本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Control Tower 或使用更新和移動帳戶工廠帳戶 AWS Service Catalog
更新註冊帳戶最簡單的方法是透過 AWS Control 塔主控台進行。個人帳戶更新對於解決漂移很有用,例如移動成員帳戶後。作為完整 landing zone 更新的一部分,也需要更新帳號。
如果您將帳戶從一個組織單位 (OU) 移到另一個組織單位 (OU),請記住,新 OU 套用的控制項可能與先前 OU 中的控制項不同。請確定新 OU 中的控制項符合帳戶的原則需求。
控制在兩者之間移動帳號時的行為 OU
當您在 OU 之間移動帳戶時,目的地 OU 的控制項會套用至 帳戶。不過,從前一個 OU 套用至帳戶的控制項並不是 刪除。控制項的確切行為特定於 在先前 OU 和目的地 OU 上處於作用中的控制項。
-
針對使用 AWS Config 規則實作的控制項:先前 OU 的控制項 不會移除。必須手動移除這些控制項。
-
對於使用 SCP 實作的控制項:先前 OU 中的以 SCP 為基礎的控制項為 刪除。目的地 OU 的以 SCP 為基礎的控制項會在此帳戶上生效。
-
對於使用 AWS CloudFormation 鉤子實現的控件:此行為 取決於新 OU 中控制項的狀態。
-
如果目標 OU 沒有作用中的掛接式控制項:舊 已移動帳戶的控制項會保持作用中狀態,除非您將其移除 手動。
-
如果目的地 OU 具有作用中的掛接控制項:舊的控制項為 已移除,目的地 OU 中的控制項會套用至 帳戶。
-
更新主控台中的帳戶
在 AWS Control Tower 主控台中更新帳戶
-
登入 AWS Control Tower 後,導覽至組織頁面。
-
在 OU 和帳戶清單中,選取您要更新的帳戶名稱。可用於更新的帳號會顯示 [可用的更新] 狀態。
-
接下來,您將看到所選帳戶的「帳戶詳細信息」頁面。
-
選擇右上角的 [更新帳戶]。
更新佈建的產品
下列程序會引導您如何更新帳戶在 [Account Factory] 中更新您的帳戶,或將其移至新的 OU,方法是更新 Service Catalog 中帳戶的佈建產品。
透過 Service Catalog 更新帳戶 Account Factory 帳戶或變更其 OU
-
登入 AWS 管理主控台,然後開啟 AWS Service Catalog 主控台,網址為 https://console.aws.amazon.com/servicecatalog/
。 注意
您必須以具有權限的使用者身分登入,才能在 Service Catalog 中佈建新產品 (例如,IAM 身分中心使用者
AWSAccountFactory或AWSServiceCatalogAdmins群組)。 -
在瀏覽窗格中,選擇佈建,然後選擇已佈建的產品。
-
對於列出的每個成員帳戶,執行下列步驟來更新所有成員帳戶:
-
選擇一個成員帳戶。系統會將您導向至該帳戶的佈建產品詳細資料頁面。
-
在佈建的產品詳細資訊頁面上,選擇事件索引標籤。
-
記下以下參數:
-
SSO UserEmail (可在佈建的產品詳細資料中找到)
-
AccountEmail(可在佈建產品詳細資料中找到)
-
SSO UserFirstName (適用於 IAM 身分識別中心)
-
SSU SerLastName (適用於 IAM 身分識別中心)
-
AccountName(適用於 IAM 身分識別中心)
-
-
從 Actions (動作),選擇 Update (更新)。
-
選擇要更新產品之 Version (版本) 旁的按鈕,然後選擇 Next (下一步)。
-
提供前述的參數值。
-
如果您想要保留現有的 OU ManagedOrganizationalUnit,請選擇帳戶所在的 OU。
-
如果您要將帳戶遷移到新的 OU ManagedOrganizationalUnit,請選擇該帳戶的新 OU。
中央雲端管理員可以在 AWS Control Tower 主控台的組織頁面上找到此資訊。
-
-
選擇下一步。
-
檢閱您的變更,然後選擇 Update (更新)。每個帳戶的這個過程都需要幾分鐘的時間。
-
