Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Migrieren Sie ein AWS Mitgliedskonto von AWS Organizations zu AWS Control Tower
*Rodolfo Jr. Cerrada, Amazon Web Services*
## Zusammenfassung
Dieses Muster beschreibt, wie ein Konto AWS-Konto von einem Mitgliedskonto AWS Organizations, das von einem Verwaltungskonto verwaltet wird, zu AWS Control Tower migrieren ist. Wenn Sie das Konto registrieren AWS Control Tower, können Sie die Vorteile präventiver und detektiver Kontrollen und Funktionen nutzen, die Ihre Kontoverwaltung optimieren. Möglicherweise möchten Sie auch Ihr Mitgliedskonto migrieren, wenn Ihr AWS Organizations Organizations-Managementkonto kompromittiert wurde und Sie Mitgliedskonten auf eine neue Organisation verschieben möchten, die verwaltet wird von AWS Control TowerAWS Control Tower.
AWS Control Tower bietet ein Framework, das die Funktionen mehrerer anderer Funktionen kombiniert und integriert AWS-Services AWS Organizations, einschließlich und gewährleistet eine konsistente Compliance und Governance in Ihrer Umgebung mit mehreren Konten. Mit AWS Control Tower können Sie eine Reihe von vorgeschriebenen Regeln und Definitionen befolgen, die den Funktionsumfang von AWS Organizations erweitern. Sie können beispielsweise mithilfe von Kontrollen sicherstellen, dass Sicherheitsprotokolle und die erforderlichen kontoübergreifenden Zugriffsberechtigungen erstellt und nicht geändert werden.
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver AWS-Konto
+ AWS Control Tower eingerichtet in Ihrer Zielorganisation in AWS Organizations (Anweisungen finden Sie in der AWS Control Tower Dokumentation unter [Einrichtung](https://docs.aws.amazon.com/controltower/latest/userguide/setting-up.html))
+ Administratoranmeldedaten für AWS Control Tower (Mitglied der **AWSControlTowerAdmins**Gruppe)
+ Administratoranmeldedaten für die Quelle AWS-Konto
**Einschränkungen**
+ Das Quellverwaltungskonto in AWS Organizations muss sich vom Zielverwaltungskonto in unterscheiden AWS Control Tower.
**Produktversionen**
+ AWS Control Tower Version 2.3 (Februar 2020) oder höher (siehe [Versionshinweise](https://docs.aws.amazon.com/controltower/latest/userguide/release-notes.html))
## Architektur
Das folgende Diagramm veranschaulicht den Migrationsprozess und die Referenzarchitektur. Dieses Muster migriert die AWS-Konto von der Quellorganisation zu einer Zielorganisation, die verwaltet wird von AWS Control Tower.
![\[AWS Control Tower Tower-Registrierungsprozess für ein AWS-Konto, das zu einer anderen Organisation migriert und zu einer registrierten Organisationseinheit verschoben wurde.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/1fc2c2f0-fa5d-4068-a2b2-9e57cea2aff5/images/0654d242-0faa-4810-9e53-40ef89305b5b.png)
Der Registrierungsprozess besteht aus den folgenden Schritten:
1. Die Zielorganisation sendet eine Einladung für das Konto, der Organisation beizutreten.
1. Das Konto akzeptiert die Einladung und wird Mitglied der Zielorganisation.
1. Das Konto ist registriert AWS Control Tower und in eine registrierte Organisationseinheit (OU) verschoben. (Wir empfehlen, dass Sie das AWS Control Tower Dashboard überprüfen, um die Registrierung zu bestätigen.) Zu diesem Zeitpunkt werden alle Steuerelemente wirksam, die in der registrierten Organisationseinheit aktiviert sind.
## Tools
**AWS-Services**
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer AWS-Konten einzigen Einheit (einer *Organisation*) zusammenfassen können, die Sie erstellen und zentral verwalten.
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)integriert die Funktionen anderer Dienste, einschließlich AWS Organizations, und AWS IAM Identity Center AWS Service Catalog, um Sie bei der Durchsetzung und Verwaltung von Governance-Regeln für Sicherheit, Betrieb und Compliance in großem Umfang für alle Ihre Organisationen und Konten in der AWS Cloud
## Epen
### Laden Sie das Konto ein, der neuen Organisation beizutreten AWS Control Tower
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Melden Sie sich an bei AWS Control Tower. | Melden Sie sich als Administrator bei der AWS Control Tower Konsole an. Derzeit gibt es keine direkte Möglichkeit, eine Person AWS-Konto von einer Quellorganisation zu einer Organisation in einer Organisationseinheit zu verschieben, die von verwaltet wird AWS Control Tower. Sie können die AWS Control Tower Verwaltung jedoch auf eine bestehende Organisation ausdehnen, indem Sie AWS-Konto sie in eine Organisationseinheit aufnehmen, die bereits von AWS Control Tower verwaltet wird. Aus diesem Grund müssen Sie sich AWS Control Tower für diesen Schritt anmelden. | AWS Control Tower Tower-Administrator |
| Laden Sie das Mitgliedskonto ein. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html)Stellen Sie sicher, dass die Kontoübertragung keine Auswirkungen auf Anwendungen oder Netzwerkkonnektivität hat.Bei dieser Aktion wird eine Einladungs-E-Mail mit einem Link zum Mitgliedskonto gesendet. Wenn der Kontoadministrator dem Link folgt und die Einladung annimmt, wird das Mitgliedskonto auf der **AWS-Konten**Seite angezeigt. Weitere Informationen finden Sie in der AWS Organizations Dokumentation unter [Kontoeinladungen verwalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html). | AWS Control Tower Tower-Administrator |
| Testen Sie Anwendungen und Konnektivität. | Wenn das Mitgliedskonto in der neuen Organisation registriert wurde, wird es in der Organisationseinheit als Stammkonto angezeigt. Es wird auch in der [AWS Control Tower Konsole](https://console.aws.amazon.com/controltower) angezeigt und als nicht in Konten registriert gekennzeichnet, da es noch nicht in der AWS Control Tower registrierten Organisationseinheit registriert wurde.Überprüfen Sie Folgendes:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html) | AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos, Anwendungsbesitzer |
### Bereiten Sie das Konto für die Registrierung vor
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Überprüfen Sie die Kontrollen und beheben Sie etwaige Verstöße. | Überprüfen Sie die in der Ziel-Organisationseinheit definierten Kontrollen, insbesondere die präventiven Kontrollen, und beheben Sie etwaige Verstöße. Eine Reihe von [obligatorischen, präventiven Kontrollen](https://docs.aws.amazon.com/controltower/latest/controlreference/preventive-controls.html) sind standardmäßig aktiviert, wenn Sie Ihre AWS Control Tower landing zone einrichten. Diese können nicht deaktiviert werden. Sie müssen diese obligatorischen Kontrollen überprüfen und das Mitgliedskonto korrigieren (manuell oder mithilfe eines Skripts), bevor Sie das Konto registrieren.Präventive Kontrollen sorgen dafür, dass AWS Control Tower registrierte Konten die Vorschriften einhalten und Richtlinienverstöße verhindern. Jeder Verstoß gegen die präventiven Kontrollen kann sich auf die Registrierung auswirken. Detective Control-Verstöße werden nach erfolgreicher Registrierung im AWS Control Tower Dashboard angezeigt, sofern sie erkannt werden. Sie haben keinen Einfluss auf den Registrierungsprozess. Weitere Informationen finden Sie in der Dokumentation unter [Über Steuerelemente](https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html). AWS Control Tower | AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos |
| Suchen Sie nach der Behebung von Kontrollverstößen nach Verbindungsproblemen. | In einigen Fällen müssen Sie möglicherweise bestimmte Ports schließen oder Dienste deaktivieren, um Kontrollverstöße zu beheben. Stellen Sie sicher, dass Anwendungen, die diese Ports und Dienste verwenden, repariert wurden, bevor Sie das Konto registrieren. | Besitzer der Anwendung |
### Registrieren Sie das Konto bei AWS Control Tower
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Melden Sie sich an bei AWS Control Tower. | Melden Sie sich bei der [AWS Control Tower -Konsole](https://console.aws.amazon.com/controltower) an. Verwenden Sie Anmeldeinformationen mit Administratorberechtigungen für AWS Control Tower. Verwenden Sie nicht die Anmeldeinformationen des Root-Benutzers (Verwaltungskonto), um ein AWS Organizations Konto zu registrieren. Daraufhin wird eine Fehlermeldung angezeigt. | AWS Control Tower Tower-Administrator |
| Registrieren Sie das Konto. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html)Weitere Informationen finden Sie in der AWS Control Tower Dokumentation unter [Informationen zum Registrieren vorhandener Konten](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html). | AWS Control Tower Tower-Administrator |
### Überprüfen Sie das Konto nach der Registrierung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Verifizieren Sie das Konto. | Wählen Sie AWS Control Tower unter **Konten** aus. Das Konto, das Sie gerade registriert haben, hat den Anfangsstatus **Registrierung**. **Wenn die Registrierung abgeschlossen ist, ändert sich der Status in Registriert.** | AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos |
| Suchen Sie nach Kontrollverstößen. | Die in der Organisationseinheit definierten Kontrollen gelten automatisch für das registrierte Mitgliedskonto. Überwachen Sie das AWS Control Tower Dashboard auf Verstöße und korrigieren Sie sie entsprechend. Weitere Informationen finden Sie in der AWS Control Tower Dokumentation unter [Über Steuerelemente](https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html). | AWS Control Tower Tower-Administrator, Administrator des Mitgliedskontos |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Sie erhalten die Fehlermeldung: **Ein unbekannter Fehler ist aufgetreten. Versuchen Sie es später erneut, oder wenden Sie sich an den AWS Support.** | Dieser Fehler tritt auf, wenn Sie Root-Benutzeranmeldeinformationen (Verwaltungskonto) verwenden AWS Control Tower , um ein neues Konto zu registrieren. AWS Service Catalog kann das Account Factory Portfolio oder das Produkt nicht dem Root-Benutzer zuordnen, was zu der Fehlermeldung führt. Um diesen Fehler zu beheben, verwenden Sie bei der Registrierung des neuen Kontos Benutzeranmeldedaten (Administrator) ohne Root-Rechte mit vollem Zugriff. Weitere Informationen dazu, wie Sie einem Administratorbenutzer Administratorzugriff zuweisen, finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) in der IAM Identity Center-Dokumentation. |
| Auf der Seite AWS Control Tower **Aktivitäten** wird die Aktion **Get Catastrophic** Drift angezeigt. | Diese Aktion spiegelt eine Drift-Prüfung des Dienstes wider und weist nicht auf Probleme mit der AWS Control Tower Einrichtung hin. Es ist keine Aktion erforderlich. |
## Zugehörige Ressourcen
**Dokumentation**
+ [Terminologie und Konzepte](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) (AWS Organizations Dokumentation)
+ [Was ist AWS Control Tower?](https://docs.aws.amazon.com/controltower/latest/userguide/) (AWS Control Tower Dokumentation)
+ [Entfernen eines Mitgliedskontos aus einer Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html#leave-without-all-info) (AWS Organizations Dokumentation)
+ [Einrichtung](https://docs.aws.amazon.com/controltower/latest/userguide/setting-up.html#setting-up-iam) (AWS Control Tower Dokumentation)
**Tutorials und Videos**
+ [AWS Control Tower Workshop (Workshop](https://catalog.workshops.aws/control-tower/) zum Selbststudium)
+ [Was ist? AWS Control Tower](https://www.youtube.com/watch?v=daLvEb44d5Q) (Video)
+ [Bereitstellen von Benutzern in AWS Control Tower](https://www.youtube.com/watch?v=y_n9xN5mg1g) (Video)