Inscrire un compte existant

La fonctionnalité d'inscription d'un compte est disponible dans la console AWS Control Tower. Elle permet d'inscrire des comptes existants Comptes AWS afin qu'ils soient régis par AWS Control Tower. Pour plus d'informations, voir Inscrire un existant Compte AWS.

La fonction Inscrire un compte est disponible lorsque votre zone de destination n'est pas en état de dérive. Pour afficher cette fonctionnalité dans la console :

• Accédez à la page Organisation dans AWS Control Tower.

• Trouvez le nom du compte que vous souhaitez enregistrer. Pour le trouver, choisissez Comptes uniquement dans le menu déroulant en haut à droite, puis recherchez le nom du compte dans le tableau filtré.

• Suivez les étapes pour créer un compte individuel, comme indiqué dans la Étapes pour créer un compte section.

Note

Lorsque vous inscrivez une adresse e-mail existante Compte AWS, assurez-vous de vérifier l'adresse e-mail existante. Dans le cas contraire, un nouveau compte peut être créé.

Certaines erreurs peuvent nécessiter que vous actualisiez la page et que vous réessayiez. Si votre zone de destination est en état de dérive, il se peut que vous ne puissiez pas utiliser la fonction Inscrire un compte avec succès. Vous devrez créer de nouveaux comptes via Account Factory jusqu'à ce que votre problème de dérive de la zone d'atterrissage soit résolu.

Lorsque vous enregistrez des comptes depuis la console AWS Control Tower, vous devez être connecté à un compte dont la AWSServiceCatalogEndUserFullAccess politique est activée, ainsi que des autorisations d'accès d'administrateur pour utiliser la console AWS Control Tower, et vous ne pouvez pas être connecté en tant qu'utilisateur root.

Les comptes que vous inscrivez peuvent être mis à jour par le biais AWS Service Catalog de l'usine de comptes AWS Control Tower, comme vous le feriez pour tout autre compte. Les procédures de mise à jour sont indiquées dans la section appelée Mettez à jour et déplacez les comptes Account Factory avec AWS Control Tower ou avec AWS Service Catalog.

Étapes pour créer un compte

Une fois que l'AdministratorAccessautorisation (politique) est en place sur votre compte existant, procédez comme suit pour enregistrer le compte :

Pour créer un compte individuel dans AWS Control Tower

• Accédez à la page d'organisation d'AWS Control Tower.

• Sur la page Organisation, les comptes éligibles à l'inscription vous permettent de sélectionner S'inscrire dans le menu déroulant Actions en haut de la section. Ces comptes affichent également un bouton d'inscription lorsque vous les consultez sur la page des détails du compte.

• Lorsque vous choisissez Enregistrer un compte, vous verrez une page d'inscription sur laquelle vous êtes invité à ajouter le AWSControlTowerExecution rôle au compte. Pour obtenir des instructions, voirAjoutez manuellement le rôle IAM requis à un rôle existant Compte AWS et inscrivez-le.

• Sélectionnez ensuite une unité d'organisation enregistrée dans la liste déroulante. Si le compte se trouve déjà dans une unité d'organisation enregistrée, cette liste affichera l'unité d'organisation.

• Choisissez Inscrire un compte.

• Vous verrez un rappel modal vous demandant d'ajouter le AWSControlTowerExecution rôle et de confirmer l'action.

• Choisissez S'inscrire.

• AWS Control Tower lance le processus d'inscription et vous êtes redirigé vers la page des détails du compte.

Causes courantes d'échec de l'inscription

• Pour inscrire un compte existant, le AWSControlTowerExecution rôle doit être présent dans le compte que vous inscrivez.

• Votre principal IAM peut ne pas disposer des autorisations nécessaires pour provisionner un compte.

• AWS Security Token Service (AWS STS) est désactivé Compte AWS dans votre région d'origine ou dans toute région prise en charge par AWS Control Tower.

• Vous êtes peut-être connecté à un compte qui doit être ajouté à Account Factory Portfolio in AWS Service Catalog. Le compte doit être ajouté pour que vous puissiez accéder à Account Factory afin que vous puissiez créer ou enregistrer un compte dans AWS Control Tower. Si l'utilisateur ou le rôle approprié n'est pas ajouté au portefeuille Account Factory, vous recevrez un message d'erreur lorsque vous tenterez d'ajouter un compte. Pour savoir comment accorder l'accès aux AWS Service Catalog portefeuilles, consultez la section Accorder l'accès aux utilisateurs.

• Vous pouvez être connecté en tant que racine.

• Le compte que vous essayez d'enregistrer comporte peut-être des AWS Config paramètres résiduels. En particulier, le compte peut disposer d'un enregistreur de configuration ou d'un canal de diffusion. Vous devez les supprimer ou les modifier AWS CLI avant de pouvoir créer un compte. Pour plus d’informations, consultez Inscrire des comptes disposant de ressources existantes AWS Config et Interagir avec AWS Control Tower l'utilisation AWS CloudShell.

• Si le compte appartient à une autre unité d'organisation dotée d'un compte de gestion, y compris une autre unité d'organisation AWS Control Tower, vous devez résilier le compte dans son unité d'organisation actuelle avant qu'il ne puisse rejoindre une autre unité d'organisation. Les ressources existantes doivent être supprimées dans l'unité d'organisation d'origine. Sinon, l'inscription échouera.

• Le provisionnement et l'inscription du compte échouent si les SCP de l'unité organisationnelle de destination ne vous permettent pas de créer toutes les ressources requises pour ce compte. Par exemple, un SCP dans votre unité d'organisation de destination peut bloquer la création de ressources sans certaines balises. Dans ce cas, le provisionnement ou l'inscription du compte échouent, car AWS Control Tower ne prend pas en charge le balisage des ressources. Pour obtenir de l'aide, contactez le représentant de votre compte, ou AWS Support.

Pour plus d'informations sur la façon dont AWS Control Tower utilise les rôles lorsque vous créez de nouveaux comptes ou que vous inscrivez des comptes existants, consultez la section Rôles et comptes.

Astuce

Si vous ne pouvez pas confirmer qu'une unité existante Compte AWS répond aux conditions d'inscription, vous pouvez configurer une unité d'inscription et inscrire le compte dans cette unité d'organisation. Une fois l'inscription réussie, vous pouvez déplacer le compte vers l'unité d'organisation souhaitée. En cas d'échec de l'inscription, aucun autre compte ou unité d'organisation n'est affecté par l'échec.

Si vous avez des doutes quant à la compatibilité de vos comptes existants et de leurs configurations avec AWS Control Tower, vous pouvez suivre les bonnes pratiques recommandées dans la section suivante.

Recommandé : vous pouvez configurer une approche en deux étapes pour l'inscription de compte

• Tout d'abord, utilisez un pack de AWS Config conformité pour évaluer dans quelle mesure vos comptes peuvent être affectés par certains contrôles de l'AWS Control Tower. Pour déterminer dans quelle mesure l'inscription à AWS Control Tower peut affecter vos comptes, consultez Étendre la gouvernance d'AWS Control Tower à l'aide de packs de AWS Config conformité.

• Ensuite, vous pouvez inscrire le compte. Si les résultats de conformité sont satisfaisants, le chemin de migration est plus facile car vous pouvez inscrire le compte sans conséquences inattendues.

• Une fois votre évaluation terminée, si vous décidez de configurer une zone d'atterrissage AWS Control Tower, vous devrez peut-être supprimer le canal de AWS Config diffusion et l'enregistreur de configuration créés pour votre évaluation. Vous serez alors en mesure de configurer AWS Control Tower avec succès.

Note

Le pack de conformité fonctionne également dans les situations où les comptes sont situés dans des unités d'organisation enregistrées par AWS Control Tower, mais où les charges de travail sont exécutées dans des AWS régions qui ne sont pas prises en charge par AWS Control Tower. Vous pouvez utiliser le pack de conformité pour gérer les ressources des comptes qui existent dans les régions où AWS Control Tower n'est pas déployée.