Registre uma unidade organizacional existente com a AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registre uma unidade organizacional existente com a AWS Control Tower

Uma maneira eficiente de trazer vários, existentesAWScontas na AWS Control Tower éampliar a governançaPor AWS Control Tower para uma unidade organizacional (UO) inteira.

Para habilitar a governança da AWS Control Tower em uma UO existente que foi criada comAWS Organizations, e suas contas,registrar-seA UO com a sua landing zone do AWS Control Tower. Você pode registrar OUs que contenham até 300 contas. Se uma UO contiver mais de 300 contas, você não poderá registrá-la na AWS Control Tower.

Quando você registra uma UO, suas contas de membro são registradas na landing zone da AWS Control Tower. Eles são governados pelos guardrails que se aplicam à UO.

nota

Se você ainda não tiver uma landing zone da AWS Control Tower, comece configurando uma landing zone, seja em uma nova organização criada pela AWS Control Tower ou em uma existenteAWS Organizationsorganização. Para obter mais detalhes sobre como configurar uma landing zone, consulteConceitos básicos do AWS Control Tower.

O que acontece com minhas contas quando cadastro minha UO?

A AWS Control Tower requer permissão para estabelecer acesso confiável entreAWS CloudFormationeAWS OrganizationsEm seu nome, para queAWS CloudFormationpode implantar sua pilha nas contas em sua organização automaticamente.

  • OAWSControlTowerExecutionfunção é adicionada a todas as contas com statusNão registrado.

  • As proteções obrigatórias são habilitadas por padrão para sua UO e todas as contas dele quando você registra sua UO.

Inscrição parcial de contas após uma UO ser registrada

É possível registrar uma UO com sucesso, mas certas contas podem permanecer sem cadastro. Em caso afirmativo, essas contas não atendem a alguns dos pré-requisitos para inscrição. Se uma inscrição de conta como parte doRegistrar UOprocesso não é bem-sucedido, o status da conta na página de contas mostraFalha na inscrição. Você também pode ver as informações da conta em sua página de UO, como4 de 5, no campo contas.

Por exemplo, se você vir4 de 5, isso significa que sua UO tem 5 contas no total e 4 delas cadastradas com sucesso, mas uma conta não conseguiu se inscrever durante oRegistrar UOProcesso. Você pode escolherRegistre novamente UOpara colocar contas para a inscrição, depois de garantir que as contas atendam aos pré-requisitos de inscrição.

Pré-requisitos de usuário do IAM para registrar uma UO

SuasAWS Identity and Access ManagementA identidade (IAM) (usuário ou função) deve ser incluída no portfólio apropriado do Account Factory quando você executar oRegistrar UOoperação, mesmo que você já tenhaAdminpermissões. Caso contrário, a criação dos produtos provisionados falhará durante o registro. A falha ocorre porque a AWS Control Tower depende das credenciais da identidade do IAM ao registrar uma UO.

O portfólio relevante é um criado pela AWS Control Tower, chamadoPortfólio da AWS Control Tower. Navegue até ele escolhendoService Catalog > Account Factory > Portfólio de Account Factory da AWS Control Tower. Em seguida, selecione a guia chamadaGrupos, funções e usuáriospara ver sua identidade do IAM. Para obter mais informações sobre como conceder acesso, consulteA documentação para o AWS Service Catalog.

Causas comuns de falha durante o registro ou o novo registro

Se o registro (ou novo registro) de uma UO ou qualquer uma de suas contas de membro falhar, você poderá baixar umarquivocontendo um relatório detalhado que mostra quais pré-verificações não foram aprovadas. Esta seção lista os tipos de erros que você pode receber se as pré-verificações falharem e como corrigir os erros.

Em geral, quando você registra ou registra novamente uma UO, todas as contas dentro dessa UO são registradas na AWS Control Tower. No entanto, é possível que algumas contas possam não se inscrever, mesmo que a UO como um todo esteja registrada com sucesso. Nesses casos, você deve resolver a falha de pré-verificação relacionada à conta e, em seguida, tentar inscrever novamente essa conta, usando oRegistre uma contano console da AWS Control Tower.

Erro de zona de destino

  • Zona de pouso não pronta

    Repare sua landing zone atual ou atualize-a para a versão mais recente.

Erros de U

  • Excede o número máximo de SCPs

    Você pode estar acima do limite para políticas de controle de serviço (SCPs) por UO, ou pode ter atingido outra cota. Um limite de 5 SCPs por UO se aplica a todas as UOs na sua landing zone do AWS Control Tower. Se você tiver mais SCPs do que a cota permite, você deve excluir ou combinar os SCPs.

  • SCPs conflitantes

    SCPs existentes podem ser aplicados à UO ou conta, o que impede a AWS Control Tower de registrar a conta. Verifique os SCPs aplicados para qualquer política que possa impedir que a AWS Control Tower funcione. Certifique-se de verificar os SCPs herdados das OUs mais altas na hierarquia.

  • Excede cota de conjunto de pilhas

    A cota do conjunto de pilhas pode ter sido excedida. Se você tiver mais instâncias do que a cota permite, você deve excluir algumas instâncias de pilha. Para obter mais informações, consulteAWS CloudFormationcotasnoAWS CloudFormationGuia do usuário do.

  • Excede o limite da conta

    A AWS Control Tower limita cada UO a 298 contas durante o registro.

Erros de conta

  • Pré-cheques evitados em contas

    Um SCP existente na OU impede a AWS Control Tower de realizar pré-verificações em suas contas de membros da UO. Para resolver essa falha de pré-verificação, atualize ou remova o SCP da UO.

  • Erro no endereço de e-mail

    O endereço de e-mail especificado para a conta não está em conformidade com os padrões de nomenclatura. Aqui está a expressão regular (regex) que especifica quais caracteres são permitidos:[A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+

  • Gravador de Config ou canal de entrega ativado

    A conta pode ter um existenteAWS ConfigGravador de configuração ou canal de entrega. Eles devem ser excluídos por meio doAWS CLIEm tudoAWSRegiões em que a conta de gerenciamento da AWS Control Tower controla recursos, antes que você possa registrar uma conta.

  • STS desativado

    AWS Security Token Service(AWS STS) pode estar desativado na conta. Os endpoints do AWS STS devem ser ativados nas contas de todas as regiões compatíveis com o AWS Control Tower.

  • Conflito com

    A região inicial da AWS Control Tower não é a mesma que aAWS Single Sign-On(AWS SSO) Região. SeAWS SSOJá está configurado, a região inicial do AWS Control Tower deve ser a mesma que aAWS SSORegião :

  • Tópico do SNS conflitante

    A conta tem um nome de tópico do Amazon Simple Notification Service (Amazon SNS) que o AWS Control Tower precisa usar. A AWS Control Tower cria recursos (como tópicos do SNS) com nomes específicos. Se esses nomes já forem tomados, a configuração da AWS Control Tower falhará. Essa situação pode ocorrer se você estiver reutilizando uma conta inscrita anteriormente na AWS Control Tower.

  • Conta suspensa detectada

    Esta conta foi suspensa. Ele não pode ser registrado na AWS Control Tower. Remova a conta desta UO e tente novamente.

  • Usuário do IAM que não está no portfólio

    Adicionar oAWS Identity and Access Management(IAM) usuário para oAWS Service Catalogportfólio antes de registrar sua UO. Esse erro pertence somente à conta de gerenciamento.

  • A conta não atende aos pré-requisitos

    A conta não atende aos pré-requisitos para o registro da conta. Por exemplo, a conta pode estar faltando funções e permissões necessárias para inscrevê-la na AWS Control Tower. As instruções para adicionar uma função estão disponíveis emAdicione manualmente a função do IAM necessária a uma conta da AWS existente e inscreva-a.

Como lembrete,AWS CloudTrailestá habilitado automaticamente em todos os seusAWScontas quando você as inscreve na AWS Control Tower. SeCloudTrailestá habilitado em uma conta antes da inscrição, você pode ter o faturamento duplo, a menos que você desativeCloudTrailantes de iniciar o processo de inscrição.