本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
手动将所需的 IAM 角色添加到现有角色 AWS 账户 并进行注册
如果您已经设置了 AWS Control Tower 着陆区,则可以开始将贵组织的账户注册到已在 AWS Control Tower 注册的 OU 中。如果您尚未设置着陆区,请按照 AWS Control Tower 用户指南入门步骤 2 中所述的步骤进行操作。着陆区准备就绪后,手动完成以下步骤,让 AWS Control Tower 对现有账户进行管理。
请务必阅读本章前面注册的先决条件提到的内容。
在 AWS Control Tower 注册账户之前,您必须向 AWS Control Tower 授予管理该账户的权限。为此,您需要添加一个对账户具有完全访问权限的角色,如以下步骤所示。必须对您注册的每个账户执行这些步骤。
对于每个账户:
步骤 1:以管理员权限登录当前包含您要注册的帐户的组织的管理帐户。
例如,如果您从中创建此账户, AWS Organizations 并使用跨账户 IAM 角色登录,则可以按照以下步骤操作:
-
登录贵组织的管理账户。
-
转到 AWS Organizations。
-
在 “帐户” 下,选择您要注册的账户并复制其账户 ID。
-
打开顶部导航栏上的账户下拉菜单,然后选择切换角色。
-
在 Switch 角色表单上,填写以下字段:
-
在 “账户” 下,输入您复制的账户 ID。
-
在角色下,输入允许跨账户访问此账户的 IAM 角色的名称。该角色的名称是在创建账户时定义的。如果您在创建账户时未指定角色名称,请输入默认角色名称
OrganizationAccountAccessRole。
-
-
选择 Switch Role。
-
现在,您应该以子女 AWS Management Console 身份登录帐户。
-
完成后,请留在子女账户中进行下一部分的手术。
-
记下管理账户 ID,因为您需要在下一步中输入它。
第 2 步:授予 AWS Control Tower 管理账户的权限。
-
前往 IAM。
-
转到 “角色”。
-
选择 创建角色。
-
当系统要求选择该角色的服务时,请选择自定义信任策略。
-
复制此处显示的代码示例,然后将其粘贴到政策文档中。将该字符串
Management Account ID{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS": "arn:aws:iam::Management Account ID:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] } -
当被要求附加政策时,选择AdministratorAccess。
-
选择下一步: 标签。
-
您可能会看到一个标题为 “添加标签” 的可选屏幕。选择 “下一步” 暂时跳过此屏幕:Review
-
在 “查看” 屏幕上,在 “角色名称” 字段中输入
AWSControlTowerExecution。 -
在描述框中输入简短描述,例如允许注册时具有完全的帐户访问权限。
-
选择 创建角色。
第 3 步:通过将账户转移到已注册的 OU 来注册账户,然后验证注册。
通过创建角色设置必要权限后,请按照以下步骤注册账户并验证注册。
-
再次以管理员身份登录并前往 AWS Control Tower。
-
注册账户。
-
在 AWS Control Tower 的组织页面中,选择您的账户,然后从右上角的操作下拉菜单中选择注册。
按照注册账户的步骤页面上显示的注册个人账户的步骤进行操作。
-
-
验证注册。
-
在 AWS Control Tower 中,选择左侧导航栏中的组织。
-
查找您最近注册的账户。其初始状态将显示为 “正在注册”。
-
当状态更改为 “已注册” 时,移动成功。
-
要继续此过程,请登录贵组织中您想要在 AWS Control Tower 中注册的每个账户。对每个账户重复前提步骤和注册步骤。
