Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower

Un moyen efficace d'intégrer plusieurs produits existantsAWSles comptes dans AWS Control Tower sont destinés àétendre la gouvernancepar AWS Control Tower à une unité organisationnelle (UO) dans son ensemble.

Pour activer la gouvernance d'AWS Control Tower sur une unité d'organisation existante créée avecAWS Organizations, et ses comptes,s'inscrirel'unité d'organisation avec la zone d'atterrissage de votre AWS Control Tower. Vous pouvez enregistrer des unités d'organisation contenant jusqu'à 300 comptes. Si une unité d'organisation contient plus de 300 comptes, vous ne pouvez pas l'enregistrer dans AWS Control Tower.

Lorsque vous enregistrez une UO, les comptes de ses membres sont inscrits dans la zone de landing zone AWS Control Tower. Ils sont régis par les contrôles qui s'appliquent à leur unité d'organisation.

Note

Si vous ne possédez pas encore de zone d'atterrissage AWS Control Tower, commencez par configurer une zone d'atterrissage, soit dans une nouvelle organisation créée par AWS Control Tower, soit dans une organisation existanteAWS Organizationsorganisation. Pour plus de détails sur la configuration d'une zone de landing zone, voirCommencer à utiliser AWS Control Tower.

Qu'arrive-t-il à mes comptes lorsque j'enregistre mon unité d'organisation ?

AWS Control Tower a besoin d'une autorisation pour établir un accès sécurisé entreAWS CloudFormationetAWS Organizationsen votre nom, afin queAWS CloudFormationpeut déployer automatiquement votre stack sur les comptes de votre organisation.

• LeAWSControlTowerExecutionle rôle est ajouté à tous les comptes ayant un statutNon inscrit.

• Les contrôles obligatoires sont activés par défaut sur votre unité d'organisation et sur tous ses comptes lorsque vous enregistrez votre unité d'organisation.

Inscription partielle des comptes après l'enregistrement d'une UO

Il est possible d'enregistrer une unité d'organisation avec succès, mais il se peut que certains comptes ne soient pas enregistrés. Si tel est le cas, ces comptes ne répondent pas à certaines des conditions requises pour l'inscription. Si l'inscription d'un compte dans le cadre duS'enregistrer OUle processus échoue, l'état du compte apparaît sur la page des comptesÉchec de l'inscription. Vous pouvez également voir les informations de votre compte sur la page de votre UO, telles que4 de 5, dans le champ des comptes.

Par exemple, si vous voyez4 de 5, cela signifie que votre unité d'organisation possède 5 comptes au total, dont 4 se sont inscrits avec succès, mais qu'un compte n'a pas pu être inscrit pendant leS'enregistrer OUprocessus. Vous pouvez choisirRéinscrivez-vous OUpour intégrer des comptes à l'inscription, une fois que vous vous êtes assuré qu'ils répondent aux conditions d'inscription.

Conditions requises pour l'enregistrement d'une UO par les utilisateurs IAM

VotreAWS Identity and Access ManagementL'identité (utilisateur ou rôle) (utilisateur ou rôle) ou l'identité utilisateur IAM Identity Center doivent être incluses dans le portefeuille Account Factory approprié lorsque vous effectuez leS'enregistrer OUopération, même si vous avez déjàAdminautorisations. Dans le cas contraire, la création des produits approvisionnés échouera lors de l'enregistrement. L'échec se produit car AWS Control Tower s'appuie sur les informations d'identification de l'utilisateur IAM ou sur l'identité de l'utilisateur IAM Identity Center lors de l'enregistrement d'une unité d'organisation.

Le portefeuille pertinent est celui créé par AWS Control Tower, appeléPortefeuille AWS Control Tower Account Factory. Naviguez jusqu'à celui-ci en choisissantService Catalog > Account Factory > Portefeuille de produits AWS Control Tower Account Factory. Sélectionnez ensuite l'onglet appeléGroupes, rôles et utilisateurspour afficher l'identité de votre centre d'identité IAM ou IAM Identity Center. Pour plus d'informations sur la manière d'accorder l'accès, voirla documentation pourAWS Service Catalog.