Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Acerca de la inscripción de cuentas existentes
Puede extender el gobierno de la Torre de Control de AWS a una persona, ya existente Cuenta de AWS al *inscribirla* en una unidad organizativa (OU) que ya esté gobernada por la Torre de Control de AWS. Existen cuentas aptas que no *estén registradas y OUs que formen parte de la misma AWS Organizations organización* que la unidad organizativa de AWS Control Tower.
Existen varios métodos para inscribir cuentas en AWS Control Tower. **La información de esta página se aplica a todos los métodos de inscripción.**
**nota**
No puedes inscribir una AWS cuenta existente para que sirva como cuenta de auditoría o archivo de registros, excepto durante la configuración inicial de landing zone.
## Qué ocurre durante la inscripción de cuentas
Durante el proceso de inscripción, AWS Control Tower realiza estas acciones:
+ Establece la cuenta, que incluye la implementación de estos conjuntos de pilas:
+ `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
+ `AWSControlTowerBP-BASELINE-CLOUDWATCH`
+ `AWSControlTowerBP-BASELINE-CONFIG`
+ `AWSControlTowerBP-BASELINE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
+ `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`
Es buena idea revisar las plantillas de estos conjuntos de pilas y asegurarse de que no entren en conflicto con las políticas existentes.
+ Identifica la cuenta mediante AWS IAM Identity Center o AWS Organizations.
+ Coloca la cuenta en la unidad organizativa que ha especificado. Asegúrese de aplicar todo lo SCPs que se aplica en la unidad organizativa actual, de modo que su postura de seguridad siga siendo coherente.
+ Aplica los controles obligatorios a la cuenta mediante los SCPs que se aplican a la OU seleccionada en su conjunto.
+ La habilita AWS Config y configura para registrar todos los recursos de la cuenta.
+ Añade a la cuenta AWS Config las reglas que aplican los controles de detective de la Torre de Control Tower de AWS.
**Cuentas y registros a nivel de organización CloudTrail**
Para las versiones 3.1 y posteriores de la zona de aterrizaje, si ha seleccionado la integración de AWS CloudTrail opcional en la configuración de la zona de aterrizaje:
Todas las cuentas de los miembros de una OU se rigen por el AWS CloudTrail registro de la OU, estén inscritas o no.
Cuando se inscribe una cuenta en AWS Control Tower, esta se rige por el registro de seguimiento AWS CloudTrail de la nueva organización. Si ya tiene una implementación de una versión de CloudTrail seguimiento, es posible que vea cargos duplicados, a menos que elimine la versión de seguimiento existente de la cuenta antes de inscribirla en AWS Control Tower.
Si traslada una cuenta a una OU registrada (por ejemplo, a través de la AWS Organizations consola), tal vez APIs desee eliminar cualquier registro restante a nivel de cuenta de la cuenta. Si ya tienes una CloudTrail ruta desplegada, incurrirás en cargos duplicados. CloudTrail
Si actualizas tu landing zone y decides excluirte de las rutas a nivel de organización, o si tu landing zone es anterior a la versión 3.0, las CloudTrail rutas a nivel de organización no se aplican a tus cuentas.
## Inscriba las cuentas existentes en VPCs
AWS Control Tower gestiona de VPCs forma diferente cuando aprovisiona una cuenta nueva en Account Factory que cuando inscribe una cuenta existente.
+ Cuando se crea una cuenta nueva, AWS Control Tower elimina automáticamente la VPC predeterminada de AWS y crea una VPC nueva para esa cuenta.
+ Cuando se inscribe una cuenta existente, AWS Control Tower no crea una VPC nueva para esa cuenta.
+ Al inscribir una cuenta existente, AWS Control Tower no elimina ninguna VPC existente ni ninguna VPC predeterminada AWS asociada a la cuenta.
**sugerencia**
Puede cambiar el comportamiento predeterminado de las cuentas nuevas configurando el generador de cuentas para que no configure una VPC de forma predeterminada para las cuentas de la organización en AWS Control Tower. Para obtener más información, consulte [Creación de una cuenta en AWS Control Tower sin una VPC](configure-without-vpc.md#create-without-vpc).
## Inscriba cuentas con recursos AWS Config
La cuenta que se va a inscribir no debe tener AWS Config recursos existentes. Consulte [Inscribir cuentas que tengan AWS Config recursos existentes](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html).
Estos son algunos ejemplos de comandos AWS Config CLI que puede usar para determinar el estado de los AWS Config recursos de su cuenta actual, como la grabadora de configuración y el canal de entrega.
**Comandos de visualización:**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`
La respuesta normal es algo así como `"name": "default"`
**Comandos de eliminación:**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name {{NAME-FROM-DESCRIBE-OUTPUT}}`
+ `aws configservice delete-delivery-channel --delivery-channel-name {{NAME-FROM-DESCRIBE-OUTPUT}}`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name {{NAME-FROM-DESCRIBE-OUTPUT}}`
**Ejemplo de adición del rol `AWSControlTowerExecution`**
La siguiente plantilla de YAML puede ayudarle a crear el rol necesario en una cuenta para poder inscribirla mediante programación.
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
account as a target account in AWS CloudFormation StackSets.
Parameters:
AdministratorAccountId:
Type: String
Description: AWS Account Id of the administrator account (the account in which
StackSets will be created).
MaxLength: 12
MinLength: 12
Resources:
ExecutionRole:
Type: AWS::IAM::Role
Properties:
RoleName: AWSControlTowerExecution
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref AdministratorAccountId
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```