本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 AWS Control Tower 中佈建和管理帳戶
本章包含:
在 AWS Control Tower 中佈建和管理新成員帳戶的概觀和程序。
將現有 AWS 帳戶註冊到 AWS Control Tower 的概觀和程序。
如需 AWS Control Tower 中帳戶的一般資訊,請參閱 關於 AWS Control Tower AWS 帳戶 中的。如需在 AWS Control Tower 中註冊多個帳戶的資訊,請參閱 向 AWS Control Tower 註冊現有的組織單位。
注意
單一帳戶佈建、更新和自訂必須以啟用 AWSControlTowerBaseline 的組織單位 (OU) 為目標。如果 OU 未啟用 AWSControlTowerBaseline,您可以啟用帳戶自動註冊,或在 EnabledBaselines 上使用 ResetEnabledBaseline 和 ResetEnabledControl APIs並在該 OU 上使用 EnabledControls 來註冊帳戶。如需 AWSControlTowerBaseline 的詳細資訊,請參閱:在 OU 層級套用的基準類型。
注意
您可以同時執行最多五 (5) 個與帳戶相關的操作,包括佈建、更新和註冊。
佈建帳戶所需的許可
使用適當的使用者群組許可,佈建器可以為其組織中的任何帳戶指定標準化基準和網路組態。
當您使用 Account Factory 從 AWS Control Tower 主控台建立帳戶時,您必須使用已啟用AWSServiceCatalogEndUserFullAccess政策的 IAM 使用者登入帳戶,以及使用 AWS Control Tower 主控台的許可,而且您無法以根使用者身分登入。
注意
佈建帳戶時,帳戶請求者一律必須擁有 CreateAccount和 DescribeCreateAccountStatus許可。此許可集是 Admin 角色的一部分,當申請者擔任 Admin 角色時會自動提供。如果您委派佈建帳戶的許可,您可能需要直接為帳戶請求者新增這些許可。
如需 AWS Control Tower 中所需許可的一般資訊,請參閱 針對 AWS Control Tower 使用身分型政策 (IAM 政策)。如需 AWS Control Tower 中角色和帳戶的相關資訊,請參閱角色和帳戶。
