注册的先决条件 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

注册的先决条件

要在 AWS Control Tower AWS 账户 中注册现有的,必须具备以下先决条件:

  1. 要注册现有账户 AWS 账户,该AWSControlTowerExecution角色必须存在于您注册的账户中。您可以查看注册账户以了解详细信息和说明。

  2. AWSControlTowerExecution角色外, AWS 账户 您要注册的现有角色还必须具有以下权限和信任关系。否则,注册将失败。

    角色权限:AdministratorAccess(AWS 托管策略)

    角色信任关系:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Management Account ID:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. 我们建议该账户不应有 AWS Config 配置记录器或传送渠道。 AWS CLI 在您注册帐户之前,可以通过删除或修改这些内容。否则,请查看注册拥有现有 AWS Config 资源的账户,了解如何修改现有资源的说明。

  4. 您想要注册的账户必须与 AWS Control Tower 管理账户位于同一个 AWS Organizations 组织中。存在的账户只能在已在 AWS Control Tower 注册的 OU 中注册到与 AWS Control Tower 管理账户相同的组织中。

要查看注册的其他先决条件,请参阅 AWS Control Tower 入门

注意

当您向 AWS Control Tower 注册账户时,您的账户将受 AWS Control Tower 组织的 AWS CloudTrail 跟踪管理。如果您已经部署了 CloudTrail跟踪,则可能会看到重复的费用,除非您在将其注册到 AWS Control Tower 之前删除该账户的现有跟踪。