本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 注册现有 OU 在 AWS Control Tower 控制台的**组织**页面上,您可以查看层次结构中的所有 OUs 组织和账户,包括 OUs 在 AWS Control Tower 注册的和未注册的账户。 通常,未注册 OUs 是在中创建的 AWS Organizations,并且不受任何其他着陆区的管辖。您可以注册最多包 OUs 含 1000 个账户的现有账户。如果一个 OU 包含的账户超过 1000 个,则无法在 AWS Control Tower 中进行注册。 **从控制台注册现有 OU** 1. 登录 [https://console.aws.amazon.com/controltower 上的 AWS Control Tower 控制](https://console.aws.amazon.com/controltower)台。 1. 在左侧窗格导航菜单中,选择**组织**。 1. 在**组织**页面上,选择要注册的 OU 旁边的单选按钮,然后从右上角的**操作**下拉菜单中选择**注册组织单元**,或者选择 OU 的名称,以便查看该 OU 的 **OU 详细信息**页面。 1. 在 **OU 详细信息**页面的右上角,您可以从**操作**下拉菜单中选择**注册 OU**。 注册过程至少需要 10 分钟才能将监管范围扩展到 OU,每增加一个账户最多需要 2 分钟。 **向注册现有 OU APIs** 要向 AWS Control Tower 注册现有 OU APIs,您可以在`baselineIdentifier`字段`AWSControlTowerBaseline`中调用 `EnableBaseline` API。有关更多信息,请参阅[ APIs 仅使用注册 AWS Control Tower 组织单位](https://docs.aws.amazon.com//controltower/latest/userguide/walkthrough-baseline-steps.html)。 **注册现有 OU 的结果** 注册现有 OU 后,`AWSControlTowerExecution` 角色允许 AWS Control Tower 将监管范围扩展到个人账户。强制执行防护机制,并将有关账户活动的信息报告给您的审计和日志记录账户。 其他结果还包括: + `AWSControlTowerExecution` 允许 AWS Control Tower 审计账户进行审计。 + `AWSControlTowerExecution` 可帮助您配置组织的日志记录,以便每个账户的所有日志都发送到日志记录账户。 + `AWSControlTowerExecution`确保您选择的 AWS Control Tower 控制措施自动应用于您 OUs中的每个个人账户以及您在 AWS Control Tower 中创建的每个新账户。 对于已注册的 OU,您可以根据 AWS Control Tower 控件所包含的审计和日志记录功能提供合规性和安全性报告。您的安全性和合规性团队可以验证是否满足所有要求,并且没有发生组织偏移。有关偏移的更多信息,请参阅 [在 AWS Control Tower 中检测并解决偏移问题](drift.md)。 **注意** 当 AWS Control Tower 显示 OUs 及其账户时,可能会出现一种异常情况。如果您在一个已注册的 OU 中创建了一个账户,随后又将该注册账户移动到另一个未注册的 OU 中,特别是如果您使用 AWS Organizations 来移动该账户,就会在 OU 详细信息页面中看到“1 个(共 0 个)”账户的结果。此外,您可能已在该未注册的 OU 中创建了另一个未注册的账户。如果有未注册的账户,控制台可能会显示该 OU 为“1 个(共 1 个)”。看起来,单个(新创建的)账户已注册,但实际上并非如此。您必须注册新账户。