本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
手動將所需的 IAM 角色新增至現有角色 AWS 帳戶 並註冊
如果您已經設定 AWS Control 塔 landing zone,則可以開始將組織的帳戶註冊到已向 AWS Control Tower 註冊的 OU。如果您尚未設定 landing zone,請按照入門步驟 2 中 AWS Control 塔使用者指南中所述的步驟進行操作。在 landing zone 準備就緒後,請完成以下步驟,以手動方式將現有帳戶納入 AWS Control Tower 的管理。
請務必檢閱本章註冊的先決條件前面提到的內容。
在 AWS Control Tower 註冊帳戶之前,您必須授予 AWS Control Tower 管理該帳戶的權限。若要這麼做,您將新增具有帳戶完整存取權限的角色,如下列步驟所示。必須針對您註冊的每個帳戶執行這些步驟。
對於每個帳戶:
步驟 1:以管理員存取權登入目前包含您要註冊之帳戶之組織的管理帳戶。
例如,如果您從中建立此帳戶, AWS Organizations 並使用跨帳戶 IAM 角色登入,則可以按照以下步驟操作:
-
登入貴組織的管理帳戶。
-
前往 AWS Organizations。
-
在帳戶下,選取您要註冊的帳戶,並複製其帳戶 ID。
-
打開頂部導航欄上的帳戶下拉菜單,然後選擇切換角色。
-
在 [切換角色] 表單上,填寫下列欄位:
-
在「帳戶」下,輸入您複製的帳戶 ID。
-
在「角色」下,輸入允許跨帳戶存取此帳戶的 IAM 角色名稱。此角色的名稱是在建立帳號時定義的。如果您在建立帳號時未指定角色名稱,請輸入預設角色名稱
OrganizationAccountAccessRole
。
-
-
選擇 Switch Role (切換角色)。
-
現在,您應該以兒童帳戶的 AWS Management Console 身份登錄。
-
完成後,請留在子女帳戶中繼續進行下一個程序。
-
記下管理帳戶 ID,因為您需要在下一步中輸入它。
步驟 2:授與 AWS Control Tower 管理帳戶的權限。
-
前往 IAM。
-
前往「角色」。
-
選擇建立角色。
-
當系統詢問您是否要選取角色的服務時,請選擇 [自訂信任原則]。
-
複製此處顯示的程式碼範例,並將其貼到「政策文件」中。將字串
取代為管理帳戶的實際管理帳戶 ID。以下是要粘貼的策略:Management Account ID
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS": "arn:aws:iam::Management Account ID:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }
-
當系統要求您附加策略時,請選擇AdministratorAccess。
-
選擇 Next: Add Tags (下一步:新增標籤)。
-
您可能會看到標題為「新增標籤」的選用畫面。選擇「下一步:檢閱」,立即略過此畫面
-
在「複查」畫面的「角色名稱」欄位中,輸入
AWSControlTowerExecution
。 -
在 [說明] 方塊中輸入簡短說明,例如 [允許註冊的完整帳戶存取權]。
-
選擇建立角色。
步驟 3:透過將帳戶移入已註冊的 OU 來註冊帳戶,並驗證註冊。
建立角色來設定必要的權限後,請依照下列步驟註冊帳戶並驗證註冊。
-
以管理員身分再次登入,然後前往 AWS Control Tower。
-
註冊帳戶。
-
在 AWS Control Tower 的「組織」頁面中,選取您的帳戶,然後從右上角的「動作」下拉式功能表中選擇「註冊」。
按照註冊帳戶的步驟頁面上顯示的步驟註冊個人帳戶。
-
-
驗證註冊。
-
在 AWS Control Tower 中,選擇左側導覽中的 [組織]。
-
尋找您最近註冊的帳戶。其初始狀態將顯示註冊狀態。
-
當狀態變更為 [已註冊] 時,移動成功。
-
若要繼續此程序,請登入組織中要註冊 AWS Control Tower 的每個帳戶。針對每個帳戶重複先決條件步驟和註冊步驟。