comptes, enregistrez l'UO auprès de votre zone d'atterrissage AWS Control Tower. Vous pouvez enregistrer un compte OUs contenant jusqu'à 1 000 comptes. Si une unité d'organisation contient plus de 1 000 comptes, vous ne pouvez pas l'enregistrer dans AWS Control Tower.

Lorsque vous enregistrez une UO, les comptes de ses membres sont inscrits dans la zone de landing zone de AWS Control Tower. Ils sont régis par les contrôles qui s'appliquent à leur unité d'organisation.

Note

Si vous n'avez pas encore de zone d'atterrissage AWS Control Tower, commencez par créer une zone d'atterrissage, soit dans une nouvelle organisation créée par AWS Control Tower, soit dans une AWS Organizations organisation existante. Pour plus de détails sur la configuration d'une zone d'atterrissage, consultezCommencer à utiliser AWS Control Tower.

Qu'arrive-t-il à mes comptes lorsque j'enregistre mon unité d'organisation ?

AWSControl Tower a besoin d'une autorisation pour établir un accès fiable entre vous AWS CloudFormation et en votre nom, afin de AWS CloudFormation pouvoir déployer automatiquement votre stack AWS Organizations sur les comptes de votre organisation.

• Le AWSControlTowerExecution rôle est ajouté à tous les comptes dont le statut est Non inscrit.

• Les contrôles obligatoires sont activés par défaut sur votre unité d'organisation et sur tous ses comptes lorsque vous enregistrez votre unité d'organisation.

Inscription partielle des comptes après l'enregistrement d'une UO

Il est possible d'enregistrer une unité d'organisation avec succès, mais il se peut que certains comptes ne soient pas enregistrés. Si tel est le cas, ces comptes ne répondent pas à certaines des conditions requises pour l'inscription. Si l'inscription d'un compte dans le cadre du processus d'enregistrement de l'unité d'organisation échoue, le statut du compte sur la page des comptes indique que l'inscription a échoué. Vous pouvez également voir des informations de compte sur la page de votre UO, telles que 4 sur 5, dans le champ des comptes.

Par exemple, si vous voyez 4 sur 5, cela signifie que votre unité d'organisation possède 5 comptes au total, dont 4 se sont inscrits avec succès, mais qu'un compte n'a pas pu être inscrit pendant le processus d'enregistrement de l'unité d'organisation. Vous pouvez choisir Re-Register OU pour intégrer les comptes à l'inscription, une fois que vous vous êtes assuré qu'ils répondent aux conditions d'inscription.

IAMconditions requises par l'utilisateur pour enregistrer une UO

Votre AWS Identity and Access Management (IAM) identité (utilisateur ou rôle) ou l'IAMidentité d'utilisateur d'Identity Center doivent être incluses dans le portefeuille Account Factory approprié lorsque vous effectuez l'opération Register OU, même si vous disposez déjà Admin des autorisations. Dans le cas contraire, la création des produits approvisionnés échouera lors de l'enregistrement. L'échec se produit car AWS Control Tower s'appuie sur les informations d'identification de l'IAMutilisateur ou sur l'IAMidentité de l'utilisateur Identity Center lors de l'enregistrement d'une unité d'organisation.

Le portefeuille correspondant est celui créé par AWS Control Tower, appelé AWSControl Tower Account Factory Portfolio. Pour y accéder, sélectionnez Service Catalog > Account Factory > AWS Control Tower Account Factory Portfolio. Sélectionnez ensuite l'onglet Groupes, rôles et utilisateurs pour afficher votre IAM identité IAM ou celle d'Identity Center. Pour plus d'informations sur la façon d'accorder l'accès, consultez la documentation de AWS Service Catalog.