Aprovisione y administre cuentas con Account Factory - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Aprovisione y administre cuentas con Account Factory

Este capítulo incluye una descripción general y los procedimientos para aprovisionar cuentas de miembros nuevos en la landing zone de AWS Control Tower con Account Factory.

Permisos para configurar y aprovisionar cuentas

La fábrica de cuentas de AWS Control Tower permite a los administradores de la nubeAWS IAM Identity Center (successor to AWS Single Sign-On)usuarios finales para aprovisionar cuentas en tu landing zone. De forma predeterminada, los usuarios del Centro de identidades de IAM que aprovisionan cuentas deben estar en laAWSAccountFactorygrupo o el grupo de gestión.

nota

Tenga cuidado al trabajar desde la cuenta de administración, como lo haría cuando utilice cualquier cuenta que tenga permisos generosos en toda la organización.

La cuenta de administración de AWS Control Tower tiene una relación de confianza con elAWSControlTowerExecution, que permite configurar la cuenta desde la cuenta de administración, incluida la configuración automática de la cuenta. Para obtener más información acerca de los roles de AWSControlTowerExecution, consulte Cómo funciona AWS Control Tower con los roles para crear y administrar cuentas.

nota

Para inscribir una existenteCuenta de AWSen AWS Control Tower, esa cuenta debe tenerAWSControlTowerExecutionfunción habilitada. Para obtener más información acerca de cómo inscribir una cuenta existente, consulte Inscribir unAWScuenta.

Consideraciones sobre la administración de cuentas de fábrica

Las cuentas que aprovisione a través de la Account Factory de AWS Control Tower se pueden actualizar, cerrar o reutilizar. Por ejemplo, puede reutilizar las cuentas existentes para otras cargas de trabajo y otros usuarios actualizando los parámetros de usuario de la cuenta.

Si especifica una nueva dirección de correo electrónico de usuario de IAM Identity Center al actualizar el producto aprovisionado asociado a una cuenta que se vendió por el fabricante de cuentas, AWS Control Tower crea una nueva cuenta de usuario de IAM Identity Center. No se elimina la cuenta de usuario creada anteriormente. Si prefiere eliminar el correo electrónico del usuario anterior del Centro de identidades de IAM del Centro de identidades de IAM, consulteDeshabilitar un usuario.

Con Account Factory también puede cambiar la unidad organizativa (OU) de una cuenta, o puede anular la administración de una cuenta, siguiendo los procedimientos de este capítulo. Para obtener más información sobre cómo crear una cuenta, consulte Anular la administración de una cuenta. Ciertas actualizaciones requieren que usted o un administrador realicen el Cuándo iniciar sesión como usuario root en la cuenta, para obtener los permisos apropiados.