Provisionar e gerenciar contas com o Account Factory - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Provisionar e gerenciar contas com o Account Factory

Este capítulo inclui uma visão geral e os procedimentos para provisionar novas contas-membro na landing zone da AWS Control Tower com o Account Factory.

Permissões para configurar e provisionar contas

A fábrica de contas da AWS Control Tower permite que administradores de nuvem eAWS IAM Identity Center (successor to AWS Single Sign-On)os usuários finais do provisionem contas na landing zone do. Por padrão,IAM Identity Centeros usuários do que provisionam contas devem estar naAWSAccountFactorygrupo ou grupo de gerenciamento.

nota

Tenha cuidado ao trabalhar com a conta de gerenciamento, como faria ao usar qualquer conta que tenha permissões generosas em toda a organização.

A conta de gerenciamento da AWS Control Tower tem uma relação de confiança com aAWSControlTowerExecution, que permite a configuração de contas por meio da conta mestra, incluindo alguma configuração automatizada de contas. Para obter mais informações sobre a função AWSControlTowerExecution, consulte Como a AWS Control Tower trabalha com funções para criar e gerenciar contas.

nota

Como registrar umConta da AWSna AWS Control Tower, essa conta deve terAWSControlTowerExecutionfunção habilitada. Para obter mais informações sobre como registrar uma conta existente, consulte Inscrever um existenteAWSconta.

Considerações sobre como gerenciar contas da Account Factory

As contas provisionadas por meio do AWS Control Tower Account Factory do podem ser atualizadas, encerradas ou realocadas. Por exemplo, é possível redefinir as contas existentes para outras cargas de trabalho e outros usuários atualizando os parâmetros de usuário da conta.

Se você especificar um novoIAM Identity CenterQuando você atualiza o produto provisionado associado a uma conta fornecida pela fábrica de contas, a AWS Control Tower cria uma novaIAM Identity Centerconta de usuário. A conta de usuário criada anteriormente não será removida. Se você preferir remover o anteriorIAM Identity Centere-mail de usuárioIAM Identity CenterconsulteDesabilitar um usuário.

Com o Account Factory, também é possível alterar a unidade organizacional (UO) de uma conta ou deixar de gerenciar uma conta seguindo os procedimentos neste capítulo. Para obter mais informações sobre como criar uma conta, consulte Cancelar a gestão de uma conta-membro. Determinadas atualizações exigem que você ou um administrador Fazer login como um usuário raiz na conta, para obter as permissões apropriadas.