问题标签 [aws-landing-zone]

core创建 AWS 登陆区后如何访问 AWS 登陆区账户？

这是我到目前为止所做的：

1. 根据AWS Landing Zone 启动模板部署AWS Landing Zone
2. 让 CodePipeline 执行aws-landing-zone-configuration.zip文件
3. 当我在控制台中查看 AWS 组织时，我可以看到 、shared service和security帐户log archive已创建并添加到核心 OU

当然，由于我创建了帐户，我知道 root 电子邮件地址，并且可以使用它来重置 root 密码，但这不是重点。

我有多账户 AWS 环境（使用 AWS 登陆区设置），我需要将特定的安全组复制到所有账户。我确实写了一份 CFT，但要一个一个地完成这项任务太重复了。

安全组位于中央（共享服务）帐户中，该帐户可以访问所有其他帐户。最好有办法将其集成到帐户自动售货机 (AVM) 中，以避免将来将 SG 导出到新生成的帐户的任务。

我已经使用 AWS 提供的初始模板完成了着陆区解决方案设置。

现在，我有一个现有帐户，我想将该帐户放入我的登陆区。

我尝试使用 AWS Landing Zone 设置我的 AWS 组织。这就是我所做的：-

• 根据 AWS Landing Zone 启动模板部署 AWS Landing Zone
• 执行启动模板创建的 CodePipeline
• 核心帐户由 CodePipeline 创建，但在创建 CoreResources 时构建失败

现在，我想在 Manifest.yaml 文件中进行一些更改后再次执行代码管道。

有人可以帮助我了解如何删除创建的组织，即“核心”和“应用程序”以及核心帐户吗？

据我所知，从组织中删除 AWS 账户并不是那么简单，并且您在删除登陆区创建的账户之前提供了付款、计划详细信息。此外，即使提供了所有必需的详细信息，AWS 也不允许您立即删除该帐户。

有什么方法可以立即删除 AWS Landing Zone 创建的组织和核心账户？

我在将帐户注册到控制塔时遇到错误，尽管我的同事能够以相同的权限注册新帐户。

错误详细信息：- 发生未知错误。请稍后再试，或联系 AWS Support。找不到资源的启动路径：prod-xxxxxxxxxxxx

AWS Control Tower 无法创建您的账户，因为您的着陆区可能存在偏差。检查您的登陆区域并尝试使用高级帐户配置方法来创建您的帐户。

注意：我们的着陆区没有漂移

我尝试了所有可能的解决方案，但仍然存在相同的错误。有没有人面临同样的问题？

目标：使用除AWS SSO 之外的所有 AWS Control Tower 功能，因为与我合作的组织目前不想更改身份管理和单点登录的任何方面。

目前，该组织在其数据中心中使用 ADFS 进行 SSO 和 MFA，并具有一些自动化和流程来使用该身份解决方案设置新的 AWS 账户。

我不在乎这种与 ADFS 的集成是否会在创建新帐户时触发自动运行，因为该组织还没有达到那种级别的身份自动化，并且目标不是改变它。

如果您需要更自定义的方法，AWS Control Tower 常见问题解答建议使用 Landing Zones 解决方案而不是Control Tower：

虽然 Control Tower 使用预配置的蓝图（例如，用于目录和访问的 AWS SSO）自动创建新的登陆区，但 AWS Landing Zone 解决方案通过自定义插件（例如， 、Active Directory、Okta Directory）以及通过代码部署和配置管道进行的持续修改。

登陆区方法的 CloudFormation 模板和指南在这里：

• CloudFormation 登陆区启动模板： https ://s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-initiation.template
• AWS 登陆区开发人员指南： https ://s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-developer-guide.pdf
• AWS 登陆区实施指南： https ://s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-implementation-guide.pdf
• AWS 登陆区用户指南： https ://s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-user-guide.pdf

但我想要这一切：控制塔的易用性和使用自定义身份方法。此外，该组织使用 Terraform，因此我不想介绍一堆 CloudFormation 模板，而且 AWS Terraform Landing Zone Accelerator (TLZ)尽管已在一年多前宣布，但尚未发布。

AWS Control Tower 的 Account Factory 要求您输入 AWS SSO 电子邮件地址，因此似乎无法绕过 AWS SSO 的某些使用，至少在初始设置或“帐户注册”期间是这样：

另一个方面：由于组织使用 ADFS 进入 AWS，我无法通过切换角色访问由 AWS Control Tower 创建的帐户AWSControlTowerExecution，因为我已通过以下方式登录到 Control Tower（主）帐户联邦。

（AWSControlTowerExecution角色信任关系中的委托人是主帐号。当您通过联合身份验证时，AWS 不会将您的委托人视为您已联合到的帐户的一部分，因此该AWSControlTowerExecution角色不信任我，联合用户，可以这么说。）

在左下角，它显示开发人员帐户，这是我们拥有的产品帐户的补充，即 Sandbox/dev/test/prod/tools

1. 是否建议拥有个人开发者帐户？

2. 使用登陆区域设置时如何设置个人开发者帐户。（截至目前，所有用户都登录到登录区帐户并在 sandbox/dev/test/prod 帐户中担任角色。

我正在尝试使用 AWS Control Tower 设置一个新的登陆区，但即使经过多次尝试，我仍然卡在同一步骤。

AWS Control Tower 无法完全设置您的登录区：AWS Control Tower 无法创建日志组 /aws/lambda/aws-controltower-NotificationForwarder，因为该日志组已存在。要继续，请从 Amazon CloudWatch 中删除日志组，然后重试。

问题是没有具有该名称的日志组。我手动创建具有相同名称的日志组也没有问题，之后也没有删除它。

我不太确定如何继续进行故障排除。设置另一个 CloudWatch 日志组的堆栈工作得很好。

我想将在 aws 组织中创建的 2 个 aws 帐户注册到根帐户 2 中控制塔创建的组织单元中，例如根帐户 1。

这里的主要问题是这两个 root 帐户是完全不同的帐户，并且它们没有以任何方式相互关联。

我有一个带有联网、日志记录、安全性和许多自定义 AWS 账户的 AWS 登陆区设置。所有入口/出口连接都通过网络帐户。

我想设置一个全新的登陆区（AWS 组织）并将所有自定义 AWS 账户移动到该登陆区。如果我将账户移动到新的 AWS 组织，现有的网络连接是否会继续工作（中转网关附件、路由表等）？