Movimiento e inscripción de cuentas con inscripción automática - AWS Control Tower
Requisitos previos: configuración de la inscripción automáticaPermisos necesariosEjemplos de uso de la APIConsideraciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Movimiento e inscripción de cuentas con inscripción automática

La característica de inscripción automática de cuentas está disponible para zonas de aterrizaje de la versión 3.1 y posteriores.

Si habilita esta función de forma opcional, puede utilizar la consola AWS Organizations APIs y para mover las cuentas a AWS Control Tower, sin provocar una pérdida de herencia. La cuenta recibe automáticamente recursos de línea de base y configuraciones de control de la unidad organizativa (UO) de destino en AWS Control Tower. Esta capacidad opcional también le permite transferir cuentas de un sitio a otro OUs de la Torre de Control de AWS, sin provocar una desviación de herencia, si las dos OUs tienen la misma configuración básica y los mismos controles habilitados.

Para activar la inscripción automática: puede seleccionar la inscripción automática de las cuentas en la página de configuración de la zona de aterrizaje de la consola de la Torre de Control de AWS, o llamando a la Torre de Control de AWS CreateLandingZone o UpdateLandingZone APIs con el valor del RemediationType parámetro establecido en Inheritance Drift.

Para aplicar la inscripción automática: tras seleccionar esta opción en la página de configuración, puede mover una cuenta a través de la AWS Organizations consola, la AWS Organizations MoveAccount API o la consola de la Torre de Control de AWS.

Para anular la inscripción de una cuenta con inscripción automática: si mueve una cuenta fuera de una UO que esté registrada, AWS Control Tower elimina automáticamente todos los recursos y controles básicos implementados.

nota

Si el origen y el destino de OUs la Torre de Control de AWS tienen configuraciones diferentes, es posible que la cuenta muestre una Cuenta de miembro movida desviación.

Requisitos previos: configuración de la inscripción automática

  • Debe utilizar la versión 3.1 o posterior de la zona de aterrizaje de AWS Control Tower.

  • Opte por la función de inscripción automática de AWS Control Tower a través de la página de configuración de la zona de aterrizaje de la consola o a través de la zona de aterrizaje de AWS Control Tower APIs, estableciendo el valor del RemediationTypes parámetro en. Inheritance Drift Una vez que se haya registrado, AWS Control Tower reacciona ante move account los AWS Organizations acontecimientos y soluciona inmediatamente el problema de herencia de las cuentas trasladadas, en su nombre.

Permisos necesarios

Para utilizar la API y la AWS Organizations CreateAccount API, se necesitan permisos y MoveAccount roles específicos. Para obtener más información sobre el uso AWS Organizations con AWS Control Tower, consulte AWS Control Tower y AWS Organizations.

Ejemplos de uso de la API

Para obtener más información y ejemplos al respecto APIs, consulte CreateAccounty MoveAccounten la referencia de la AWS Organizations API.

Consideraciones

  • Escala de tiempo de inscripción: una cuenta que se mueve a una UO registrada en AWS Control Tower se inscribe con un modelo de consistencia final. Este proceso suele tardar unos minutos o hasta varias horas, según la cantidad de cuentas que se muevan.

  • Proceso de anulación de la inscripción: puede utilizar el mismo proceso para anular la inscripción de sus cuentas de AWS Control Tower moviéndolas a una UO fuera de AWS Control Tower. Este proceso elimina todos los roles y los recursos implementados por AWS Control Tower y todos los controles habilitados en AWS Control Tower.