手動將所需的 IAM 角色新增至現有角色 AWS 帳戶 並註冊

如果您已經設定 AWS Control 塔 landing zone，則可以開始將組織的帳戶註冊到已向 AWS Control Tower 註冊的 OU。如果您尚未設定 landing zone，請按照入門步驟 2 中 AWS Control 塔使用者指南中所述的步驟進行操作。在 landing zone 準備就緒後，請完成以下步驟，以手動方式將現有帳戶納入 AWS Control Tower 的管理。

請務必檢閱本章註冊的先決條件前面提到的內容。

在 AWS Control Tower 註冊帳戶之前，您必須授予 AWS Control Tower 管理該帳戶的權限。若要這麼做，您將新增具有帳戶完整存取權限的角色，如下列步驟所示。必須針對您註冊的每個帳戶執行這些步驟。

對於每個帳戶：

步驟 1：以管理員存取權登入目前包含您要註冊之帳戶之組織的管理帳戶。

例如，如果您從中建立此帳戶， AWS Organizations 並使用跨帳戶 IAM 角色登入，則可以按照以下步驟操作：

1. 登入貴組織的管理帳戶。

2. 前往 AWS Organizations。

3. 在帳戶下，選取您要註冊的帳戶，並複製其帳戶 ID。

4. 打開頂部導航欄上的帳戶下拉菜單，然後選擇切換角色。

5. 在 [切換角色] 表單上，填寫下列欄位：

   • 在「帳戶」下，輸入您複製的帳戶 ID。

   • 在「角色」下，輸入允許跨帳戶存取此帳戶的 IAM 角色名稱。此角色的名稱是在建立帳號時定義的。如果您在建立帳號時未指定角色名稱，請輸入預設角色名稱OrganizationAccountAccessRole。

6. 選擇 Switch Role (切換角色)。

7. 現在，您應該以兒童帳戶的 AWS Management Console 身份登錄。

8. 完成後，請留在子女帳戶中繼續進行下一個程序。

9. 記下管理帳戶 ID，因為您需要在下一步中輸入它。

步驟 2：授與 AWS Control Tower 管理帳戶的權限。

1. 前往 IAM。

2. 前往「角色」。

3. 選擇建立角色。

4. 當系統詢問您是否要選取角色的服務時，請選擇 [自訂信任原則]。

5. 複製此處顯示的程式碼範例，並將其貼到「政策文件」中。將字串Management Account ID取代為管理帳戶的實際管理帳戶 ID。以下是要粘貼的策略：

   {
      "Version":"2012-10-17",
      "Statement":[
         {
         "Effect":"Allow",
         "Principal":{
            "AWS": "arn:aws:iam::Management Account ID:root"
            },
            "Action": "sts:AssumeRole",
            "Condition": {} 
         }
      ]
     }
   

6. 當系統要求您附加策略時，請選擇AdministratorAccess。

7. 選擇 Next: Add Tags (下一步：新增標籤)。

8. 您可能會看到標題為「新增標籤」的選用畫面。選擇「下一步:檢閱」，立即略過此畫面

9. 在「複查」畫面的「角色名稱」欄位中，輸入AWSControlTowerExecution。

10. 在 [說明] 方塊中輸入簡短說明，例如 [允許註冊的完整帳戶存取權]。

11. 選擇建立角色。

步驟 3：透過將帳戶移入已註冊的 OU 來註冊帳戶，並驗證註冊。

建立角色來設定必要的權限後，請依照下列步驟註冊帳戶並驗證註冊。

1. 以管理員身分再次登入，然後前往 AWS Control Tower。

2. 註冊帳戶。

   • 在 AWS Control Tower 的「組織」頁面中，選取您的帳戶，然後從右上角的「動作」下拉式功能表中選擇「註冊」。

   • 按照註冊帳戶的步驟頁面上顯示的步驟註冊個人帳戶。

3. 驗證註冊。

   • 在 AWS Control Tower 中，選擇左側導覽中的 [組織]。

   • 尋找您最近註冊的帳戶。其初始狀態將顯示註冊狀態。

   • 當狀態變更為 [已註冊] 時，移動成功。

若要繼續此程序，請登入組織中要註冊 AWS Control Tower 的每個帳戶。針對每個帳戶重複先決條件步驟和註冊步驟。