註冊的先決條件 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

註冊的先決條件

註冊 AWS Control Tower AWS 帳戶 中的現有項目之前,必須具備以下先決條件:

  1. 若要註冊現有角色 AWS 帳戶,該AWSControlTowerExecution角色必須出現在您註冊的帳戶中。您可以查看註冊帳戶以獲取詳細信息和說明。

  2. 除了AWSControlTowerExecution角色之外, AWS 帳戶 您要註冊的現有項目還必須具有下列權限和信任關係。否則,註冊將會失敗。

    角色權限:AdministratorAccess(AWS 受管理策略)

    角色信任關係

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::Management Account ID:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  3. 我們建議該帳戶不應該有組 AWS Config 態記錄器或傳遞通道。您可以在註冊帳戶 AWS CLI 之前,透過中刪除或修改這些內容。否則,請檢閱具有現有 AWS Config 資源的註冊帳號,以取得如何修改現有資源的指示。

  4. 您要註冊的帳戶必須與 AWS Control Tower 管理帳戶位於相同的 AWS Organizations 組織中。現有帳戶能註冊到與 AWS Control Tower 管理帳戶相同的組織,也就是已在 AWS Control Tower 註冊的 OU 中。

若要查看註冊的其他先決條件,請參閱 AWS Control Tower 入門。

注意

當您在 AWS Control Tower 註冊帳戶時,您的帳戶受 AWS Control Tower 組織的 AWS CloudTrail 追蹤管理。如果您現有的 CloudTrail追蹤部署,您可能會看到重複的費用,除非您在 AWS Control Tower 註冊帳戶之前刪除該帳戶的現有追蹤。