Provisione e gerencie contas com o Account Factory - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Provisione e gerencie contas com o Account Factory

Este capítulo inclui uma visão geral e os procedimentos para provisionar novas contas na landing zone da AWS Control Tower. A AWS Control Tower fornece três métodos para criar contas de membro:

  • por meio do console Account Factory que faz parte doAWS Service Catalog.

  • por meio doInscrever contana AWS Control Tower.

  • da sua conta de gerenciamento da zona de destino da AWS Control Tower, usando o código Lambda e as funções apropriadas do IAM.

A maneira padrão de provisionar contas é por meio do Account Factory, um produto baseado no console do que faz parte doAWS Service Catalog. Se a sua zona de destino não estiver em um estado de oscilação, você poderá usar Enroll account (Registrar conta). Além disso, alguns clientes podem preferir configurar novas contas de forma programática usando funções do IAM e funções do Lambda.

Com as permissões do grupo de usuários apropriado, os provisionadores podem especificar linhas de base padronizadas e configurações de rede para todas as contas na sua organização.

Permissões para configurar e provisionar contas

A fábrica de contas da AWS Control Tower permite que administradores de nuvem eAWS Single Sign-OnPara provisionar contas na zona de destino do. Por padrão, oAWS SSOOs usuários do que provisionam contas devem estar naAWSAccountFactoryou o grupo de gerenciamento.

nota

Tenha cuidado ao trabalhar com a conta de gerenciamento, como faria ao usar qualquer conta que tenha permissões generosas em toda a organização.

A conta de gerenciamento da AWS Control Tower tem uma relação de confiança com aAWSControlTowerExecution, que permite a configuração da conta na conta de gerenciamento, incluindo algumas configurações de conta automatizadas. Para obter mais informações sobre a função AWSControlTowerExecution, consulte Como a AWS Control Tower funciona com funções para criar e gerenciar contas .

Para registrar uma conta da AWS existente na AWS Control Tower, essa conta deve ter aAWSControlTowerExecutionfunção habilitada. Para obter mais informações sobre como registrar uma conta existente, consulte Cadastrar uma conta da AWS existente.

Criar ou registrar uma conta individual

OInscrever contaO recurso está disponível na AWS Control Tower para provisionar novas contas em sua landing zone e para registrar contas existentes da AWS para que elas sejam controladas pela AWS Control Tower.

O recurso Enroll account (Registrar conta) estará disponível quando sua zona de destino não estiver em um estado de oscilação. Para visualizar esse recurso:

  • Navegue até o .Account Factoryna AWS Control Tower.

  • Selecione o item Enroll account (Registrar conta) próximo à parte superior da página.

  • Você verá uma seção Create account (Criar conta) onde poderá preencher os campos obrigatórios: e-mail da conta, nome da conta, nome do usuário SSO e unidade organizacional.

  • Ao preencher as informações, selecione Enroll account (Registrar conta).

Você verá uma barra de flash confirmando que o processo de registro de sua conta foi enviado com êxito. Se ocorreu um erro, a AWS Control Tower pode solicitar que você faça correções. O processo de provisionamento de conta pode demorar alguns minutos.

nota

Se você estiver registrando uma conta da AWS existente, verifique se está digitando o endereço de e-mail existente da forma correta. Caso contrário, uma nova conta será criada.

Determinados erros podem exigir que você atualize a página e tente novamente. Se sua zona de destino estiver em estado de oscilação, talvez não seja possível usar o recurso Enroll account (Registrar conta) com êxito. Será necessário provisionar novas contas por meio do AWS Service Catalog até que a oscilação da zona de destino seja resolvida.

Ao registrar contas, é necessário estar conectado a uma conta com um usuário do IAM que tenha a política AWSServiceCatalogEndUserFullAccess habilitado, e você não pode estar conectado como Root (Raiz).

As contas registradas devem ser atualizadas por meio do AWS Service Catalog e da fábrica de contas da AWS Control Tower, como você atualizaria qualquer outra conta. Os procedimentos de atualização são fornecidos na seção Atualizar e migrar Account Factory de contas com o AWS Service Catalog.

Provisionamento de Account Factory do com o AWS Service Catalog

O procedimento a seguir descreve como provisionar contas como usuário final do AWS SSO por meio do AWS Service Catalog. Esse procedimento também é chamado de provisionamento avançado de conta. Recomendamos usar oInscrever contaSempre que possível.

Para provisionar contas na Account Factory como um usuário final

  1. Faça login no URL do portal do usuário.

  2. Em Your applications (Seus aplicativos), escolha AWS Account (Conta da AWS).

  3. Na lista de contas, escolha o ID da conta para sua conta de gerenciamento. Esse ID também pode ter um rótulo, por exemplo,(Gestão).

  4. No AWSServiceCatalogEndUserAccess, escolha Management console (Console de gerenciamento). Isso abre o AWS Management Console para este usuário nessa conta.

  5. Verifique se você selecionou a região da AWS correta para provisionar contas, que deve ser a região de origem da AWS Control Tower.

  6. Procure e escolha Service Catalog para abrir o console do AWS Service Catalog.

  7. No painel de navegação, escolha Products list (Lista de produtos).

  8. Selecione AWS Control Tower Account Factory (Fábrica de contas do AWS Control Tower) e escolha o botão Launch (Iniciar). Essa ação inicia o assistente para provisionar uma nova conta.

  9. Preencha as informações e lembre-se do seguinte:

    • O SSOUserEmail pode ser um novo endereço de e-mail ou o endereço de e-mail associado a um usuário existente do AWS SSO. Qualquer que seja sua escolha, esse usuário terá acesso administrativo à conta que você estiver provisionando.

    • O AccountEmail deve ser um endereço de e-mail ainda não associado a uma conta da AWS. Se você usou um novo endereço de e-mail em SSOUserEmail, poderá usá-lo novamente aqui.

  10. Depois de terminar, selecione Next (Avançar) até chegar na página Review (Revisão) do assistente. Não defina as TagOptions e não habilite as Notifications (Notificações), ou sua conta pode não ser provisionada.

  11. Revise as configurações da sua conta e escolha Launch (Iniciar). Não crie um plano de recursos, ou sua conta pode não ser provisionada.

  12. Sua conta agora será provisionada. Isso poderá levar alguns minutos para ser concluído. Você pode atualizar a página para atualizar as informações de status exibidas.

    nota

    Somente uma conta pode ser provisionada por vez.

Dicas sobre como gerenciar Account Factory de contas

As contas provisionadas por meio do AWS Control Tower Account Factory podem ser atualizadas, encerradas ou realocadas. Por exemplo, é possível realocar contas existentes para outras cargas de trabalho e outros usuários atualizando os endereços de e-mail e os parâmetros de usuário da conta.

Se você especificar um novo endereço de e-mail de usuário do SSO ao atualizar o produto provisionado associado a uma conta fornecida pela fábrica de contas, o AWS Control Tower criará uma conta de usuário do SSO. A conta de usuário criada anteriormente não será removida. Se você preferir remover o e-mail de usuário anterior do AWS SSO, consulte Desabilitar um usuário.

Com o Account Factory, você também pode alterar a unidade organizacional (UO) de uma conta ou cancelar o gerenciamento de uma conta seguindo os procedimentos neste capítulo. Para obter mais informações sobre como criar uma conta, consulte Cancelar o gerenciamento de uma conta-membro. Determinadas atualizações exigem que você ou um administrador Fazer login como um usuário raiz na conta, para obter as permissões apropriadas.

Atualizar e migrar Account Factory de contas com o AWS Service Catalog

O procedimento a seguir mostra como atualizar a conta da do Account Factory ou transferi-la para uma nova UO, por meio do AWS Service Catalog, atualizando o produto provisionado.

Para atualizar uma conta da Account Factory ou alterar a UO

  1. Faça login no Console de Gerenciamento da AWS e abra o console do AWS Service Catalog emhttps://console.aws.amazon.com/servicecatalog/

    nota

    Você deve estar conectado como um usuário com permissões para provisionar novos produtos no AWS Service Catalog; por exemplo, um usuário do AWS SSO na AWSAccountFactory ou nos grupos AWSServiceCatalogAdmins.

  2. No painel de navegação, escolha Provisioned products list (Lista de produtos provisionados).

  3. Para cada conta listada, realize as seguintes etapas para atualizar todas as contas-membro:

    1. No menu suspenso da conta, escolha Provisioned product details (Detalhes do produto provisionado).

    2. Anote os seguintes parâmetros:

      • SSOUserEmail (disponível nos detalhes do produto provisionado)

      • AccountEmail (disponível nos detalhes do produto provisionado)

      • SSOUserFirstName (disponível no SSO)

      • SSOUSerLastName (disponível no SSO)

      • AccountName (disponível no SSO)

    3. Em Actions (Ações), escolha Update (Atualizar).

    4. Escolha o botão ao lado da Version (Versão) do produto que você deseja atualizar e escolha Next (Próximo).

    5. Forneça os valores dos parâmetro que foram mencionados anteriormente.

      • Se quiser manter a UO existente, em ManagedOrganizationalUnit, escolha a UO em que a conta já estava.

      • Se preferir migrar a conta para uma nova UO, em ManagedOrganizationalUnit, escolha a nova UO para a conta.

      Um administrador de nuvem central pode encontrar essas informações no Console da AWS Control Tower, emContas.

    6. Escolha Next (Próximo).

    7. Reveja as alterações e escolha Update (Atualizar). Esse processo pode demorar alguns minutos por conta.

Configurando o Account Factory com as Amazon Virtual Private Cloud

Account Factory (Fábrica de contas) permite que você crie linhas de base pré-aprovadas e opções de configuração para contas na organização do. Você pode configurar e provisionar novas contas por meio do AWS Service Catalog.

Na página Account Factory (Fábrica de contas), você pode ver uma lista de unidades organizacionais (UOs) e suasLista de permissõesStatus. Por padrão, todas as UOs estão na lista de permissão, o que significa que contas podem ser provisionadas nelas. Você pode desativar determinadas UOs para o provisionamento de contas por meio do AWS Service Catalog.

Você pode visualizar as opções de configuração da Amazon VPC disponíveis para os usuários finais quando eles provisionam novas contas.

Para configurar as configurações da Amazon VPC no Account Factory

  1. Como administrador de nuvem central, faça login no console da AWS Control Tower com permissões de administrador na conta de gerenciamento.

  2. No lado esquerdo do painel, selecioneAccount Factorypara navegar até a página de configuração de rede do Account Factory. Lá é possível ver as configurações de rede padrão exibidas. Para editar, selecioneEditee visualize a versão editável das configurações de rede Account Factory (Fábrica de contas)

  3. Você pode modificar cada campo das configurações padrão conforme necessário. Escolha as opções de configuração da VPC que deseja estabelecer para todas as novas Account Factory de contas da que os usuários finais possam criar e insira as configurações nos campos.

  • Selecionedesabilitadoouenabledpara criar uma sub-rede pública no Amazon VPC. Por padrão, a sub-rede com acesso à Internet não é permitida.

    nota

    Se você definir a configuração da VPC da fábrica de contas para que as sub-redes públicas sejam habilitadas ao provisionar uma nova conta, a fábrica de contas configurará a Amazon VPC para criar um gateway NAT. Você será cobrado pelo uso da Amazon VPC. Consulte Definição de preço da VPC para obter mais informações.

  • Escolha o número máximo de sub-redes privadas no Amazon VPC na lista. Por padrão, 1 está selecionado. O número máximo de sub-redes privadas permitidas é 2.

  • Insira o intervalo de endereços IP para criar as VPCs de sua conta. O valor deve estar no formato de bloco de roteamento entre domínios sem classe (CIDR) (por exemplo, o padrão é 172.31.0.0/16). Esse bloco CIDR fornece o intervalo geral de endereços IP de sub-rede para a VPC que o Account Factory cria para sua conta. Dentro da VPC, as sub-redes são atribuídas automaticamente do intervalo especificado, e são iguais em tamanho. Por padrão, as sub-redes dentro da VPC não se sobrepõem. No entanto, os intervalos de endereços IP da sub-rede nas VPCs de todas as suas contas provisionadas podem se sobrepor.

  • Escolha uma ou todas as regiões para a criação de uma VPC quando uma conta for provisionada. Por padrão, todas as regiões disponíveis estão selecionadas.

  • Na lista, escolha o número de zonas de disponibilidade para as quais configurar sub-redes em cada VPC. O número padrão e recomendado é 3.

  • Escolha Save (Salvar).

Você pode definir essas opções de configuração para criar contas que não incluam uma VPC. Veja a demonstração.

Cancelar o gerenciamento de uma conta-membro

Se você criou uma conta no Account Factory e não quer mais que ela seja gerenciada pela AWS Control Tower em uma landing zone, poderá cancelar o gerenciamento da conta. Isso pode ser feito naAWS Service Catalogpor umAWS SSOusuário noAWSAccountFactorygrupo. Para obter mais informações sobre usuários ou grupos do AWS SSO, consulte Gerenciamento de usuários e acesso por meio do AWS Single Sign-On. O procedimento a seguir descreve como cancelar o gerenciamento de uma conta-membro.

Como cancelar o gerenciamento de uma conta-membro

  1. Abra o console do AWS Service Catalog em seu navegador da web em https://console.aws.amazon.com/servicecatalog.

  2. No painel de navegação esquerdo, escolha Provisioned products list (Lista de produtos provisionados).

  3. Na lista de contas provisionadas, escolha o nome da conta que você deseja que o AWS Control Tower não gerencie mais.

  4. Na página Provisioned product details (Detalhes do produto provisionado), no menu Actions (Ações), escolha Terminate (Encerrar).

  5. Na caixa de diálogo exibida, escolha Terminate (Encerrar).

    Importante

    A palavra terminate (encerrar) é específica do AWS Service Catalog. Quando você encerra uma conta de fábrica de contas noAWS Service CatalogA conta não é fechada. Essa ação remove a conta da UO e de sua landing zone.

  6. A mensagem Deregistering Managed Account (Cancelar o registro da conta gerenciada) será exibida.

  7. Para atualizar o status da conta exibido, atualize a página. Quando o cancelamento do gerenciamento da conta é feito, o status muda para terminated (encerrada).

  8. Se a conta encerrada não for mais necessária, feche-a. Para obter mais informações sobre como fechar contas da AWS, consulteComo fechar uma contanoAWS Billing and Cost ManagementGuia do usuário do

nota

Uma conta não gerenciada (encerrada) não é fechada nem excluída. Quando a conta não é gerenciada, oAWS SSOO usuário selecionado quando você criou a conta no Account Factory ainda tem acesso administrativo à conta. Se não quiser que esse usuário tenha acesso administrativo, você deverá alterar essa configuração noAWS SSOatualizando a conta no Account Factory e alterando oAWS SSOO endereço de e-mail do usuário da conta. Para obter mais informações, consulte Atualizar e migrar Account Factory de contas com o AWS Service Catalog.

Você pode visualizar uma AWSVídeo do YouTubeque explica como remover e fechar uma conta na AWS Control Tower.

Fechar uma conta criada na Account Factory

As contas criadas na Account Factory são contas da AWS. Para obter mais informações sobre como fechar contas da AWS, consulteComo fechar uma contanoAWS Billing and Cost ManagementGuia do usuário do.

nota

Fechar uma conta da AWS não é o mesmo que desgerenciar uma conta do AWS Control Tower — essas são ações separadas. Você deve cancelar o gerenciamento da conta antes de fechá-la.

Considerações sobre recursos para o Account Factory

Quando uma conta é provisionada com a Account Factory, os recursos da AWS a seguir são criados na conta.

Produto da AWS Tipo de recurso Resource name (Nome do recurso)
AWS CloudFormation Pilhas

StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-*

StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*

StackSet-AWSControlTowerBP-BASELINE-CONFIG-*

StackSet-AWSControlTowerBP-BASELINE-ROLES-*

StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-*

AWS CloudTrail Trilha aws-controltower-BaselineCloudTrail
Amazon CloudWatch CloudWatch Regras de evento aws-controltower-ConfigComplianceChangeEventRule
Amazon CloudWatch CloudWatch Logs

aws-controltower/CloudTrailLogs

/aws/lambda/aws-controltower-NotificationForwarder

AWS Identity and Access Management Funções

aws-controltower-AdministratorExecutionRole

aws-controltower-CloudWatchLogsRole

aws-controltower-ConfigRecorderRole

aws-controltower-ForwardSnsNotificationRole

aws-controltower-ReadOnlyExecutionRole

AWSControlTowerExecution

AWS Identity and Access Management Políticas

AWSControlTowerServiceRolePolicy

Amazon Simple Notification Service Tópicos aws-controltower-SecurityNotifications
AWS Lambda Aplicações StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*
AWS Lambda Funções aws-controltower-NotificationForwarder