Acerca Cuentas de AWS de AWS Control Tower - AWS Control Tower
Qué ocurre cuando AWS Control Tower crea una cuentaConsideraciones a la hora de incorporar las cuentas de seguridad o de registro existentes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acerca Cuentas de AWS de AWS Control Tower

An Cuenta de AWS es el contenedor de todos sus recursos propios. Estos recursos incluyen las identidades AWS Identity and Access Management (IAM) aceptadas por la cuenta, que determinan quién tiene acceso a esa cuenta. Las identidades de IAM pueden incluir usuarios, grupos, roles y más. Para obtener más información sobre cómo trabajar con IAM, usuarios, roles y políticas en AWS Control Tower, consulte Identity and access management in AWS Control Tower.

Recursos y tiempo de creación de la cuenta

Cuando AWS Control Tower crea o inscribe una cuenta, implementa la configuración de recursos mínima necesaria para la cuenta. Por ejemplo, puede incluir recursos en forma de plantillas de Account Factory y otros recursos de tu landing zone, como roles de IAM, AWS CloudTrail rutas, productos aprovisionados por Service Catalog y usuarios del IAM Identity Center. AWS Control Tower también implementa recursos, según lo requiera la configuración de control, para la OU en la que la nueva cuenta está destinada a convertirse en una cuenta de miembro.

AWS Control Tower organiza la implementación de estos recursos en su nombre. Es posible que se necesiten varios minutos por recurso para completar la implementación, así que tenga en cuenta el tiempo total antes de crear o inscribir una cuenta. Para obtener más información sobre la administración de recursos en las cuentas, consulte Guía para la creación y modificación de recursos de AWS Control Tower.

Qué ocurre cuando AWS Control Tower crea una cuenta

Las nuevas cuentas en la Torre de Control de AWS se crean y, a continuación, se aprovisionan mediante una interacción entre AWS Control Tower AWS Organizations, y AWS Service Catalog. Puede crear cuentas e inscribir cuentas existentes desde la consola de AWS Control Tower. Para ver los pasos detallados para inscribir una empresa existente Cuenta de AWS mediante la consola de la Torre de Control de AWS, consulteInscripción de una cuenta existente desde la consola de AWS Control Tower.

Entre bastidores de la creación de cuentas

  1. La solicitud se inicia, por ejemplo, desde la página Account Factory de AWS Control Tower, directamente desde la AWS Service Catalog consola o llamando a la ProvisionProduct API de Service Catalog.

  2. AWS Service Catalog llama a AWS Control Tower.

  3. AWS Control Tower inicia un flujo de trabajo que, como primer paso, llama a la AWS Organizations CreateAccount API.

  4. Tras AWS Organizations crear la cuenta, AWS Control Tower completa el proceso de aprovisionamiento mediante la aplicación de planos y controles.

  5. Service Catalog continúa sondeando a AWS Control Tower para comprobar si se ha completado el proceso de aprovisionamiento.

  6. Una vez completado el flujo de trabajo en AWS Control Tower, Service Catalog finaliza el estado de la cuenta y le informa (al solicitante) del resultado.

Consideraciones a la hora de incorporar las cuentas de seguridad o de registro existentes

Antes de aceptar una Cuenta de AWS cuenta de seguridad (nombre predeterminado: Audit) o de registro (nombre predeterminado: Archivo de registros), AWS Control Tower comprueba la cuenta para ver si hay recursos que no cumplan con los requisitos de la Torre de Control de AWS. Por ejemplo, puede tener un bucket de registro con el mismo nombre que requiere AWS Control Tower. Además, AWS Control Tower valida que la cuenta puede aprovisionar recursos; por ejemplo, garantizando que AWS Security Token Service (AWS STS) esté habilitada, que la cuenta no esté suspendida y que AWS Control Tower tenga permiso para aprovisionar recursos dentro de la cuenta.

AWS Control Tower no elimina ningún recurso existente en las cuentas de registro y de seguridad que proporciona. Sin embargo, si decide habilitarla, el control de denegación de regiones de AWS Control Tower impide el acceso a los recursos de las regiones denegadas.

Seguridad de las cuentas

Puede encontrar directrices sobre las prácticas recomendadas para proteger la seguridad de su cuenta de administración de AWS Control Tower y las cuentas de miembros en la documentación de AWS Organizations .