Aggiungi manualmente il ruolo IAM richiesto a un ruolo esistente Account AWS e registralo - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiungi manualmente il ruolo IAM richiesto a un ruolo esistente Account AWS e registralo

Se hai già configurato la landing zone di AWS Control Tower, puoi iniziare a registrare gli account della tua organizzazione in un'unità organizzativa registrata presso AWS Control Tower. Se non hai configurato la landing zone, segui i passaggi descritti nella Guida per l'utente di AWS Control Tower alla Getting Started, Step 2. Una volta che la landing zone è pronta, completa i seguenti passaggi per far sì che gli account esistenti vengano governati manualmente da AWS Control Tower.

Assicurati di leggere quanto Prerequisiti per l'iscrizione indicato in precedenza in questo capitolo.

Prima di registrare un account con AWS Control Tower, devi autorizzare AWS Control Tower a gestire quell'account. A tal fine, aggiungerai un ruolo con accesso completo all'account, come illustrato nei passaggi seguenti. Questi passaggi devono essere eseguiti per ogni account che registri.

Per ogni account:

Passaggio 1: accedi con accesso da amministratore all'account di gestione dell'organizzazione che attualmente contiene l'account che desideri registrare.

Ad esempio, se hai creato questo account AWS Organizations e utilizzi un ruolo IAM multiaccount per accedere, puoi seguire questi passaggi:

  1. Accedi all'account di gestione della tua organizzazione.

  2. Passa a AWS Organizations.

  3. In Account, seleziona l'account che desideri registrare e copia l'ID dell'account.

  4. Apri il menu a discesa dell'account nella barra di navigazione in alto e scegli Cambia ruolo.

  5. Nel modulo Cambia ruolo, compila i seguenti campi:

    • In Account, inserisci l'ID dell'account che hai copiato.

    • In Ruolo, inserisci il nome del ruolo IAM che consente l'accesso a questo account da più account. Il nome di questo ruolo è stato definito al momento della creazione dell'account. Se non hai specificato un nome di ruolo quando hai creato l'account, inserisci il nome del ruolo predefinito,OrganizationAccountAccessRole.

  6. Seleziona Switch Role (Cambia ruolo).

  7. Ora dovresti accedere all'account AWS Management Console come figlio.

  8. Quando hai finito, resta nell'account per bambini per la parte successiva della procedura.

  9. Prendi nota dell'ID dell'account di gestione, perché dovrai inserirlo nel passaggio successivo.

Fase 2: autorizzare AWS Control Tower a gestire l'account.

  1. Vai a IAM.

  2. Vai a Ruoli.

  3. Scegli Crea ruolo.

  4. Quando ti viene chiesto di selezionare il servizio a cui è destinato il ruolo, scegli Politica di fiducia personalizzata.

  5. Copia l'esempio di codice mostrato qui e incollalo nel documento di policy. Sostituisci la stringa Management Account IDcon l'ID effettivo dell'account di gestione del tuo account di gestione. Ecco la politica da incollare:

    {
   "Version":"2012-10-17",
   "Statement":[
      {
      "Effect":"Allow",
      "Principal":{
         "AWS": "arn:aws:iam::Management Account ID:root"
         },
         "Action": "sts:AssumeRole",
         "Condition": {} 
      }
   ]
  }

  6. Quando ti viene chiesto di allegare le politiche, scegli AdministratorAccess.

  7. Scegli Successivo: Tag.

  8. È possibile che venga visualizzata una schermata opzionale intitolata Aggiungi tag. Per ora salta questa schermata scegliendo Avanti:Revisione

  9. Nella schermata di revisione, nel campo Nome del ruolo, inserisci. AWSControlTowerExecution

  10. Inserisci una breve descrizione nella casella Descrizione, ad esempio Consente l'accesso completo all'account per l'iscrizione.

  11. Scegli Crea ruolo.

Fase 3: Registrare l'account spostandolo in un'unità organizzativa registrata e verificare l'iscrizione.

Dopo aver impostato le autorizzazioni necessarie creando il ruolo, segui questi passaggi per registrare l'account e verificare l'iscrizione.

  1. Accedi nuovamente come amministratore e accedi ad AWS Control Tower.

  2. Registra l'account.

    • Dalla pagina Organizzazione in AWS Control Tower, seleziona il tuo account, quindi scegli Enroll dal menu a discesa Azioni in alto a destra.

    • Segui i passaggi per la registrazione di un singolo account, come mostrato nella pagina. Passaggi per registrare un account

  3. Verifica l'iscrizione.

    • Da AWS Control Tower, scegli Organization nella barra di navigazione a sinistra.

    • Cerca l'account che hai registrato di recente. Il suo stato iniziale mostrerà lo stato di Iscrizione.

    • Quando lo stato cambia in Registrato, lo spostamento ha avuto successo.

Per continuare questo processo, accedi a ogni account dell'organizzazione che desideri registrare in AWS Control Tower. Ripeti i passaggi preliminari e i passaggi di registrazione per ogni account.