As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Registre uma unidade organizacional existente no AWS Control Tower
Uma forma eficiente de trazer várias AWS contas existentes para a AWS Control Tower é estender a governança da AWS Control Tower a uma unidade organizacional (OU) inteira.
Para habilitar a governança da AWS Control Tower sobre uma OU existente que foi criada com AWS Organizations, e suas contas, registre a OU em sua landing zone da AWS Control Tower. Você pode registrar OUs que contenham até 300 contas. Se uma OU contiver mais de 300 contas, você não poderá registrá-la no AWS Control Tower.
Quando você registra uma OU, suas contas membros são inscritas na landing zone do AWS Control Tower. Eles são governados pelos controles que se aplicam à sua OU.
nota
Se você ainda não tem uma zona de pouso do AWS Control Tower, comece configurando uma zona de pouso, seja em uma nova organização criada pela AWS Control Tower ou em uma AWS Organizations organização existente. Para obter mais detalhes sobre como configurar uma landing zone, consulteComece a usar o AWS Control Tower.
O que acontece com minhas contas quando eu registro minha OU?
O AWS Control Tower exige permissão para estabelecer um acesso confiável entre AWS CloudFormation e AWS Organizations em seu nome, para que AWS CloudFormation você possa implantar sua pilha nas contas da sua organização automaticamente.
-
A
AWSControlTowerExecutionfunção é adicionada a todas as contas com o status Não inscrito. -
Os controles obrigatórios são habilitados por padrão para sua OU e todas as suas contas quando você registra sua OU.
Inscrição parcial de contas após o registro de uma OU
É possível registrar uma OU com sucesso, mas algumas contas podem permanecer não registradas. Nesse caso, essas contas não atendem a alguns dos pré-requisitos para inscrição. Se a inscrição de uma conta como parte do processo de Registrar OU não for bem-sucedida, o status da conta na página de contas mostrará Falha na inscrição. Você também pode ver as informações da conta na sua página de OU, como 4 de 5, no campo contas.
Por exemplo, se você ver 4 de 5, isso significa que sua OU tem 5 contas no total, e 4 delas foram inscritas com sucesso, mas uma conta falhou ao se inscrever durante o processo de Registro de OU. Você pode escolher Registrar novamente a OU para inscrever as contas, depois de verificar se as contas atendem aos pré-requisitos de inscrição.
Pré-requisitos do usuário do IAM para registrar uma OU
Sua identidade AWS Identity and Access Management (IAM) (usuário ou função) ou a identidade de usuário do IAM Identity Center deve ser incluída no portfólio apropriado do Account Factory quando você executa a operação Register OU, mesmo que você já tenha Admin permissões. Caso contrário, a criação dos produtos provisionados falhará durante o registro. A falha ocorre porque o AWS Control Tower depende das credenciais do usuário do IAM ou da identidade do usuário do IAM Identity Center ao registrar uma OU.
O portfólio relevante é aquele criado pela AWS Control Tower, chamado AWS Control Tower Account Factory Portfolio. Navegue até ele escolhendo Service Catalog > Account Factory > AWS Control Tower Account Factory Portfolio. Em seguida, selecione a guia chamada Grupos, funções e usuários para visualizar sua identidade do IAM ou do IAM Identity Center. Para obter mais informações sobre como conceder acesso, consulte a documentação do AWS Service Catalog.
