本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将账户转移到其他组织
您可以将在 AWS Control Tower 中注册的成员账户转移到其他 AWS Organizations 组织。
先决条件
-
该账户必须注册来源组织的 AWS Control Tower。也就是说,该账户已应用基准、主动控制或侦探控制。
-
账户必须在转账前至少 4 天创建。
-
您必须有权访问来源组织和目标组织的管理帐户。
第 1 步:从 AWS Control Tower 取消账户注册
在转移账户之前,您必须禁用所有直接应用于该账户的 AWS Control Tower 资源。该账户可以继续继承预防性控制。
如果您使用自动注册
将账户移至以下位置之一:
-
组织的根源
-
非托管 OU
-
在 Landing Zone 4.0 或更高版本中,仅启用预防性控制的 OU
如果您不使用自动注册
如果您使用自动注册,也可以使用以下方法。
-
对于具有 AWS Control Tower 和备份基准的账户,请从 AWS Control Tower 控制台中选择取消管理。您也可以使用 S AWS ervice Catalog APIs 或控制台终止已配置的产品。
-
对于具有 AWS Config 基准的账户,请在 OU 上禁用 AWS Config 基准,或者将账户移至 root 用户并使用
DisableBaselineAPI。
步骤 2:将账户转移到目标组织
禁用除预防性控制之外的所有 AWS Control Tower 基准和适用于该账户的控制后,完成转移。
-
从目标组织的管理账户向成员账户发送邀请。
-
接受来自成员账户的邀请。
-
从目标组织的管理账户中,将该账户移至所需的 OU。
有关迁移过程的说明,请参阅AWS Organizations 用户指南中的将 AWS 账户迁移到其他组织。
步骤 3:在目标组织中注册账户
账户进入目标组织后,将其注册到 AWS Control Tower。
-
如果在管理目标组织的 AWS Control Tower 着陆区启用了自动注册,则 AWS Control Tower 会自动对账户应用基准和控制权。
-
如果您未在目标组织中使用自动注册,请在 AWS Control Tower 中手动注册账户。有关更多信息,请参阅 关于注册现有账户。
其他注意事项
- 等待期
-
通过 AWS Organizations 或 Account Factory 创建的账户必须至少保存 4 天,然后才能将其转移或从组织中移除。有关更多信息,请参阅《AWS Organizations 用户指南》中的从组织中移除成员帐户。
- AWS Config 聚合器限制
-
当您转移多个账户时,您可能会达到所有聚合器每周添加或删除账户的最大数量的 AWS Config 限制 (1,000)。要请求提高限制,请参阅 AWS Config 服务限制。您也可以升级到 landing zone 版本 4.0,该版本使用与服务关联的 Config 聚合器。有关更多详细信息,请参阅 land AWS ing zone 版本 4.0 中的配置更新。
- 成员账户访问权限
-
已取消注册的账户没有
AWSControlTowerExecution角色。当您禁用 Config 或 AWS Control Tower 基准时,AWS Control Tower 会删除其执行角色并添加OrganizationsAccountAccessRole。您可以使用此角色接受目标组织的邀请。在目标组织中注册账户后,
AWSControlTowerExecution角色即被创建。此角色取代OrganizationsAccountAccessRole并信任新的管理账户。 - AWS Service Catalog 和自动注册
-
自动注册不会对 S AWS ervice Catalog 中的资源起作用。即使底层账户已取消注册,所有 Account Factory 预配置产品仍保留在管理账户中。要终止管理账户中的这些预配置产品,请参阅 S AWS ervice Catalog 用户指南中的删除预配置产品。所有 Account Factory 定制 (AFC) 蓝图都保留在账户中。
