Adicione manualmente a função do IAM necessária a uma existente Conta da AWS e inscreva-a - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicione manualmente a função do IAM necessária a uma existente Conta da AWS e inscreva-a

Se você já configurou sua zona de aterrissagem da AWS Control Tower, você pode começar a inscrever as contas da sua organização em uma OU registrada na AWS Control Tower. Se você não configurou sua landing zone, siga as etapas descritas no Guia do usuário do AWS Control Tower em Getting Started, Etapa 2. Depois que a landing zone estiver pronta, conclua as etapas a seguir para colocar as contas existentes na governança da AWS Control Tower manualmente.

Não deixe de revisar o Pré-requisitos para inscrição que foi mencionado anteriormente neste capítulo.

Antes de cadastrar uma conta na AWS Control Tower, você deve dar permissão à AWS Control Tower para gerenciar essa conta. Para fazer isso, você adicionará uma função que tenha acesso total à conta, conforme mostrado nas etapas a seguir. Essas etapas devem ser executadas para cada conta que você inscrever.

Para cada conta:

Etapa 1: Faça login com acesso de administrador à conta de gerenciamento da organização que atualmente contém a conta que você deseja inscrever.

Por exemplo, se você criou essa conta AWS Organizations e usa uma função do IAM entre contas para fazer login, siga estas etapas:

  1. Faça login na conta de gerenciamento da sua organização.

  2. Acesse AWS Organizations.

  3. Em Contas, selecione a conta que você deseja registrar e copie o ID da conta.

  4. Abra o menu suspenso da conta na barra de navegação superior e escolha Trocar função.

  5. No formulário Alternar função, preencha os seguintes campos:

    • Em Conta, insira o ID da conta que você copiou.

    • Em Função, insira o nome da função do IAM que permite o acesso entre contas a essa conta. O nome dessa função foi definido quando a conta foi criada. Se você não especificou um nome de função ao criar a conta, insira o nome de função padrão,OrganizationAccountAccessRole.

  6. Selecione Switch Role (Mudar de função).

  7. Agora você deve estar conectado AWS Management Console à conta de criança.

  8. Ao terminar, permaneça na conta da criança durante a próxima parte do procedimento.

  9. Anote o ID da conta de gerenciamento, pois você precisará inseri-lo na próxima etapa.

Etapa 2: dê permissão ao AWS Control Tower para gerenciar a conta.

  1. Vá para o IAM.

  2. Vá para Funções.

  3. Selecione Criar função.

  4. Quando solicitado a selecionar para qual serviço a função se destina, escolha Política de confiança personalizada.

  5. Copie o exemplo de código mostrado aqui e cole-o no documento de política. Substitua Management Account IDa string pelo ID real da conta de gerenciamento da sua conta de gerenciamento. Aqui está a política a ser colada:

    {
   "Version":"2012-10-17",
   "Statement":[
      {
      "Effect":"Allow",
      "Principal":{
         "AWS": "arn:aws:iam::Management Account ID:root"
         },
         "Action": "sts:AssumeRole",
         "Condition": {} 
      }
   ]
  }

  6. Quando solicitado a anexar políticas, escolha AdministratorAccess.

  7. Selecione Next: Tags (Próximo: tags).

  8. Você pode ver uma tela opcional intitulada Adicionar tags. Ignore esta tela por enquanto escolhendo Avançar:Revisão

  9. Na tela Revisar, no campo Nome da função, insiraAWSControlTowerExecution.

  10. Insira uma breve descrição na caixa Descrição, como Permite acesso total à conta para inscrição.

  11. Selecione Criar função.

Etapa 3: Registre a conta movendo-a para uma OU registrada e verifique a inscrição.

Depois de configurar as permissões necessárias criando a função, siga estas etapas para registrar a conta e verificar a inscrição.

  1. Faça login novamente como administrador e acesse o AWS Control Tower.

  2. Registre a conta.

    • Na página Organização no AWS Control Tower, selecione sua conta e escolha Inscrever-se no menu suspenso Ações no canto superior direito.

    • Siga as etapas para cadastrar uma conta individual, conforme mostrado na Etapas para registrar uma conta página.

  3. Verifique a inscrição.

    • No AWS Control Tower, escolha Organização no painel de navegação à esquerda.

    • Procure a conta que você inscreveu recentemente. Seu estado inicial mostrará o status de Inscrição.

    • Quando o estado muda para Inscrito, a mudança foi bem-sucedida.

Para continuar esse processo, faça login em cada conta da sua organização que você deseja inscrever no AWS Control Tower. Repita as etapas de pré-requisito e as etapas de inscrição para cada conta.