Acerca de las Cuentas de AWS en AWS Control Tower
Una Cuenta de AWS es el contenedor de todos los recursos en propiedad. Estos recursos incluyen las identidades de AWS Identity and Access Management (IAM) aceptadas por la cuenta, que determinan quién tiene acceso a dicha cuenta. Las identidades de IAM pueden incluir usuarios, grupos, roles y más. Para obtener más información sobre cómo trabajar con IAM, usuarios, roles y políticas en AWS Control Tower, consulte Identity and access management in AWS Control Tower.
Recursos y tiempo de creación de la cuenta
Cuando AWS Control Tower crea o inscribe una cuenta, implementa la configuración de recursos mínima necesaria para la cuenta. Por ejemplo, puede incluir recursos en forma de plantillas de Account Factory y otros recursos de la zona de aterrizaje, como roles de IAM, registros de seguimiento de AWS CloudTrail, productos aprovisionados de Service Catalog y usuarios del IAM Identity Center. AWS Control Tower también implementa recursos, según lo requiera la configuración de control, para la OU en la que la nueva cuenta está destinada a convertirse en una cuenta de miembro.
AWS Control Tower organiza la implementación de estos recursos en su nombre. Es posible que se necesiten varios minutos por recurso para completar la implementación, así que tenga en cuenta el tiempo total antes de crear o inscribir una cuenta. Para obtener más información sobre la administración de recursos en las cuentas, consulte Guía para la creación y modificación de recursos de AWS Control Tower.
Qué ocurre cuando AWS Control Tower crea una cuenta
Las nuevas cuentas en AWS Control Tower se crean y, a continuación, se aprovisionan mediante una interacción entre AWS Control Tower, AWS Organizations y AWS Service Catalog. Puede crear cuentas e inscribir cuentas existentes desde la consola de AWS Control Tower. Para conocer los pasos detallados para inscribir una Cuenta de AWS existente mediante la consola de AWS Control Tower, consulte Inscripción de una cuenta existente desde la consola de AWS Control Tower.
Entre bastidores de la creación de cuentas
-
La solicitud se inicia, por ejemplo, desde la página del generador de cuentas de AWS Control Tower, o directamente desde la consola de AWS Service Catalog, o llamando a la API
ProvisionProductde Service Catalog. -
AWS Service Catalog llama a AWS Control Tower.
-
AWS Control Tower inicia un flujo de trabajo que, en un primer paso, llama a la API
CreateAccountde AWS Organizations. -
Después de que AWS Organizations cree la cuenta, AWS Control Tower completa el proceso de aprovisionamiento aplicando esquemas y controles.
-
Service Catalog continúa sondeando a AWS Control Tower para comprobar si se ha completado el proceso de aprovisionamiento.
-
Una vez completado el flujo de trabajo en AWS Control Tower, Service Catalog finaliza el estado de la cuenta y le informa (al solicitante) del resultado.
Consideraciones a la hora de incorporar las cuentas de seguridad o de registro existentes
Antes de aceptar una Cuenta de AWS como cuenta de seguridad (nombre predeterminado: Auditoría) o de registro (nombre predeterminado: Archivo de registro), AWS Control Tower comprueba si la cuenta contiene recursos que entren en conflicto con los requisitos de AWS Control Tower. Por ejemplo, puede tener un bucket de registro con el mismo nombre que requiere AWS Control Tower. Además, AWS Control Tower valida que la cuenta pueda aprovisionar recursos; por ejemplo, al garantizar que AWS Security Token Service (AWS STS) esté habilitado, que la cuenta no esté suspendida y que AWS Control Tower tenga permiso para aprovisionar recursos dentro de la cuenta.
AWS Control Tower no elimina ningún recurso existente en las cuentas de registro y de seguridad que proporciona. Sin embargo, si decide habilitarla, el control de denegación de regiones de AWS Control Tower impide el acceso a los recursos de las regiones denegadas.
Seguridad de las cuentas
Puede encontrar directrices sobre las prácticas recomendadas para proteger la seguridad de su cuenta de administración de AWS Control Tower y las cuentas de miembros en la documentación de AWS Organizations.
