Approvisionnez et gérez des comptes dans AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Approvisionnez et gérez des comptes dans AWS Control Tower

Ce chapitre inclut une présentation et les procédures de mise en service et de gestion des comptes des membres dans votre landing zone de la AWS Control Tower.

Il comprend également un aperçu et les procédures d'inscription d'unAWScompte dans AWS Control Tower

Pour plus d'informations sur les comptes dans AWS Control Tower, consultezÀ proposAWScomptes dans AWS Control Tower. Pour plus d'informations sur l'inscription de plusieurs comptes dans AWS Control Tower, consultezEnregistrer une unité organisationnelle existante auprès d'AWS Control Tower.

Méthodes de provisionnement

AWS Control Tower propose quatre méthodes pour créer et mettre à jour les comptes des membres. Deux méthodes sont principalement basées sur la console et deux méthodes sont principalement automatisées.

Présentation

La méthode standard pour créer des comptes membres est d'utiliser Account Factory, un produit basé sur console qui fait partie duAWS Service Catalog. Si votre landing zone n'est pas en état de dérive, vous pouvez utiliserCréer un comptecomme méthode pour ajouter de nouveaux comptes à partir de la console, ainsi que pour inscrire des comptes existantsAWScomptes dans AWS Control Tower

Si vous avez l'intention de configurer ou de gérer de nombreux comptes en tant que groupe, vous pouvez préférer une méthode automatisée : soit pour configurer de nouveaux comptes par programmation à l'aide de rôles IAM et de fonctions Lambda, soit pour utiliser unGitOpsapproche avec AFT.

Méthodes basées sur la console :

Méthodes automatiques :

Que se passe-t-il lorsqu'AWS Control Tower crée un compte

Les nouveaux comptes dans AWS Control Tower sont créés puis approvisionnés par une interaction entre AWS Control Tower,AWS Organizations, etAWS Service Catalog. Pour savoir comment créer un compte via la console AWS Control Tower, consultezInscrire un compte existant.

Dans les coulisses de la création de comptes

  1. Vous lancez la demande, par exemple, depuis la page AWS Control Tower Account Factory, ou directement depuisAWS Service Catalogconsole, ou en appelant leAWS Service Catalog ProvisionProductAPI.

  2. AWS Service Catalogappelle AWS Control Tower

  3. AWS Control Tower lance un flux de travail qui, dans un premier temps, appelleAWS Organizations CreateAccountAPI.

  4. AprèsAWS Organizationscrée le compte, AWS Control Tower complète le processus de provisionnement en appliquant des plans et des garde-fous.

  5. AWS Service Catalogcontinue d'interroger la AWS Control Tower pour vérifier que le processus de provisionnement est terminé.

  6. Lorsque le flux de travail dans AWS Control Tower est terminé,AWS Service Catalogfinalise l'état du compte et vous informe (le demandeur) du résultat.

Autorisations nécessaires

Les autorisations requises pour chaque méthode de provisionnement et de mise à jour sont décrites dans chaque section, respectivement. Avec les autorisations de groupe d'utilisateurs appropriées, les fournisseurs peuvent spécifier des lignes de base et des configurations réseau normalisées pour tous les comptes de leur organisation.

Pour obtenir des informations générales sur les autorisations requises dans AWS Control TowerUtilisation des politiques basées sur l'identité (politiques IAM) pour AWS Control Tower. Pour plus d'informations sur les rôles et les comptes dans AWS Control Tower, consultezComment AWS Control Tower fonctionne avec les rôles pour créer et gérer des comptes.

Sécurité de vos comptes

Vous trouverez des conseils sur les meilleures pratiques pour protéger la sécurité de votre compte de gestion AWS Control Tower et des comptes de membres dans leAWS Organizations.