Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# À propos de l'inscription de comptes existants
<a name="enroll-account"></a>

Vous pouvez étendre la gouvernance d'AWS Control Tower à un individu, existant Compte AWS lorsque vous l'*inscrivez* dans une unité organisationnelle (UO) déjà régie par AWS Control Tower. Les comptes éligibles existent dans des comptes *non enregistrés OUs qui font partie de la même AWS Organizations organisation que l'*unité d'organisation AWS Control Tower.

Il existe plusieurs méthodes pour inscrire des comptes dans AWS Control Tower. **Les informations de cette page s'appliquent à toutes les méthodes d'inscription.**

**Note**  
Vous ne pouvez pas enregistrer un AWS compte existant comme compte d'audit ou d'archivage des journaux, sauf lors de la configuration initiale de la zone d'atterrissage.

## Que se passe-t-il lors de l'inscription au compte
<a name="what-happens-during-account-enrollment"></a>

Au cours du processus d'inscription, AWS Control Tower effectue les actions suivantes :
+ Établit la référence du compte, ce qui inclut le déploiement de ces ensembles de piles :
  + `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
  + `AWSControlTowerBP-BASELINE-CLOUDWATCH`
  + `AWSControlTowerBP-BASELINE-CONFIG`
  + `AWSControlTowerBP-BASELINE-ROLES`
  + `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
  + `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
  + `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`

  Il est conseillé de passer en revue les modèles de ces ensembles de piles et de s'assurer qu'ils ne sont pas en conflit avec vos stratégies existantes.
+ Identifie le compte via AWS IAM Identity Center ou AWS Organizations.
+ Place le compte dans l'unité d'organisation que vous avez spécifiée. Veillez à appliquer tout SCPs ce qui est appliqué dans l'unité d'organisation actuelle, afin que votre posture de sécurité reste cohérente.
+ Applique les contrôles obligatoires au compte au moyen de ceux SCPs qui s'appliquent à l'unité d'organisation sélectionnée dans son ensemble.
+ Active AWS Config et configure le système pour enregistrer toutes les ressources du compte.
+ Ajoute les AWS Config règles qui appliquent les contrôles de détection d'AWS Control Tower au compte.

**Comptes et parcours au niveau de l'organisation CloudTrail**  
Pour les versions 3.1 et supérieures de la zone d'atterrissage, si vous avez sélectionné l' AWS CloudTrail intégration facultative dans les paramètres de la zone d'atterrissage :  
Tous les comptes des membres d'une UO sont régis par l' AWS CloudTrail historique de l'UO, qu'ils soient inscrits ou non.
Lorsque vous enregistrez un compte dans AWS Control Tower, celui-ci est régi par le AWS CloudTrail parcours de la nouvelle organisation. Si vous avez déjà déployé une version d'essai CloudTrail , des frais supplémentaires peuvent être facturés, sauf si vous supprimez la version d'essai existante pour le compte avant de l'inscrire dans AWS Control Tower. 
Si vous transférez un compte vers une unité d'organisation enregistrée, par exemple au moyen de la AWS Organizations console ou APIs, vous souhaiterez peut-être supprimer toute trace restante au niveau du compte. Si vous avez déjà déployé un CloudTrail trail, vous devrez payer des CloudTrail frais supplémentaires.
Si vous mettez à jour votre zone d'atterrissage et que vous choisissez de ne plus participer aux pistes au niveau de l'organisation, ou si votre zone d'atterrissage est antérieure à la version 3.0, les CloudTrail pistes au niveau de l'organisation ne s'appliquent pas à vos comptes.

## Inscrivez des comptes existants avec VPCs
<a name="enroll-existing-accounts-with-vpcs"></a>

La gestion d'AWS Control Tower est VPCs différente lorsque vous créez un nouveau compte dans Account Factory et lorsque vous enregistrez un compte existant.
+ Lorsque vous créez un nouveau compte, AWS Control Tower supprime automatiquement le VPC AWS par défaut et crée un nouveau VPC pour ce compte.
+ Lorsque vous enregistrez un compte existant, AWS Control Tower ne crée pas de nouveau VPC pour ce compte.
+ Lorsque vous enregistrez un compte existant, AWS Control Tower ne supprime aucun VPC existant ou VPC AWS par défaut associé au compte.

**Astuce**  
Vous pouvez modifier le comportement par défaut des nouveaux comptes en configurant Account Factory, afin qu'il ne configure pas de VPC par défaut pour les comptes de votre organisation sous AWS Control Tower. Pour de plus amples informations, veuillez consulter [Créez un compte dans AWS Control Tower sans VPC](configure-without-vpc.md#create-without-vpc).

## Inscrire des comptes avec des ressources AWS Config
<a name="example-config-cli-commands"></a>

Le compte à inscrire ne doit pas disposer de AWS Config ressources existantes. Consultez la section [Inscrire des comptes disposant de AWS Config ressources existantes](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html).

Voici quelques exemples de commandes AWS Config CLI que vous pouvez utiliser pour déterminer l'état des AWS Config ressources de votre compte existant, telles que l'enregistreur de configuration et le canal de diffusion.

**Commandes d'affichage :**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`

La réponse normale est quelque chose comme `"name": "default"`

**Commandes de suppression :**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`

# Conditions préalables à l'inscription
<a name="enrollment-prerequisites"></a>

*Cette section décrit comment inscrire un AWS compte existant dans AWS Control Tower si vous n'avez pas sélectionné la fonctionnalité d'inscription automatique facultative sur la page des **paramètres** de la zone d'atterrissage, ou si vous utilisez une version de zone d'atterrissage antérieure à la version 3.1.*

Les conditions préalables suivantes sont requises avant de pouvoir inscrire une personne existante Compte AWS dans AWS Control Tower :

**Note**  
La condition préalable pour ajouter le `AWSControlTowerExecution` rôle n'est pas requise si vous avez activé la fonctionnalité d'inscription automatique d'AWS Control Tower sur la page des **paramètres** de la zone de landing zone, ou si vous **inscrivez** le compte dans le cadre d'un processus d'enregistrement de l'unité d'organisation. Cependant, dans tous les cas, le compte à inscrire peut ne pas disposer de AWS Config ressources existantes. Voir [Inscrire des comptes disposant de ressources existantes AWS Config](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)

1. Pour inscrire un poste existant Compte AWS, le `AWSControlTowerExecution` rôle doit être présent dans le compte que vous inscrivez. Vous pouvez consulter Enregistrer [un compte](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html) pour obtenir des informations et des instructions. 

1. Outre le `AWSControlTowerExecution` rôle, le titulaire que Compte AWS vous souhaitez inscrire doit disposer des autorisations et des relations de confiance suivantes. Sinon, l'inscription échouera.

   Autorisation de rôle : `AdministratorAccess` (politique AWS gérée)

   **Relation de confiance entre les rôles :**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }
   ```

------

1. Nous recommandons que le compte ne dispose pas d'un enregistreur AWS Config de configuration ou d'un canal de diffusion. Ils peuvent être supprimés ou modifiés AWS CLI avant de pouvoir créer un compte. Sinon, consultez les [comptes d'inscription dotés de AWS Config ressources existantes](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html) pour obtenir des instructions sur la manière dont vous pouvez modifier vos ressources existantes.

1. Le compte que vous souhaitez inscrire doit exister dans la même AWS Organizations organisation que le compte de gestion AWS Control Tower. Le compte existant ne peut être inscrit *que* dans la même organisation que le compte de gestion AWS Control Tower, dans une unité d'organisation déjà enregistrée auprès d'AWS Control Tower. 

Pour vérifier les autres conditions préalables à l'inscription, consultez [Getting Started with AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-with-control-tower.html).

**Note**  
Lorsque vous créez un compte dans AWS Control Tower, celui-ci est régi par le AWS CloudTrail parcours de l'organisation AWS Control Tower. Si vous avez déjà déployé une version d'essai CloudTrail, des frais supplémentaires peuvent être facturés, sauf si vous supprimez la version d'essai existante pour le compte avant de l'inscrire dans AWS Control Tower.

**À propos de l'accès sécurisé avec le `AWSControTowerExecution` rôle**

Avant de pouvoir inscrire un Compte AWS compte existant dans AWS Control Tower, vous devez autoriser AWS Control Tower à gérer ou à *gouverner* le compte. Plus précisément, AWS Control Tower a besoin d'une autorisation pour établir un accès fiable entre vous AWS CloudFormation et en votre nom, afin de CloudFormation pouvoir déployer automatiquement votre stack AWS Organizations sur les comptes de l'organisation que vous avez sélectionnée. Grâce à cet accès fiable, le `AWSControlTowerExecution` rôle mène les activités nécessaires à la gestion de chaque compte. C'est pourquoi vous devez ajouter ce rôle à chaque compte avant de l'inscrire.

 Lorsque l'accès sécurisé est activé, CloudFormation vous pouvez créer, mettre à jour ou supprimer des piles sur plusieurs comptes et Régions AWS en une seule opération. AWS Control Tower s'appuie sur cette capacité de confiance pour appliquer des rôles et des autorisations aux comptes existants avant de les transférer dans une unité organisationnelle enregistrée, et de les placer ainsi sous gouvernance.

Pour en savoir plus sur l'accès sécurisé AWS CloudFormation StackSets, consultez [AWS CloudFormationStackSetset AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html). 

# Déplacez et enregistrez des comptes grâce à l'inscription automatique
<a name="account-auto-enrollment"></a>

La fonction d'inscription automatique du compte est disponible pour les zones d'atterrissage de la version 3.1 et des versions ultérieures.

 Si vous activez éventuellement cette fonctionnalité, vous pouvez utiliser la console AWS Organizations APIs and pour déplacer des comptes vers AWS Control Tower, sans créer de [https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html). Le compte reçoit automatiquement les ressources de base et les configurations de contrôle de l'unité organisationnelle (UO) de destination dans AWS Control Tower. Cette fonctionnalité optionnelle vous permet également de déplacer des comptes au OUs sein d'AWS Control Tower, sans créer de dérive d'héritage, si les deux OUs ont la même configuration de base et les mêmes contrôles activés.

**Pour activer l'inscription automatique :** vous pouvez sélectionner l'inscription automatique des comptes sur la page des **paramètres** de la zone de destination de la console AWS Control Tower, ou en appelant l'AWS Control Tower `CreateLandingZone` ou en `UpdateLandingZone` APIs définissant la valeur du `RemediationType` paramètre sur **Inheritance** Drift.

**Pour appliquer l'inscription automatique :** après avoir sélectionné cette option sur votre page **Paramètres**, vous pouvez déplacer un compte par le biais de la AWS Organizations console, de l' AWS Organizations `MoveAccount`API ou de la console AWS Control Tower.

**Pour désinscrire un compte par inscription automatique :** si vous déplacez un compte en dehors d'une unité d'organisation enregistrée, AWS Control Tower supprime automatiquement toutes les ressources et tous les contrôles de base déployés.

**Note**  
Si la source et la destination OUs dans AWS Control Tower ont des configurations différentes, le compte peut présenter une [Compte de membre déplacé](governance-drift.md#drift-account-moved) dérive. 

## Conditions préalables : Configuration pour l'inscription automatique
<a name="w2aac44c24c18c15"></a>
+ Vous devez exécuter la version 3.1 ou ultérieure de la zone de landing zone d'AWS Control Tower.
+  Optez pour la fonctionnalité d'inscription automatique d'AWS Control Tower via la page des **paramètres** de la zone d'atterrissage de la console, ou via la zone d'accueil d'AWS Control Tower APIs, en définissant la valeur du `RemediationTypes` paramètre sur. `Inheritance Drift` Lorsque vous vous êtes inscrit, AWS Control Tower réagit aux `move account` AWS Organizationsévénements et remédie immédiatement à la dérive héritée des comptes déplacés, en votre nom.

## Autorisations requises
<a name="w2aac44c24c18c17"></a>

 Des rôles et des autorisations spécifiques sont nécessaires pour utiliser l' AWS Organizations `CreateAccount`API et l'`MoveAccount`API. Pour plus d'informations sur l'utilisation AWS Organizations avec AWS Control Tower, consultez [AWS Control Tower et AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/services-that-can-integrate-CTower.html). 

## Exemples d'utilisation de l'API
<a name="w2aac44c24c18c19"></a>

Pour plus d'informations et des exemples à ce sujet APIs, consultez [https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html)et [https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html)dans le Guide de *référence des AWS Organizations API*. 

## Considérations
<a name="w2aac44c24c18c21"></a>
+  **Calendrier d'inscription :** un compte transféré vers une unité d'organisation enregistrée auprès d'AWS Control Tower est inscrit selon un *éventuel modèle de cohérence*. Ce processus prend généralement quelques minutes, voire plusieurs heures, selon le nombre de comptes déplacés. 
+  **Processus de désinscription :** vous pouvez utiliser le même processus pour désinscrire vos comptes d'AWS Control Tower en les déplaçant vers une unité d'organisation extérieure à AWS Control Tower. Ce processus supprime tous les rôles et ressources déployés par AWS Control Tower et tous les contrôles activés dans AWS Control Tower. 

# Enregistrer un compte existant depuis la console AWS Control Tower
<a name="quick-account-provisioning"></a>

Il existe deux méthodes courantes pour inscrire une personne Compte AWS dans AWS Control Tower. 

1. Après avoir sélectionné la fonctionnalité *d'inscription automatique* sur la page **Paramètres**, vous pouvez créer une unité Compte AWS externe à AWS Control Tower et la déplacer directement dans une unité d'organisation enregistrée. Pour plus d'informations, voir [Déplacer et inscrire des comptes automatiquement](https://docs.aws.amazon.com//controltower/latest/userguide/account-auto-enroll.html). Cette option est disponible pour les versions 3.1 et ultérieures de la zone d'atterrissage.

1. Vous pouvez inscrire manuellement un compte existant depuis la console AWS Control Tower.

**Les sections suivantes décrivent la deuxième option,** qui ne nécessite aucune configuration préalable de votre environnement AWS Control Tower. Ils Compte AWS doivent remplir les [prérequis requis](https://docs.aws.amazon.com//controltower/latest/userguide/enrollment-prerequisites.html).

**Consultez vos comptes éligibles dans la console :**

1. Accédez à la page **Organisation** dans AWS Control Tower.

1. Trouvez le nom du compte que vous souhaitez enregistrer. Pour le trouver, choisissez **Comptes uniquement** dans le menu déroulant en haut à droite, puis recherchez le nom du compte dans le tableau filtré.

Suivez ensuite les étapes pour créer un compte individuel, comme indiqué dans la [Étapes pour créer un compte manuellement](#enrollment-steps) section.

## Considérations relatives à l'inscription depuis la console
<a name="enroll-from-console"></a>
+ La fonctionnalité d'**inscription d'un compte** disponible dans la console AWS Control Tower est destinée à l'enregistrement des comptes existants Comptes AWS afin qu'ils soient régis par AWS Control Tower. Pour plus d'informations, voir [Inscrire un existant Compte AWS](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html).
+ [La fonctionnalité d'**inscription basée sur la** console est disponible lorsque votre zone d'atterrissage n'est pas en état de dérive.](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html) Si votre zone de destination est en état de dérive, il se peut que vous ne puissiez pas utiliser la fonction **Inscrire un compte** avec succès. Vous devrez créer de nouveaux comptes via Account Factory ou une autre méthode, jusqu'à ce que la dérive de votre zone d'atterrissage soit résolue. 
+ Lorsque vous enregistrez des comptes depuis la console AWS Control Tower, vous devez être connecté à un compte dont la `AWSServiceCatalogEndUserFullAccess` politique est activée, ainsi que des autorisations d'accès d'**administrateur** pour utiliser la console AWS Control Tower, et vous ne pouvez pas être connecté en tant qu'utilisateur root.
+ Les comptes que vous inscrivez peuvent être mis à jour par le biais de l'AWS Control Tower Account Factory, comme vous le feriez pour tout autre compte. Les procédures de mise à jour sont indiquées dans la section appelée [Mettez à jour et déplacez des comptes avec AWS Control Tower](updating-account-factory-accounts.md). 

**Note**  
Lorsque vous inscrivez une adresse e-mail existante Compte AWS, assurez-vous de vérifier l'adresse e-mail existante. Dans le cas contraire, un nouveau compte peut être créé.

## Étapes pour créer un compte manuellement
<a name="enrollment-steps"></a>

Une fois que l'autorisation d'**AdministratorAccess**accès (politique) est en place dans votre Compte AWS compte existant, procédez comme suit pour enregistrer le compte :

**Pour inscrire un compte individuel dans AWS Control Tower depuis la console**
+ Accédez à la page d'**organisation** d'AWS Control Tower.
+ Sur la page **Organisation**, les comptes éligibles à l'inscription vous permettent de sélectionner S'**inscrire** dans le menu déroulant **Actions** en haut de la section. Ces comptes affichent également un bouton d'**inscription** lorsque vous les consultez sur la page des **détails du compte**.
+ Lorsque vous choisissez **Enregistrer un compte**, vous verrez une page d'**inscription sur laquelle vous êtes invité à ajouter le `AWSControlTowerExecution` rôle au compte**. Pour obtenir des instructions, voir[Ajoutez manuellement le rôle IAM requis à un rôle existant Compte AWS et inscrivez-le](enroll-manually.md).
+ Sélectionnez ensuite une unité d'organisation enregistrée dans la liste déroulante. Si le compte se trouve déjà dans une unité d'organisation enregistrée, cette liste affichera l'unité d'organisation.
+ Choisissez **Inscrire un compte**.
+ Vous verrez un rappel modal vous demandant d'ajouter le `AWSControlTowerExecution` rôle et de confirmer l'action.
+ Choisissez **S'inscrire**.
+ AWS Control Tower lance le processus d'inscription et vous êtes redirigé vers la page des **détails du compte**.

## Causes courantes d'échec de l'inscription
<a name="common-causes-for-enrollment-failure"></a>
+ Pour inscrire un compte existant, le `AWSControlTowerExecution` rôle doit être présent dans le compte que vous inscrivez.
+ Votre principal IAM peut ne pas disposer des autorisations nécessaires pour provisionner un compte.
+ AWS Security Token Service (AWS STS) est désactivé Compte AWS dans votre région d'origine ou dans toute région prise en charge par AWS Control Tower.
+ Vous êtes peut-être connecté à un compte qui doit être ajouté à Account Factory Portfolio in AWS Service Catalog. Le compte doit être ajouté pour que vous puissiez accéder à Account Factory afin que vous puissiez créer ou enregistrer un compte dans AWS Control Tower. Si l'utilisateur ou le rôle approprié n'est pas ajouté au portefeuille Account Factory, vous recevrez un message d'erreur lorsque vous tenterez d'ajouter un compte. Pour savoir comment accorder l'accès aux AWS Service Catalog portefeuilles, consultez la section [Accorder l'accès aux utilisateurs](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html).
+ Vous pouvez être connecté en tant que racine.
+ Le compte que vous essayez d'enregistrer comporte peut-être des AWS Config paramètres résiduels. En particulier, le compte peut disposer d'un enregistreur de configuration ou d'un canal de diffusion. Vous devez les supprimer ou les modifier AWS CLI avant de pouvoir créer un compte. Pour plus d’informations, consultez [Inscrire des comptes disposant de ressources existantes AWS Config](existing-config-resources.md) et [Interagissez avec AWS Control Tower via AWS CloudShell](cshell-examples.md). 
+ Si le compte appartient à une autre unité d'organisation dotée d'un compte de gestion, y compris une autre unité d'organisation AWS Control Tower, vous devez résilier le compte dans son unité d'organisation actuelle avant qu'il ne puisse rejoindre une autre unité d'organisation. Les ressources existantes doivent être supprimées dans l'unité d'organisation d'origine. Sinon, l'inscription échouera.
+ Le provisionnement et l'inscription du compte échouent si les unités d'organisation de votre destination SCPs ne vous permettent pas de créer toutes les ressources requises pour ce compte. Par exemple, un SCP dans votre unité d'organisation de destination peut bloquer la création de ressources sans certaines balises. Dans ce cas, le provisionnement ou l'inscription du compte échouent, car AWS Control Tower ne prend pas en charge le balisage des ressources. Pour obtenir de l'aide, contactez le représentant de votre compte, ou Support.

Pour plus d'informations sur la façon dont AWS Control Tower utilise les rôles lorsque vous créez de nouveaux comptes ou que vous inscrivez des comptes existants, consultez la section [Rôles et comptes](https://docs.aws.amazon.com//controltower/latest/userguide/roles.html).

**Astuce**  
Si vous ne pouvez pas confirmer qu'une unité existante Compte AWS répond aux conditions d'inscription, vous pouvez configurer une unité **d'inscription** et inscrire le compte dans cette unité d'organisation. Une fois l'inscription réussie, vous pouvez déplacer le compte vers l'unité d'organisation souhaitée. En cas d'échec de l'inscription, aucun autre compte OUs n'est concerné par l'échec.

Si vous avez des doutes quant à la compatibilité de vos comptes existants et de leurs configurations avec AWS Control Tower, vous pouvez suivre les bonnes pratiques recommandées dans la section suivante. 

**Recommandé : vous pouvez configurer une approche en deux étapes pour l'inscription de compte**
+ Tout d'abord, utilisez un *pack de AWS Config conformité* pour évaluer dans quelle mesure vos comptes peuvent être affectés par certains contrôles de l'AWS Control Tower. Pour déterminer dans quelle mesure l'inscription à AWS Control Tower peut affecter vos comptes, consultez [Étendre la gouvernance d'AWS Control Tower à l'aide de packs de AWS Config conformité](https://aws.amazon.com//blogs/mt/extend-aws-control-tower-governance-using-aws-config-conformance-packs/). 
+ Ensuite, vous pouvez inscrire le compte. Si les résultats de conformité sont satisfaisants, le chemin de migration est plus facile car vous pouvez inscrire le compte sans conséquences inattendues.
+ Une fois votre évaluation terminée, si vous décidez de configurer une zone d'atterrissage AWS Control Tower, vous devrez peut-être supprimer le canal de AWS Config diffusion et l'enregistreur de configuration créés pour votre évaluation. Vous serez alors en mesure de configurer AWS Control Tower avec succès.

**Note**  
Le pack de conformité fonctionne également dans les situations où les comptes se trouvent dans un espace OUs enregistré par AWS Control Tower, mais où les charges de travail sont exécutées dans des AWS régions qui ne sont pas prises en charge par AWS Control Tower. Vous pouvez utiliser le pack de conformité pour gérer les ressources des comptes qui existent dans les régions où AWS Control Tower n'est pas déployée.

# Si le compte ne répond pas aux prérequis
<a name="fulfill-prerequisites"></a>

 N'oubliez pas que, comme condition préalable, les comptes éligibles à l'inscription à la gouvernance d'AWS Control Tower doivent faire partie de la même organisation globale. Pour remplir cette condition préalable à l'enregistrement d'un compte, vous pouvez suivre ces étapes préparatoires pour transférer un compte dans la même organisation qu'AWS Control Tower. 

**Étapes préparatoires à l'intégration d'un compte dans la même organisation qu'AWS Control Tower**

1.  Supprimez le compte de son organisation existante. Vous devez fournir un mode de paiement distinct si vous utilisez cette approche. 

1.  Invitez le compte à rejoindre l'organisation AWS Control Tower. Pour plus d'informations, voir [Inviter un AWS compte à rejoindre votre organisation](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_invites.html) dans le *Guide de AWS Organizations l'utilisateur*. 

1.  Acceptez l'invitation. Le compte apparaît à la racine de l'organisation. Cette étape permet de transférer le compte dans la même organisation qu'AWS Control Tower et d'établir SCPs et de consolider la facturation. 

**Astuce**  
 Vous pouvez envoyer l'invitation à la nouvelle organisation avant que le compte ne soit supprimé de l'ancienne organisation. L'invitation sera en attente lorsque le compte sera officiellement retiré de son organisation existante. 

**Étapes pour remplir les autres conditions préalables :**

1.  Créez le `AWSControlTowerExecution` rôle nécessaire. 

1.  Supprimez le VPC par défaut. (Cette partie est facultative. AWS Control Tower ne modifie pas votre VPC par défaut existant.) 

1.  Supprimez ou modifiez tout enregistreur AWS Config de configuration ou canal de distribution existant via le AWS CLI ou AWS CloudShell. Pour plus d’informations, consultez [Inscrire des comptes avec des ressources AWS Config](enroll-account.md#example-config-cli-commands) et [Inscrire des comptes disposant de ressources existantes AWS Config](existing-config-resources.md). 

 Une fois ces étapes préparatoires terminées, vous pouvez inscrire le compte dans AWS Control Tower. Pour de plus amples informations, veuillez consulter [Étapes pour créer un compte manuellement](quick-account-provisioning.md#enrollment-steps). Cette étape intègre le compte à la gouvernance complète d'AWS Control Tower. 

**Étapes facultatives pour déprovisionner un compte, afin qu'il puisse être inscrit et conserver sa pile**

1.  Pour conserver la CloudFormation pile appliquée, supprimez l'instance de pile des ensembles de piles et choisissez **Conserver les piles** pour l'instance. 

1.  Résiliez le produit approvisionné par le AWS Service Catalog compte dans Account Factory. (Cette étape supprime uniquement le produit provisionné d'AWS Control Tower. Cela ne supprime pas le compte.) 

1.  Configurez le compte avec les informations de facturation nécessaires, comme c'est le cas pour tout compte n'appartenant pas à une organisation. Supprimez ensuite le compte de l'organisation. (Vous faites cela pour que le compte ne soit pas pris en compte dans le total de votre AWS Organizations quota.) 

1.  Nettoyez le compte s'il reste des ressources, puis fermez-le en suivant les étapes de fermeture du compte indiquées[Désinscrire un compte](unmanage-account.md). 

1.  Si vous disposez d'une **unité d'organisation suspendue** avec des commandes définies, vous pouvez y déplacer le compte au lieu de passer à l'étape 1. 

# Ajoutez manuellement le rôle IAM requis à un rôle existant Compte AWS et inscrivez-le
<a name="enroll-manually"></a>

Si vous avez déjà configuré la zone de landing de votre AWS Control Tower, vous pouvez commencer à inscrire les comptes de votre organisation dans une unité d'organisation enregistrée auprès d'AWS Control Tower. Si vous n'avez pas configuré votre zone de landing zone, suivez les étapes décrites dans le *guide de l'utilisateur d'AWS Control Tower* sur [Getting Started, étape 2](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two). Une fois la zone de landing zone prête, suivez les étapes ci-dessous pour intégrer manuellement les comptes existants à la gouvernance d'AWS Control Tower.

**N'oubliez pas de consulter ce qui est [Conditions préalables à l'inscription](enrollment-prerequisites.md) indiqué précédemment dans ce chapitre.**

Avant de créer un compte auprès d'AWS Control Tower, vous devez autoriser AWS Control Tower à gérer ce compte. Pour ce faire, vous allez ajouter un rôle disposant d'un accès complet au compte, comme indiqué dans les étapes suivantes. Ces étapes doivent être effectuées pour chaque compte que vous enregistrez.

**Pour chaque compte :**

**Étape 1 : Connectez-vous avec un accès administrateur au compte de gestion de l'organisation qui contient actuellement le compte que vous souhaitez inscrire.**

Par exemple, si vous avez créé ce compte à partir de AWS Organizations et que vous utilisez un rôle IAM entre comptes pour vous connecter, vous pouvez suivre les étapes suivantes :

1. Connectez-vous au compte de gestion de votre organisation.

1. Accédez à **AWS Organizations**.

1. Sous **Comptes**, sélectionnez le compte que vous souhaitez enregistrer et copiez son numéro de compte.

1. Ouvrez le menu déroulant du compte dans la barre de navigation supérieure et choisissez **Changer de rôle**.

1. Sur le formulaire **Switch role**, renseignez les champs suivants :
   + Sous **Compte**, entrez le numéro de compte que vous avez copié.
   + Sous **Rôle**, entrez le nom du rôle IAM qui permet l'accès entre comptes à ce compte. Le nom de ce rôle a été défini lors de la création du compte. Si vous n'avez pas spécifié de nom de rôle lors de la création du compte, entrez le nom de rôle par défaut,`OrganizationAccountAccessRole`.

1. Choisissez **Changer de rôle**.

1. Vous devriez maintenant être connecté au compte en AWS Management Console tant qu'enfant.

1. Lorsque vous avez terminé, restez dans le compte enfant pour la prochaine étape de la procédure.

1. Prenez note de l'identifiant du compte de gestion, car vous devrez le saisir à l'étape suivante.

**Étape 2 : autorisez AWS Control Tower à gérer le compte.**

1. Accédez à **IAM**.

1. Accédez à **Rôles**.

1. Choisissez **Créer un rôle**.

1. Lorsque vous êtes invité à sélectionner le service auquel le rôle est destiné, choisissez **Politique de confiance personnalisée**. 

1. Copiez l'exemple de code présenté ici et collez-le dans le document de politique. Remplacez la chaîne *`Management Account ID`* par l'identifiant de compte de gestion réel de votre compte de gestion. Voici la politique à coller :

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "AWS": "arn:aws:iam::111122223333:root"
               },
               "Action": "sts:AssumeRole",
               "Condition": {}
           }
       ]
   }
   ```

------

1. Lorsque vous êtes invité à joindre des politiques, sélectionnez **AdministratorAccess**.

1. Choisissez **Suivant : balises**.

1. Vous pouvez voir un écran facultatif intitulé **Ajouter des balises**. Ignorez cet écran pour le moment en choisissant **Next:Review**

1. Sur l'écran de **révision**, dans le champ **Nom du rôle**, entrez`AWSControlTowerExecution`.

1. Entrez une brève description dans le champ **Description**, telle que *Autorise l'accès complet au compte pour l'inscription.*

1. Choisissez **Créer un rôle**.

**Étape 3 : Enregistrez le compte en le transférant dans une unité d'organisation enregistrée et vérifiez l'inscription.**

Après avoir configuré les autorisations nécessaires en créant le rôle, suivez ces étapes pour enregistrer le compte et vérifier l'inscription.

1. **Connectez-vous à nouveau en tant qu'administrateur et accédez à AWS Control Tower.**

1. 

**Enregistrez le compte.**
   + Sur la page **Organisation** d'AWS Control Tower, sélectionnez votre compte, puis choisissez **S'inscrire** dans le menu déroulant **Actions** en haut à droite.
   + Suivez les étapes pour créer un compte individuel, comme indiqué sur la [Étapes pour créer un compte manuellement](quick-account-provisioning.md#enrollment-steps) page.

1. 

**Vérifiez l'inscription.**
   + Dans AWS Control Tower, choisissez **Organization** dans le menu de navigation de gauche.
   + Recherchez le compte que vous avez récemment ouvert. Son état initial indiquera le statut d'**inscription**.
   + Lorsque l'état passe à **Inscrit**, le transfert a été effectué avec succès.

Pour poursuivre ce processus, connectez-vous à chaque compte de votre organisation que vous souhaitez inscrire à AWS Control Tower. Répétez les étapes préalables et les étapes d'inscription pour chaque compte.

**Exemple d'ajout du `AWSControlTowerExecution` rôle**

Le modèle YAML suivant peut vous aider à créer le rôle requis dans un compte, afin qu'il puisse être inscrit par programme.

```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```