註冊現有帳戶

註冊帳戶功能可在 AWS Control Tower 主控台中使用，用於註冊現有的 ， AWS 帳戶 使其受 AWS Control Tower 管理。如需詳細資訊，請參閱註冊現有的 AWS 帳戶。

當您的登陸區域未處於偏離狀態時，即可使用註冊帳戶功能。若要在 主控台中檢視此功能：

• 導覽至 AWS Control Tower 中的組織頁面。

• 尋找您要註冊的帳戶名稱。若要尋找帳戶，請從右上角的下拉式選單中選擇帳戶，然後在篩選的表格中找到帳戶名稱。

• 請遵循註冊個別帳戶的步驟，如 註冊 帳戶的步驟一節所示。

注意

當您註冊現有的 時 AWS 帳戶，請務必驗證現有的電子郵件地址。否則，可能會建立新帳戶。

某些錯誤可能需要您重新整理頁面，然後再試一次。如果登陸區域處於偏離狀態，您可能無法成功使用 Enroll account (註冊帳戶) 佈建。您需要透過 Account Factory 佈建新帳戶，直到您的登陸區域偏離解決為止。

當您從 AWS Control Tower 主控台註冊帳戶時，您必須使用已啟用AWSServiceCatalogEndUserFullAccess政策的使用者登入帳戶，以及使用 AWS Control Tower 主控台的管理員存取許可，而且您無法以根使用者身分登入。

您註冊的帳戶可能會透過 AWS Service Catalog 和 AWS Control Tower 帳戶工廠進行更新，就像您更新任何其他帳戶一樣。稱為使用 AWS Control Tower 或 更新和移動帳戶工廠帳戶 AWS Service Catalog的小節會提供更新程序。

註冊 帳戶的步驟

在現有帳戶中具備 AdministratorAccess 許可 （政策） 之後，請依照下列步驟註冊帳戶：

在 AWS Control Tower 中註冊個別帳戶

• 導覽至 AWS Control Tower Organization 頁面。

• 在組織頁面上，符合註冊資格的帳戶可讓您從區段頂端的動作下拉式功能表中選取註冊。當您在帳戶詳細資訊頁面上檢視帳戶時，這些帳戶也會顯示註冊帳戶按鈕。

• 選擇註冊帳戶時，您會看到註冊帳戶頁面，提示您將AWSControlTowerExecution角色新增至帳戶。如需一些說明，請參閱 手動將必要的 IAM 角色新增至現有 AWS 帳戶 並註冊。

• 接著，從下拉式清單中選取已註冊的 OU。如果帳戶已在已註冊的 OU 中，此清單會顯示 OU。

• 選擇 Enroll acount (註冊帳戶)。

• 您會看到新增AWSControlTowerExecution角色並確認動作的模態提醒。

• 選擇註冊。

• AWS Control Tower 會開始註冊程序，並引導您返回帳戶詳細資訊頁面。

註冊失敗的常見原因

• 若要註冊現有帳戶，AWSControlTowerExecution角色必須存在於您要註冊的帳戶中。

• 您的 IAM 委託人可能缺乏佈建帳戶的必要許可。

• AWS Security Token Service (AWS STS) 在您的 AWS 帳戶 主區域或 AWS Control Tower 支援的任何區域中已停用。

• 您可能會登入需要新增至 帳戶工廠產品組合的帳戶 AWS Service Catalog。您必須先新增帳戶，才能存取 Account Factory，才能在 AWS Control Tower 中建立或註冊帳戶。如果未將適當的使用者或角色新增至 Account Factory 產品組合，則當您嘗試新增帳戶時，會收到錯誤。如需如何授予 AWS Service Catalog 產品組合存取權的指示，請參閱授予使用者存取權。

• 您可以 root 身分登入。

• 您嘗試註冊的帳戶可能會有剩餘的 AWS Config 設定。特別是，帳戶可能具有組態記錄器或交付管道。您必須先透過 刪除或修改這些項目， AWS CLI 才能註冊 帳戶。如需詳細資訊，請參閱 註冊具有現有 AWS Config 資源的帳戶 和 透過 與 互動 AWS Control TowerAWS CloudShell。

• 如果帳戶屬於另一個具有管理帳戶的 OU，包括另一個 AWS Control Tower OU，您必須先終止其目前 OU 中的帳戶，才能加入另一個 OU。現有資源必須在原始 OU 中移除。否則，註冊將會失敗。

• 如果您的目的地 OU 的 SCPs 不允許您建立該帳戶所需的所有資源，則帳戶佈建和註冊會失敗。例如，目的地 OU 中的 SCP 可能會封鎖資源建立，而不需要特定標籤。在此情況下，帳戶佈建或註冊失敗，因為 AWS Control Tower 不支援資源標記。如需協助，請聯絡您的 帳戶代表，或 支援。

如需在建立新帳戶或註冊現有帳戶時，AWS Control Tower 如何使用角色的詳細資訊，請參閱角色和帳戶。

提示

如果您無法確認現有 AWS 帳戶 符合註冊先決條件，您可以設定註冊 OU，並將帳戶註冊到該 OU。註冊成功後，您可以將帳戶移至所需的 OU。如果註冊失敗，則其他帳戶或 OUs 都不會受到失敗的影響。

如果您不確定現有帳戶及其組態是否與 AWS Control Tower 相容，您可以遵循下一節建議的最佳實務。

建議：您可以為帳戶註冊設定雙步驟方法

• 首先，使用 AWS Config 一致性套件來評估您的帳戶可能受到某些 AWS Control Tower 控制項的影響。若要判斷註冊 AWS Control Tower 如何影響您的帳戶，請參閱使用一致性套件擴展 AWS Control Tower AWS Config 控管。

• 接下來，您可能希望註冊該帳戶。如果合規結果令人滿意，遷移路徑會更容易，因為您可以在預期的情況下註冊帳戶。

• 完成評估後，如果您決定設定 AWS Control Tower 登陸區域，您可能需要移除為評估建立的 AWS Config 交付管道和組態記錄器。然後，您將能夠成功設定 AWS Control Tower。

注意

一致性套件也適用於帳戶位於 AWS Control Tower 所註冊的 OUs 中，但工作負載會在沒有 AWS Control Tower 支援的 AWS 區域中執行。您可以使用一致性套件來管理 AWS Control Tower 未部署之區域中存在的帳戶中的資源。