本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 关于注册现有账户
您可以将 AWS Control Tower 的监管范围扩展到个人, AWS 账户 当您将个人*注册*到已经由 AWS Control Tower 管理的组织单位 (OU) 时,该组织就存在了。符合条件的账户存在于与 AWS Control Tower OU *属于同一个 AWS Organizations 组织的未注册 OUs *账户。
有几种方法可以将账户注册到 AWS Control Tower。**此页面上的信息适用于所有注册方法。**
**注意**
除非在初始 land AWS ing zone 设置期间,否则您无法注册现有账户作为审核或日志存档账户。
## 在账户注册期间发生的情况
在注册过程中,AWS Control Tower 会执行以下操作:
+ 为账户设定基准,包括部署以下堆栈集:
+ `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
+ `AWSControlTowerBP-BASELINE-CLOUDWATCH`
+ `AWSControlTowerBP-BASELINE-CONFIG`
+ `AWSControlTowerBP-BASELINE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
+ `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`
最好查看这些堆栈集的模板,并确保它们不会与现有策略冲突。
+ 通过 AWS IAM Identity Center 或识别账户 AWS Organizations。
+ 将账户放入您指定的 OU 中。请务必应用当前 OU 中应用的所有 SCPs 内容,这样您的安全状况才能保持一致。
+ 通过适用于整个选定组织单位 SCPs 的强制控制措施对账户应用强制性控制。
+ 启用 AWS Config 并配置它以记录账户中的所有资源。
+ 添加将 AWS Control Tower 侦探控件应用于账户的 AWS Config 规则。
**账户和组织级别的跟踪 CloudTrail**
对于登录区 3.1 及更高版本,如果您在登录区设置中选择了可选 AWS CloudTrail 集成:
无论是否注册,OU 中的所有成员账户都受该 OU 的 AWS CloudTrail 跟踪控制。
当您将账户注册到 AWS Control Tower 时,您的账户将受新组织的 AWS CloudTrail 跟踪监管。如果您已经部署了 CloudTrail 跟踪,则可能会看到重复的费用,除非您在将其注册到 AWS Control Tower 之前删除该账户的现有跟踪。
如果您将账户转移到已注册的 OU(例如通过 AWS Organizations 控制台或 APIs),则可能希望删除该账户的所有剩余账户级别跟踪。如果您已经部署了 CloudTrail 跟踪,则会产生重复的 CloudTrail 费用。
如果您更新了着陆区并选择退出组织级别的跟踪,或者您的着陆区版本低于 3.0,则组织级别的 CloudTrail跟踪不适用于您的账户。
## 使用注册现有账户 VPCs
当您在 Account Factory 中配置新账户时,AWS Control Tower 的处理 VPCs 方式与注册现有账户时的处理方式不同。
+ 创建新账户时,AWS Control Tower 会自动删除 AWS 默认 VPC 并为该账户创建新的 VPC。
+ 注册现有账户时,AWS Control Tower 不会为该账户创建新 VPC。
+ 当您注册现有账户时,AWS Control Tower 不会删除与该账户关联的任何现有 VPC 或 AWS 默认 VPC。
**提示**
您可以通过配置 Account Factory 来更改新账户的默认行为,以便在默认情况下,它不会在 AWS Control Tower 下为组织中的账户设置 VPC。有关更多信息,请参阅 [在 AWS Control Tower 中创建一个不含 VPC 的账户](configure-without-vpc.md#create-without-vpc)。
## 使用 AWS Config 资源注册账户
要注册的账户不得有现有 AWS Config 资源。请参阅[注册拥有现有 AWS Config 资源的账户](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)。
以下是一些用于确定现有账户 AWS Config 资源的状态的 AWS Config CLI 命令示例,例如配置记录器和交付渠道。
**查看命令:**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`
正常的响应类似于 `"name": "default"`
**删除命令:**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
# 注册的先决条件
*本节介绍如果您尚未在着陆区**设置**页面上选择可选的自动注册功能,或者您使用的是 3.1 之前的着陆区版本,则如何将现有 AWS 账户注册到 AWS Control Tower。*
要在 AWS Control Tower AWS 账户 中注册现有的,必须具备以下先决条件:
**注意**
如果您已在登录区**设置**页面中激活 AWS Control Tower 自动注册功能,或者您要在**注册 OU** 流程中注册账户,则不需要添加 `AWSControlTowerExecution` 角色的先决条件。但是,在所有情况下,要注册的账户都可能没有现有 AWS Config 资源。请参阅[注册拥有现有 AWS Config 资源的账户](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)
1. 要注册现有账户 AWS 账户,该`AWSControlTowerExecution`角色必须存在于您注册的账户中。您可以查看[注册账户](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html),以了解详细信息和说明。
1. 除 `AWSControlTowerExecution` 角色外,您要注册的现有 AWS 账户 还必须具有以下权限和信任关系。否则,注册将失败。
角色权限:`AdministratorAccess`(AWS 托管策略)
**角色信任关系:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 我们建议该账户不应有 AWS Config 配置记录器或传送渠道。在注册账户之前,可以通过 AWS CLI 删除或修改这些内容。否则,[请查看注册拥有现有 AWS Config 资源的账户](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html),了解如何修改现有资源的说明。
1. 您希望注册的账户必须与 AWS Control Tower 管理账户位于同一 AWS Organizations 组织中。已有的账户*只能*注册到与 AWS Control Tower 管理账户(在已注册到 AWS Control Tower 的 OU 中)相同的组织中。
要查看注册的其他先决条件,请参阅 [Getting Started with AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-with-control-tower.html)。
**注意**
当您将账户注册到 AWS Control Tower 时,您的账户将受 AWS Control Tower 组织的 AWS CloudTrail 跟踪监管。如果您已经部署了 CloudTrail跟踪,则可能会看到重复的费用,除非您在将其注册到 AWS Control Tower 之前删除该账户的现有跟踪。
**关于 `AWSControTowerExecution` 角色的可信访问权限**
在 AWS 账户 将现有账户注册到 AWS Control Tower 之前,您必须授予 AWS Control Tower *管理或监管*账户的权限。具体而言,AWS Control Tower 需要获得权限才能 AWS Organizations 在您之间 AWS CloudFormation 和代表您之间建立 CloudFormation 可信访问权限,这样才能将您的堆栈自动部署到所选组织中的账户。有了这种可信访问,`AWSControlTowerExecution` 角色就能开展管理每个账户所需的活动。因此,在注册之前,您必须将此角色添加到每个账户。
启用可信访问后,只需一次操作 CloudFormation 即可跨多个账户创建、更新或删除堆栈。 AWS 区域 AWS Control Tower 依靠这种信任功能,可以在将现有账户移动到已注册的组织单元之前,为这些账户应用角色和权限,从而将它们纳入监管范围。
要了解有关可信访问和的更多信息 AWS CloudFormation StackSets,请参阅[AWS CloudFormationStackSets和 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html)。
# 使用自动注册功能移动和注册账户
账户自动注册功能适用于 3.1 及更高版本的登录区。
如果您选择启用此功能,则可以利用 AWS Organizations APIs 和控制台将账户移至 AWS Control Tower,而不会产生[https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html)。账户将自动接收来自 AWS Control Tower 中目标组织单元(OU)的基准资源和控件配置。此可选功能还允许您 OUs 在 AWS Control Tower 中移动账户,而不会产生继承偏差,前提是两者 OUs具有相同的基准配置并启用了相同的控件。
**要激活自动注册:**您可以在 AWS Control Tower 控制台的着陆区**设置**页面上选择自动注册账户,也可以致电 AWS Control Tower `CreateLandingZone` 或 `UpdateLandingZone` APIs,将`RemediationType`参数的值设置为 “**继承**偏移”。
**要应用自动注册:**在 “**设置**” 页面中选择此选项后,您可以通过 AWS Organizations 控制台、 AWS Organizations `MoveAccount` API 或 AWS Control Tower 控制台移动账户。
**取消注册已自动注册的账户:**如果您将账户移至已注册 OU 的外部,AWS Control Tower 会自动移除所有已部署的基准资源和控件。
**注意**
如果 AWS Control Tower OUs 中的源和目标具有不同的配置,则该账户可能会显示[移动的成员账户](governance-drift.md#drift-account-moved)偏差。
## 先决条件:为自动注册进行配置
+ 您必须运行 AWS Control Tower 登录区 3.1 或更高版本。
+ 通过控制台中的着陆区**设置**页面或通过 AWS Control Tower 着陆区,将`RemediationTypes`参数值设置为 APIs,选择使用 AWS Control Tower 自动注册功能。`Inheritance Drift`当您选择加入后,AWS Control Tower 会立即代表您对已移动账户`move account`的事件做出反应 AWS Organizations,并立即修复已转移账户的继承偏移。
## 所需的权限
使用 API 和 AWS Organizations `CreateAccount` API 需要特定的角色和`MoveAccount`权限。有关与 AWS Control Tower AWS Organizations 配合使用的更多信息,请参阅 [AWS Control Tower 和 AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/services-that-can-integrate-CTower.html)。
## API 使用示例
有关这些内容的更多信息和示例 APIs,请参阅 *AWS Organizations API 参考[https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html)*中的[https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html)和。
## 注意事项
+ **注册时间线:**移至已在 AWS Control Tower 注册的 OU 的账户将使用*最终一致性* 模型进行注册。此过程通常需要几分钟,最多几个小时,具体取决于要移动的账户数量。
+ **取消注册流程:**您可以使用相同的流程从 AWS Control Tower 取消注册账户,方法是将账户移到 AWS Control Tower 之外的 OU。此过程会删除 AWS Control Tower 部署的所有角色和资源以及 AWS Control Tower 中启用的任何控件。
# 从 AWS Control Tower 控制台注册现有账户
注册个人加 AWS 账户 入 AWS Control Tower 有两种常见方法。
1. 在 “**设置**” 页面中选择*自动注册*功能后,您可以在 AWS Control Tower AWS 账户 之外创建一个,然后将其直接移至已注册的 OU 中。有关更多信息,请参阅[自动移动和注册账户](https://docs.aws.amazon.com//controltower/latest/userguide/account-auto-enroll.html)。此选项在登录区 3.1 及更高版本中可用。
1. 您可以从 AWS Control Tower 控制台手动注册现有账户。
**以下各节描述了第二个选项,**它不需要事先配置您的 AWS Control Tower 环境。 AWS 账户 必须满足所需的先[决条件](https://docs.aws.amazon.com//controltower/latest/userguide/enrollment-prerequisites.html)。
**在控制台中查看符合条件的账户:**
1. 导航到 AWS Control Tower 中的**组织**页面。
1. 查找要注册的账户的名称。要找到它,请从右上角的下拉菜单中选择**仅限账户**,然后在筛选后的表格中找到账户名称。
接下来,按照注册单个账户的步骤进行操作,如[手动注册账户的步骤](#enrollment-steps)一节所示。
## 从控制台注册的注意事项
+ AWS Control Tower 控制台中提供的**注册账户**功能旨在注册现有账户, AWS 账户 使其受 AWS Control Tower 的管理。有关更多信息,请参阅 [Enroll an existing AWS 账户](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html)。
+ 当您的登录区未处于[偏移](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html)状态时,可以使用基于控制台的**注册账户**功能。如果您的登录区处于偏移状态,您可能无法成功使用**注册账户**功能。您需要通过 Account Factory 或其他方法来预置新账户,直到登录区偏移得到解决。
+ 当您从 AWS Control Tower 控制台注册账户时,您必须使用已启用 `AWSServiceCatalogEndUserFullAccess` 策略且拥有使用 AWS Control Tower 控制台的**管理员**访问权限的用户身份登录到账户,而不能以根用户身份登录。
+ 您注册的账户必须通过 AWS Control Tower Account Factory 进行更新,就像更新任何其他账户一样。[使用 AWS Control Tower 更新和移动账户](updating-account-factory-accounts.md) 部分介绍了更新流程。
**注意**
注册现有电子邮件地址时 AWS 账户,请务必验证现有的电子邮件地址。否则,可能会创建一个新账户。
## 手动注册账户的步骤
在现有 AWS 账户 账户中设置**AdministratorAccess**访问权限(政策)后,请按照以下步骤注册该账户:
**在 AWS Control Tower 中通过控制台注册单个账户**
+ 导航到 AWS Control Tower **组织**页面。
+ 在**组织**页面上,对于符合注册资格的账户,您可以从该部分顶部的**操作**下拉菜单中选择**注册**。当您在**账户详细信息**页面查看这些账户时,它们还会显示**注册账户**按钮。
+ 当您选择**注册账户**时,将会看到**注册账户**页面,其中提示您将该 `AWSControlTowerExecution` 角色添加到账户。有关说明,请参阅 [手动将所需的 IAM 角色添加到现有角色 AWS 账户 并进行注册](enroll-manually.md)。
+ 接下来,从下拉列表中选择一个已注册的 OU。如果该账户已在注册的 OU 中,则此列表将显示 OU。
+ 选择**注册账户**。
+ 您会看到一个模态提醒,提醒您添加 `AWSControlTowerExecution` 角色并确认操作。
+ 选择**注册**。
+ AWS Control Tower 开始注册流程,并引导您回到**账户详细信息**页面。
## 注册失败的常见原因
+ 要注册现有账户,您要注册的账户中必须存在 `AWSControlTowerExecution` 角色。
+ 您的 IAM 委托人可能缺乏预置账户所需的权限。
+ AWS Security Token Service (AWS STS) AWS 账户 在您所在的地区或 AWS Control Tower 支持的任何区域中被禁用。
+ 您可能会登录到需要添加到 AWS Service Catalog的 Account Factory 产品组合中的账户。必须先添加账户,然后才能访问 Account Factory,以便您可以在 AWS Control Tower 中创建或注册账户。如果适当的用户或角色未添加到 Account Factory 产品组合中,那么当您尝试添加账户时将会收到一条错误消息。有关如何授予对 AWS Service Catalog 投资组合的访问权限的说明,请参阅[向用户授予访问权限](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html)。
+ 您可以用根用户身份登录。
+ 您尝试注册的账户可能有剩余 AWS Config 设置。特别是,该账户可能有配置记录器或传输通道。必须先通过删除或修改这些 AWS CLI 信息,然后才能注册账户。有关更多信息,请参阅[注册拥有现有 AWS Config 资源的账户](existing-config-resources.md)和[AWS Control Tower通过以下方式与之互动AWS CloudShell](cshell-examples.md)。
+ 如果该账户属于具有管理账户的另一个 OU,包括另一个 AWS Control Tower OU,则必须先在其当前 OU 中终止该账户,然后它才能加入另一个 OU。必须移除原始 OU 中的现有资源。否则,注册将失败。
+ 如果您的目标 OU SCPs 不允许您创建该账户所需的所有资源,则账户配置和注册将失败。例如,目标 OU 中的 SCP 可能会在没有特定标签的情况下阻止创建资源。在这种情况下,账户预置或注册会失败,因为 AWS Control Tower 不支持为资源添加标签。如需帮助,请联系您的客户代表,或 支持。
有关在创建新账户或注册现有账户时 AWS Control Tower 如何使用角色的更多信息,请参阅 [Roles and accounts](https://docs.aws.amazon.com//controltower/latest/userguide/roles.html)。
**提示**
如果您无法确认现有组织是否 AWS 账户 满足注册先决条件,则可以设置**注册 OU** 并将该账户注册到该 OU。注册成功后,您可以将账户转移到所需的 OU。如果注册失败,则不会 OUs 有其他账户或受该失败的影响。
如果您不确定现有账户及其配置是否与 AWS Control Tower 兼容,可以遵循下一节中推荐的最佳实践。
**建议:您可以设置一个包含两个步骤的账户注册方法**
+ 首先,使用 AWS Config *一致性包来评估某些 AWS Con* trol Tower 控制措施可能如何影响您的账户。要确定注册 AWS Control Tower 会如何影响您的账户,请参阅[使用 AWS Config 一致性包扩展 AWS Control Tower 的治理](https://aws.amazon.com//blogs/mt/extend-aws-control-tower-governance-using-aws-config-conformance-packs/)。
+ 接下来,您可能希望注册该账户。如果合规性结果令人满意,迁移路径会更容易,因为您可以注册账户而不会产生意外后果。
+ 完成评估后,如果您决定设置 AWS Control Tower 着陆区,则可能需要移除为评估而创建的 AWS Config 交付渠道和配置记录器。然后,您将能够成功设置 AWS Control Tower。
**注意**
合规包也适用于账户位于 AWS Control Tower OUs 注册但工作负载在不支持 AWS Control Tower 的 AWS 区域内运行的情况。对于存在于未部署 AWS Control Tower 的区域中的账户,您可以使用一致性包来管理这些账户中的资源。
# 如果账户不符合先决条件
请记住,作为一个先决条件,有资格纳入 AWS Control Tower 监管的账户必须属于同一个整体组织。要满足账户注册的这一先决条件,您可以按照以下准备步骤将账户转移到与 AWS Control Tower 相同的组织中。
**将账户引入与 AWS Control Tower 相同的组织的准备步骤**
1. 将该账户从其现有组织中删除。如果使用这种方式,则必须提供单独的付款方式。
1. 邀请账户加入 AWS Control Tower 组织。有关更多信息,请参阅*AWS Organizations 用户指南*中的[邀请 AWS 账户加入您的组织](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_invites.html)。
1. 接受邀请。该账户将显示在组织的根目录中。此步骤将账户转移到与 AWS Control Tower 相同的组织中。并建立 SCPs 并整合账单。
**提示**
在账户退出旧组织之前,您可以向新组织发送邀请。当该账户正式退出其现有组织时,将等待邀请。
**满足其余先决条件的步骤:**
1. 创建必要的 `AWSControlTowerExecution` 角色。
1. 清除默认的 VPC。(这部分是可选的。AWS Control Tower 不会更改您现有的默认 VPC。)
1. 通过或删除或修改任何现有的 AWS Config 配置记录器或传送渠道 AWS CloudShell。 AWS CLI 有关更多信息,请参阅 [使用 AWS Config 资源注册账户](enroll-account.md#example-config-cli-commands) 和 [注册拥有现有 AWS Config 资源的账户](existing-config-resources.md)
完成这些准备步骤后,您可以在 AWS Control Tower 中注册账户。有关更多信息,请参阅 [手动注册账户的步骤](quick-account-provisioning.md#enrollment-steps)。此步骤将该账户纳入 AWS Control Tower 的全面监管。
**(可选步骤)取消置备账户,使其可以注册并保留其堆栈**
1. 要保留应用的 CloudFormation 堆栈,请从堆栈集中删除堆栈实例,然后为该实例选择**保留堆栈**。
1. 在 Account Factory 中终止 AWS Service Catalog 账户配置的产品。(此步骤仅从 AWS Control Tower 中移除已预置的产品。这不会删除账户。)
1. 根据任何不属于组织的账户的要求,使用必要的账单详细信息设置账户。然后,从组织中删除账户。(您这样做,这样账户就不会计入您的 AWS Organizations 配额总额。)
1. 如果仍有资源,请清理账户,然后按照 [取消注册账户](unmanage-account.md) 中的账户关闭步骤将其关闭。
1. 如果您有一个带有已定义控件的**暂停** OU,则可以将账户移到其中,而不必执行步骤 1。
# 手动将所需的 IAM 角色添加到现有角色 AWS 账户 并进行注册
如果您已经设置了 AWS Control Tower 登录区,则可以开始将组织的账户注册到已在 AWS Control Tower 注册的 OU 中。如果您尚未设置登录区,请按照《AWS Control Tower 用户指南》**的 [Getting Started, Step 2](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two) 中所述的步骤进行操作。登录区准备就绪后,手动完成以下步骤,将现有账户纳入 AWS Control Tower 的监管范围。
**请务必阅读本章前面提到的 [注册的先决条件](enrollment-prerequisites.md)。**
在 AWS Control Tower 中注册账户之前,您必须向 AWS Control Tower 授予管理该账户的权限。为此,您需要添加一个对账户具有完全访问权限的角色,如以下步骤所示。必须对您注册的每个账户执行这些步骤。
**对于每个账户:**
**步骤 1:以管理员权限登录到组织(当前包含您希望注册的账户)的管理账户。**
例如,如果您从中创建此账户, AWS Organizations 并使用跨账户 IAM 角色登录,则可以按照以下步骤操作:
1. 登录到组织的管理账户。
1. 转到 **AWS Organizations**。
1. 在**账户**下,选择您要注册的账户并复制其账户 ID。
1. 打开顶部导航栏上的账户下拉菜单,然后选择**切换角色**。
1. 在**切换角色**表单上,填写以下字段:
+ 在**账户**中,输入您复制的账户 ID。
+ 在**角色**下,输入允许跨账户访问此账户的 IAM 角色的名称。该角色的名称是在创建账户时定义的。如果您在创建账户时未指定角色名称,请输入默认角色名称 `OrganizationAccountAccessRole`。
1. 选择**切换角色**。
1. 现在,您应该以儿童 AWS 管理控制台 身份登录帐户。
1. 完成后,留在子账户中以便进行接下来的步骤。
1. 记下管理账户 ID,因为需要在下一步中输入该 ID。
**步骤 2:授予 AWS Control Tower 管理账户的权限。**
1. 前往 **IAM**。
1. 转到**角色**。
1. 选择**创建角色**。
1. 当系统要求选择该角色所针对的服务时,选择**自定义信任策略**。
1. 复制此处显示的代码示例,然后将其粘贴到策略文档中。将字符串 *`Management Account ID`* 替换为管理账户的实际管理账户 ID。以下是要粘贴的策略:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. 当要求附加政策时,选择**AdministratorAccess**。
1. 选择**下一步: 标签**。
1. 您可能会看到一个标题为**添加标签**的可选屏幕。选择**下一步: 审核**,暂时跳过此屏幕。
1. 在**审核**页面上,在**角色名称**字段中输入 `AWSControlTowerExecution`。
1. 在**描述**框中输入简短描述,例如*允许注册时具有完全的账户访问权限。*
1. 选择**创建角色**。
**步骤 3:通过将账户转移到已注册的 OU 来注册账户,然后验证注册。**
通过创建角色设置必要权限后,按照以下步骤注册账户并验证注册。
1. **再次以管理员身份登录并前往 AWS Control Tower。**
1.
**注册账户。**
+ 在 AWS Control Tower 的**组织**页面中,选择您的账户,然后从右上角的**操作**下拉菜单中选择**注册**。
+ 按照 [手动注册账户的步骤](quick-account-provisioning.md#enrollment-steps) 页面上所示的步骤注册个人账户。
1.
**验证注册。**
+ 在 AWS Control Tower 中,在左侧导航中选择**组织**。
+ 查找您最近注册的账户。其初始状态将显示为**正在注册**。
+ 当状态更改为**已注册**时,则表示移动成功。
要继续此过程,请登录组织中您想要在 AWS Control Tower 中注册的每个账户。针对每个账户重复执行先决条件步骤和注册步骤。
**添加 `AWSControlTowerExecution` 角色的示例**
以下 YAML 模板可以帮助您在账户中创建所需的角色,以便可以通过编程方式进行注册。
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
account as a target account in AWS CloudFormation StackSets.
Parameters:
AdministratorAccountId:
Type: String
Description: AWS Account Id of the administrator account (the account in which
StackSets will be created).
MaxLength: 12
MinLength: 12
Resources:
ExecutionRole:
Type: AWS::IAM::Role
Properties:
RoleName: AWSControlTowerExecution
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref AdministratorAccountId
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```