As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Registre uma unidade organizacional existente na AWS Control Tower
Uma maneira eficiente de trazer vários existentes AWS contas na AWS Control Tower é estender a governança da AWS Control Tower a toda uma unidade organizacional (OU).
Para habilitar a governança da AWS Control Tower sobre uma OU existente que foi criada com AWS Organizations, e suas contas, registre a OU em sua landing zone da AWS Control Tower. Você pode OUs se cadastrar com até 300 contas. Se uma OU contiver mais de 300 contas, você não poderá registrá-la no AWS Control Tower.
Quando você registra uma OU, suas contas de membros são inscritas na landing zone da AWS Control Tower. Eles são governados pelos controles que se aplicam à sua OU.
nota
Se você ainda não tem uma zona de pouso da AWS Control Tower, comece configurando uma zona de pouso, seja em uma nova organização criada pela AWS Control Tower ou em uma existente AWS Organizations organização. Para obter mais detalhes sobre como configurar uma landing zone, consulteComece a usar o AWS Control Tower.
O que acontece com minhas contas quando eu registro minha OU?
AWSA Control Tower requer permissão para estabelecer um acesso confiável entre AWS CloudFormation e AWS Organizations em seu nome, para que AWS CloudFormation pode implantar sua pilha nas contas da sua organização automaticamente.
-
A
AWSControlTowerExecutionfunção é adicionada a todas as contas com o status Não inscrito. -
Os controles obrigatórios são habilitados por padrão para sua OU e todas as suas contas quando você registra sua OU.
Inscrição parcial de contas após o registro de uma OU
É possível registrar uma OU com sucesso, mas algumas contas podem permanecer não registradas. Nesse caso, essas contas não atendem a alguns dos pré-requisitos para inscrição. Se a inscrição de uma conta como parte do processo de Registrar OU não for bem-sucedida, o status da conta na página de contas mostrará Falha na inscrição. Você também pode ver as informações da conta na sua página de OU, como 4 de 5, no campo contas.
Por exemplo, se você ver 4 de 5, isso significa que sua OU tem 5 contas no total, e 4 delas foram inscritas com sucesso, mas uma conta falhou ao se inscrever durante o processo de Registro de OU. Você pode escolher Registrar novamente a OU para inscrever as contas, depois de verificar se as contas atendem aos pré-requisitos de inscrição.
IAMpré-requisitos do usuário para registrar uma OU
Suas AWS Identity and Access Management (IAM) a identidade (usuário ou função) ou a IAM identidade do usuário do Identity Center devem ser incluídas no portfólio apropriado do Account Factory quando você executa a operação Register OU, mesmo que você já tenha Admin permissões. Caso contrário, a criação dos produtos provisionados falhará durante o registro. A falha ocorre porque o AWS Control Tower depende das credenciais do IAM usuário ou da IAM identidade do usuário do Identity Center ao registrar uma OU.
O portfólio relevante é aquele criado pela AWS Control Tower, chamado AWSControl Tower Account Factory Portfolio. Navegue até ele escolhendo Service Catalog > Account Factory > AWS Control Tower Account Factory Portfolio. Em seguida, selecione a guia chamada Grupos, funções e usuários para visualizar sua IAM identidade IAM ou a do Identity Center. Para obter mais informações sobre como conceder acesso, consulte a documentação do AWS Service Catalog.
