Movimiento e inscripción de cuentas con inscripción automática
La característica de inscripción automática de cuentas está disponible para zonas de aterrizaje de la versión 3.1 y posteriores.
Si habilita esta característica de forma opcional, puede utilizar las API AWS Organizations y la consola para mover las cuentas a AWS Control Tower, sin crear desviación de herencia. La cuenta recibe automáticamente recursos de línea de base y configuraciones de control de la unidad organizativa (UO) de destino en AWS Control Tower. Esta capacidad opcional también le permite mover cuentas entre UO dentro de AWS Control Tower, sin provocar una desviación de herencia, si las dos UO tienen la misma configuración de línea de base y los mismos controles habilitados.
Para activar inscripción automática: puede seleccionar inscripción automática de cuentas en la página Configuración de la zona de aterrizaje, en la consola de la AWS Control Tower o llamando a las API CreateLandingZone o UpdateLandingZone de AWS Control Tower, con el parámetro RemediationType establecido en Desvío de herencia.
Para aplicar inscripción automática: tras seleccionar esta opción en la página Configuración, puede mover una cuenta a través de la consola de AWS Organizations, la API AWS Organizations MoveAccount o la consola de AWS Control Tower.
Para anular la inscripción de una cuenta con inscripción automática: si mueve una cuenta fuera de una UO que esté registrada, AWS Control Tower elimina automáticamente todos los recursos y controles básicos desplegados.
nota
Si las UO de origen y destino de AWS Control Tower tienen configuraciones diferentes, es posible que la cuenta muestre desviación de Cuenta de miembro movida.
Requisitos previos: configuración de la inscripción automática
-
Debe utilizar la versión 3.1 o posterior de la zona de aterrizaje de AWS Control Tower.
-
Suscriba la función de inscripción automática de AWS Control Tower a través de la página Configuración de la zona de aterrizaje de la consola o a través de las API de la zona de aterrizaje de AWS Control Tower, estableciendo el valor del parámetro
RemediationTypesenInheritance Drift. Cuando se suscriba, AWS Control Tower reacciona a eventos demove accountpara AWS Organizations y soluciona en su nombre inmediatamente la desviación de herencia de las cuentas movidas.
Permisos necesarios
Para utilizar las API CreateAccount y MoveAccount de AWS Organizations, se necesitan permisos y roles específicos. Para obtener más información sobre el uso de AWS Organizations con AWS Control Tower, consulte AWS Control Tower y AWS Organizations.
Ejemplos de uso de la API
Para obtener más información y ejemplos sobre estas API, consulte CreateAccount y MoveAccount en la Referencia de la APIAWS Organizations.
Consideraciones
-
Escala de tiempo de inscripción: una cuenta que se mueve a una UO registrada en AWS Control Tower se inscribe con un modelo de consistencia final. Este proceso suele tardar unos minutos o hasta varias horas, según la cantidad de cuentas que se muevan.
-
Proceso de anulación de la inscripción: puede utilizar el mismo proceso para anular la inscripción de sus cuentas de AWS Control Tower moviéndolas a una UO fuera de AWS Control Tower. Este proceso elimina todos los roles y los recursos implementados por AWS Control Tower y todos los controles habilitados en AWS Control Tower.
