本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 向 AWS Control Tower 注册现有组织单元 将多个现有 AWS 账户引入 AWS Control Tower 的一种有效方法是将 AWS Control Tower 的*管理范围扩展*到整个组织单位 (OU)。 要启用 AWS Control Tower 对使用 AWS Organizations其账户创建的现有 OU 及其账户进行管理,请在您的 AWS Control Tower 着陆区*注册*该 OU。您可以注册最多包 OUs 含 1000 个帐户。如果一个 OU 包含的账户超过 1000 个,则无法在 AWS Control Tower 中进行注册。 当您注册一个 OU 时,其成员账户将注册到 AWS Control Tower 登录区中。它们受应用于其 OU 的控件的监管。 从 Landing Zone 版本 4.0 开始,您可以直接启用 OU 上的控件。侦探控制需要 AWS Config 记录,可以通过注册 OU 或在 OU 上启用 AWS Config 录制来激活该记录。注册 OU 将启用`AWSControlTowerBaseline`。启用 AWS Config 录制将启用`ConfigBaseline`。有关更多信息,请参阅 [基准的类型](types-of-baselines.md) 和 [**AWS Control Tower 控件参考指南**](link-to-new-guide.md) **注意** 如果您还没有 AWS Control Tower 着陆区,请先在 AWS Control Tower 创建的新组织中或现有 AWS Organizations 组织中设置一个着陆区。有关如何设置登录区的更多详细信息,请参阅 [开始使用 AWS Control Tower](getting-started-with-control-tower.md)。 **注册 OU 后,我的账户会发生什么?** AWS Control Tower 需要获得权限才能 AWS Organizations 在您之间 AWS CloudFormation 以及代表您之间建立 AWS CloudFormation 可信访问权限,这样才能自动将您的堆栈部署到您组织中的账户。 + `AWSControlTowerExecution` 角色将添加到所有状态为**未注册**的账户。 + 当您注册 OU 时,默认情况下会对您的 OU 及其所有账户启用强制性控件。 **在 OU 注册后部分注册账户** 虽然可以成功注册一个 OU,但某些账户可能仍处于未注册状态。如果是这样,这些账户就不符合注册的某些先决条件。如果在**注册 OU** 过程中账户注册不成功,账户页面上的账户状态会显示**注册失败**。您还可以在 OU 页面的账户字段中看到账户信息,例如 **4 个(共 5 个)**。 例如,如果您看到 **4 个(共 5 个)**,这表示您的 OU 共有 5 个账户,其中 4 个账户注册成功,但有一个账户在**注册 OU** 过程中注册失败。在确保账户满足注册先决条件后,您可以选择**重新注册 OU**,将账户纳入注册。 **IAM 用户注册 OU 的先决条件** 在执行**注册 OU** 操作时,您 AWS Identity and Access Management 的 (IAM) 身份(用户或角色)或 IAM Identity Center 用户身份必须包含在相应的 Account Factory 产品组合中,即使您已经拥有`Admin`权限。否则,注册过程中预置产品的创建将失败。出现失败的原因是 AWS Control Tower 在注册 OU 时依赖于 IAM 用户身份或 IAM Identity Center 用户身份的凭证。 相关产品组合由 AWS Control Tower 创建,名为 **AWS Control Tower Account Factory 产品组合**。依次选择 **Service Catalog > Account Factory > AWS Control Tower Account Factory 产品组合**,导航至该产品组合。然后选择名为**组、角色和用户**的选项卡,查看 IAM 或 IAM Identity Center 身份。有关如何授予访问权限的更多信息,请参阅 [AWS Service Catalog的文档](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html)。