本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 AWS 成员账户从迁移 AWS Organizations 到 AWS Control Tower
<a name="migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower"></a>

小@@ *鲁道夫 Cerrada，Amazon* Web Services

## Summary
<a name="migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower-summary"></a>

此模式描述了如何将 AWS 账户 从 AWS Organizations一个由管理账户管理的成员账户迁移到 AWS Control Tower。通过注册账户 AWS Control Tower，您可以利用预防和侦查控制以及简化账户管理的功能。如果您的 AWS Organizations 管理账户遭到盗用，并且您想将成员账户转移到受其管理的新组织，则可能还需要迁移您的成员账户 AWS Control TowerAWS Control Tower。 

AWS Control Tower 提供了一个框架，该框架结合并集成了其他几种功能 AWS 服务 AWS Organizations，包括并确保在您的多账户环境中实现一致的合规性和治理。使用 AWS Control Tower，您可以遵循一组扩展功能的规定规则和定义 AWS Organizations。例如，您可以使用控件来确保创建安全日志和必要的跨账户访问权限，且不会对其进行更改。

## 先决条件和限制
<a name="migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower-prereqs"></a>

**先决条件**
+ 活跃的 AWS 账户
+ AWS Control Tower 在目标组织中设置 AWS Organizations （有关说明，请参阅 AWS Control Tower 文档中的[设置](https://docs.aws.amazon.com/controltower/latest/userguide/setting-up.html)）
+  AWS Control Tower （**AWSControlTowerAdmins**群组成员）的管理员凭证
+ 源的管理员凭据 AWS 账户

**限制**
+ 中的源管理帐户 AWS Organizations 必须与中的目标管理帐户不同 AWS Control Tower。

**产品版本**
+ AWS Control Tower 版本 2.3（2020 年 2 月）或更高版本（参见[发行说明](https://docs.aws.amazon.com/controltower/latest/userguide/release-notes.html)）

## 架构
<a name="migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower-architecture"></a>

下图阐明了迁移过程和参考架构。这种模式会将 AWS 账户 从源组织迁移到受 AWS Control Tower其管理的目标组织。 

![\[AWS Control Tower 注册流程，适用于已迁移到另一个组织并移至已注册 OU 的 AWS 账户。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/images/pattern-img/1fc2c2f0-fa5d-4068-a2b2-9e57cea2aff5/images/0654d242-0faa-4810-9e53-40ef89305b5b.png)


注册过程包含以下步骤：

1. 目标组织向该账户发送加入此组织的邀请。 

1. 该账户接受邀请并成为目标组织的成员。

1. 该帐户已注册 AWS Control Tower 并移至已注册的组织单位 (OU)。（我们建议您查看 AWS Control Tower 控制面板以确认注册。） 此时，在注册的 OU 中启用的所有控件都将生效。

## 工具
<a name="migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower-tools"></a>

**AWS 服务**
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)是一项账户管理服务，使您可以 AWS 账户 将多个账户整合到一个由您创建和集中管理的单一实体（*组织*）中。
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)集成了其他服务的功能，包括 AWS Organizations AWS IAM Identity Center AWS Service Catalog、和，以帮助您在中的所有组织和账户中大规模实施和管理安全、运营和合规性监管规则 AWS 云。

## 操作说明
<a name="migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower-epics"></a>

### 邀请账户加入新组织 AWS Control Tower
<a name="invite-the-account-to-join-the-new-organization-with-ctower"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 登录到 AWS Control Tower。 | 以管理员身份登录 AWS Control Tower 控制台。 当前，没有直接的方法可以将组织 AWS 账户 从来源组织转移到受其管理的 OU 中的组织 AWS Control Tower。但是，当您将现有组织注册到已经受其 AWS Control Tower 管理的 OU AWS 账户 时，您可以将其管理范围扩展到现有的 OU AWS Control Tower。这就是为什么你必须登录才能执行 AWS Control Tower 此步骤。 | AWS Control Tower 管理员 | 
| 邀请成员账户。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html)确认账户转账不会影响任何应用程序或网络连接。此操作中会发送一封邀请电子邮件，其中包含成员账户链接。当账户管理员点击链接并接受邀请时，该成员账户就会出现在**AWS 账户**页面中。有关更多信息，请参阅 AWS Organizations 文档中的[管理账户邀请](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。 | AWS Control Tower 管理员 | 
| 测试应用程序和连接。 | 当成员账户在新组织中注册后，它会出现在根目录下的 OU 。它还会出现在[AWS Control Tower 控制台](https://console.aws.amazon.com/controltower)中，被标记为未注册账户，因为它尚未在注册的 OU 中 AWS Control Tower 注册。请验证以下内容：[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html) | AWS Control Tower 管理员、成员账户管理员、应用程序所有者 | 

### 为注册做好账户准备
<a name="prepare-the-account-for-enrollment"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 查看控制措施并修复任何违规行为。 | 查看目标 OU 中定义的控制措施，尤其是预防性控制措施，并修复所有违规行为。 设置 landing zone 时[，会默认启用许多强制性的预防性控制措施](https://docs.aws.amazon.com/controltower/latest/controlreference/preventive-controls.html)。 AWS Control Tower 不得禁用。在注册账户之前，您必须查看这些强制性控制并修复成员帐户（手动或使用脚本）。预防性控制可确保 AWS Control Tower 注册账户合规并防止违反政策。任何违反预防控制措施的行为都可能影响入学。成功注册后，如果检测到 Detective 控制违规，则会在控制 AWS Control Tower 面板中显示。不影响注册流程。有关更多信息，请参阅 AWS Control Tower 文档中的[关于控件](https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html)。 | AWS Control Tower 管理员、成员账户管理员 | 
| 修复控制违规问题后，请检查是否存在连接问题。 | 在某些情况下，您可能需要关闭特定端口或禁用服务才能修复控制违规。注册账户之前，请确保对使用这些端口和服务的应用程序进行修复。 | 应用程序所有者 | 

### 将账户注册到 AWS Control Tower
<a name="enroll-the-account-into-ctowerlong"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 登录到 AWS Control Tower。 | 登录 [AWS Control Tower 控制台](https://console.aws.amazon.com/controltower)。使用具有管理权限的登录凭证。 AWS Control Tower请勿使用 root 用户（管理账户）凭据注册 AWS Organizations 账户。将显示错误消息。 | AWS Control Tower 管理员 | 
| 注册账户。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/patterns/migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower.html)有关更多信息，请参阅 AWS Control Tower 文档中的[关于注册现有账户](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html)。 | AWS Control Tower 管理员 | 

### 注册后验证账户
<a name="verify-the-account-after-enrollment"></a>


| Task | 说明 | 所需技能 | 
| --- | --- | --- | 
| 验证账户。 | 从 AWS Control Tower中选择**帐户**。您刚刚注册的账户的初始状态为**正在注册**。注册完成后，其状态会变为**已注册**。 | AWS Control Tower 管理员、成员账户管理员 | 
| 检查是否存在控制违规行为。 | OU 中定义的控制将自动应用于已注册的成员账户。监控 AWS Control Tower 仪表板是否存在违规行为，并进行相应的修复。有关更多信息，请参阅 AWS Control Tower 文档中的[关于控件](https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html)。 | AWS Control Tower 管理员、成员账户管理员 | 

## 问题排查
<a name="migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower-troubleshooting"></a>


| 问题 | 解决方案 | 
| --- | --- | 
| 您会收到错误消息：**发生未知错误。请稍后重试，或联系 Supp AWS ort。** | 当您在中使用根用户证书（管理账户）注册新账户时 AWS Control Tower ，就会发生此错误。 AWS Service Catalog 无法将 Account Factory 产品组合或产品映射到根用户，这会导致错误消息。若要纠正此错误，请使用非 root、具有完全访问权限的用户（管理员）凭证注册新账户。有关如何为管理用户分配管理访问权限的更多信息，请参阅 IAM Identity Center 文档中的[入门](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。 | 
| “ AWS Control Tower **活动**” 页面显示 “**获取灾难性漂移**” 操作。 | 此操作反映了对服务的偏差检查，并不表示 AWS Control Tower 设置存在任何问题。无需采取行动。 | 

## 相关资源
<a name="migrate-an-aws-member-account-from-aws-organizations-to-aws-control-tower-resources"></a>

**文档**
+ [术语和概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)（AWS Organizations 文档）
+ [什么是 AWS Control Tower？](https://docs.aws.amazon.com/controltower/latest/userguide/) （AWS Control Tower 文档）
+ [从组织中移除成员账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html#leave-without-all-info)（AWS Organizations 文档）
+ [设置](https://docs.aws.amazon.com/controltower/latest/userguide/setting-up.html#setting-up-iam)（AWS Control Tower 文档）

**教程和视频**
+ [AWS Control Tower 研讨会](https://catalog.workshops.aws/control-tower/)（自定进度的研讨会）
+ [什么是 AWS Control Tower？](https://www.youtube.com/watch?v=daLvEb44d5Q) （视频）
+ [在 AWS Control Tower（视频）中配置用户](https://www.youtube.com/watch?v=y_n9xN5mg1g)