Aprovisionar y administrar cuentas con Account Factory - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Aprovisionar y administrar cuentas con Account Factory

Este capítulo incluye información general y los procedimientos para aprovisionar nuevas cuentas de miembro en su landing zone de AWS Control Tower con Account Factory.

Permisos para configurar y aprovisionar cuentas

La Account Factory de AWS Control Tower permite a los administradores de la nube yAWS Single Sign-Onusuarios finales para aprovisionar cuentas en su landing zone. De forma predeterminada,AWS SSOlos usuarios de que han aprovisionado cuentas deben estar en laAWSAccountFactorygrupo o grupo de administración.

nota

Tenga cuidado cuando trabaje desde la cuenta de administración, como lo haría al usar una cuenta con permisos generosos en toda la organización.

La cuenta de administración de AWS Control Tower tiene una relación de confianza con elEjecución de AWS Control Tower, que permite la configuración de la cuenta desde la cuenta de administración, incluida cierta configuración de cuenta automatizada. Para obtener más información acerca del rol AWSControlTowerExecution, consulte Cómo funciona AWS Control Tower con roles para crear y administrar cuentas.

nota

Para inscribir un existenteCuenta de AWSen la AWS Control Tower, esa cuenta debe tenerEjecución de AWS Control Towerfunción habilitada. Para obtener más información acerca de cómo inscribir una cuenta existente, consulte Inscribir una cuenta de AWS existente.

Consideraciones sobre la administración de cuentas de Account Factory

Las cuentas que aprovisione mediante AWS Control Tower Account Factory de se pueden actualizar, cerrar o reasignar. Por ejemplo, puede reasignar cuentas existentes para otras cargas de trabajo y otros usuarios si actualiza los parámetros de usuario de la cuenta.

Si especifica una nueva dirección de correo electrónico de usuario de SSO cuando actualiza el producto aprovisionado asociado a una cuenta que ha proporcionado Account Factory, AWS Control Tower crea una nueva cuenta de usuario de SSO. No se elimina la cuenta de usuario creada anteriormente. Si prefiere eliminar el correo electrónico del usuario de inicio de sesión única anterior deAWS SSO, consulteDeshabilitación de un usuario.

Con Account Factory también puede modificar la unidad organizativa (OU) de una cuenta, o puede dejar de administrar una cuenta, siguiendo los procedimientos de este capítulo. Para obtener más información sobre cómo crear una cuenta, consulte Eliminar la administración de una cuenta miembro. Ciertas actualizaciones requieren que usted o un administrador realicen el Iniciar sesión como usuario raíz en la cuenta, para obtener los permisos apropiados.