本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 手動將必要的 IAM 角色新增至現有 AWS 帳戶 並註冊 如果您已設定 AWS Control Tower 登陸區域,您可以開始將組織的帳戶註冊到向 AWS Control Tower 註冊的 OU。如果您尚未設定登陸區域,請遵循《 入門》中的 *AWS Control Tower 使用者指南*,步驟 2 中所述的步驟。 [https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two)登陸區域準備就緒後,請完成下列步驟,以手動方式將現有帳戶納入 AWS Control Tower 的控管。 **請務必檢閱本章先前[註冊的先決條件](enrollment-prerequisites.md)記下的 。** 向 AWS Control Tower 註冊帳戶之前,您必須授予 AWS Control Tower 管理該帳戶的許可。若要這樣做,您將新增具有帳戶完整存取權的角色,如以下步驟所示。您必須為您註冊的每個帳戶執行這些步驟。 **對於每個帳戶:** **步驟 1:使用管理員存取權登入目前包含您要註冊之帳戶的組織的管理帳戶。** 例如,如果您從 建立此帳戶, AWS Organizations 並使用跨帳戶 IAM 角色登入,則可以遵循下列步驟: 1. 登入組織的管理帳戶。 1. 前往 **AWS Organizations**。 1. 在**帳戶**下,選取您要註冊的帳戶,並複製其帳戶 ID。 1. 開啟頂端導覽列上的帳戶下拉式選單,然後選擇**切換角色**。 1. 在**切換角色**表單上,填寫下列欄位: + 在**帳戶**下,輸入您複製的帳戶 ID。 + 在**角色**下,輸入允許跨帳戶存取此帳戶的 IAM 角色名稱。此角色的名稱是在建立帳戶時定義的。如果您在建立帳戶時未指定角色名稱,請輸入預設角色名稱 `OrganizationAccountAccessRole`。 1. 選擇 **Switch Role** (切換角色)。 1. 您現在應該以子帳戶 AWS 管理主控台 身分登入 。 1. 完成後,請保留在子帳戶中以進行程序的下一個部分。 1. 請記下管理帳戶 ID,因為您需要在下一個步驟中輸入它。 **步驟 2:授予 AWS Control Tower 管理帳戶的許可。** 1. 前往 **IAM**。 1. 前往 **角色**。 1. 選擇建**立角色**。 1. 當系統要求選取角色適用的服務時,請選擇**自訂信任政策**。 1. 複製此處顯示的程式碼範例,並貼到政策文件中。將字串取代{{`Management Account ID`}}為您管理帳戶的實際管理帳戶 ID。以下是要貼上的政策: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::{{111122223333}}:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] } ``` ------ 1. 當系統要求連接政策時,請選擇 **AdministratorAccess**。 1. 選擇 **Next: Add Tags (下一步:新增標籤)**。 1. 您可能會看到名為**新增標籤**的選用畫面。選擇**下一步:檢閱**,立即略過此畫面 1. 在**檢閱**畫面上**的角色名稱**欄位中,輸入 `AWSControlTowerExecution`。 1. 在描述方塊中輸入簡短**描述**,例如*允許註冊的完整帳戶存取權。* 1. 選擇建**立角色**。 **步驟 3:將帳戶移至已註冊的 OU 來註冊帳戶,並驗證註冊。** 建立角色以設定必要的許可之後,請依照下列步驟註冊帳戶並驗證註冊。 1. **以管理員身分再次登入,然後前往 AWS Control Tower。** 1. **註冊 帳戶。** + 在 AWS Control Tower 的組織****頁面中,選取您的帳戶,然後從右上角**的動作**下拉式選單中選擇**註冊**。 + 請遵循註冊個別帳戶的步驟,如 [手動註冊帳戶的步驟](quick-account-provisioning.md#enrollment-steps) 頁面所示。 1. **驗證註冊。** + 從 AWS Control Tower,選擇左側導覽中的**組織**。 + 尋找您最近註冊的帳戶。其初始狀態會顯示**註冊**狀態。 + 當狀態變更為**已註冊**時,移動成功。 若要繼續此程序,請登入組織中您要在 AWS Control Tower 註冊的每個帳戶。為每個帳戶重複先決條件步驟和註冊步驟。