Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Movimiento e inscripción de cuentas con inscripción automática
La característica de inscripción automática de cuentas está disponible para zonas de aterrizaje de la versión 3.1 y posteriores.
Si habilita esta función de forma opcional, puede utilizar las AWS Organizations API y la consola para mover las cuentas a AWS Control Tower, sin provocar una pérdida de herencia. La cuenta recibe automáticamente recursos de línea de base y configuraciones de control de la unidad organizativa (UO) de destino en AWS Control Tower. Esta capacidad opcional también le permite mover cuentas entre UO dentro de AWS Control Tower, sin provocar una desviación de herencia, si las dos UO tienen la misma configuración de línea de base y los mismos controles habilitados.
Para activar inscripción automática: puede seleccionar inscripción automática de cuentas en la página Configuración de la zona de aterrizaje, en la consola de la AWS Control Tower o llamando a las API CreateLandingZone o UpdateLandingZone de AWS Control Tower, con el parámetro RemediationType establecido en Desvío de herencia.
Para inscribir cuentas: después de activar la inscripción automática, mueva una cuenta a una OU registrada mediante la AWS Organizations consola, la AWS Organizations
MoveAccount API o la consola de AWS Control Tower. La cuenta recibe automáticamente los recursos y controles básicos de esa OU. Esto se aplica tanto a las cuentas existentes como a las cuentas recién creadas (que se crean en la raíz de la organización de forma predeterminada).
Para anular la inscripción de una cuenta: traslade la cuenta a una unidad organizativa que no esté registrada en AWS Control Tower o a la raíz de la organización. AWS Control Tower elimina automáticamente todos los recursos y controles básicos implementados.
nota
Si las UO de origen y destino de AWS Control Tower tienen configuraciones diferentes, es posible que la cuenta muestre desviación de Cuenta de miembro movida.
Requisitos previos: configuración de la inscripción automática
-
Debe utilizar la versión 3.1 o posterior de la zona de aterrizaje de AWS Control Tower.
-
Suscriba la función de inscripción automática de AWS Control Tower a través de la página Configuración de la zona de aterrizaje de la consola o a través de las API de la zona de aterrizaje de AWS Control Tower, estableciendo el valor del parámetro
RemediationTypesenInheritance Drift. Cuando haya optado por participar, AWS Control Tower reacciona antemove accountlos AWS Organizations acontecimientos y soluciona inmediatamente el problema de herencia de las cuentas trasladadas, en su nombre.
Permisos necesarios
Para utilizar la API y la AWS Organizations
CreateAccount API, se necesitan permisos y MoveAccount roles específicos. Para obtener más información sobre el uso AWS Organizations con AWS Control Tower, consulte AWS Control Tower y AWS Organizations.
Ejemplos de uso de la API
Para obtener más información y ejemplos sobre estas API, consulte CreateAccount y MoveAccount en la Referencia de la API AWS Organizations .
Consideraciones
-
Escala de tiempo de inscripción: una cuenta que se mueve a una UO registrada en AWS Control Tower se inscribe con un modelo de consistencia final. Este proceso suele tardar unos minutos o hasta varias horas, según la cantidad de cuentas que se muevan.
-
AWS Productos aprovisionados de Service Catalog: Auto-enrollment no crea, modifica ni termina los productos aprovisionados AWS de Service Catalog. Si una cuenta se inscribió anteriormente a través de Account Factory y tiene un producto aprovisionado asociado, ese producto aprovisionado permanece en la cuenta de administración después de cancelar la inscripción de la cuenta. Para limpiar los productos aprovisionados huérfanos, consulte Eliminar productos aprovisionados en la Guía del usuario de AWS Service Catalog.
