Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # La AWSControl TowerExecution función, explicada El rol `AWSControlTowerExecution` debe estar presente en todas las cuentas inscritas. Permite a AWS Control Tower administrar las cuentas individuales y notificar información sobre ellas a las cuentas de auditoría y de archivo de registro. El rol `AWSControlTowerExecution` se puede añadir a una cuenta de varias maneras, como se indica a continuación: + En el caso de las cuentas de la OU de seguridad (a veces denominadas *cuentas principales*), AWS Control Tower crea el rol en el momento de la configuración inicial de AWS Control Tower. + En el caso de una cuenta del generador de cuentas creada a través de la consola de AWS Control Tower, AWS Control Tower crea este rol en el momento de la creación de la cuenta. + En el caso de una inscripción de cuenta única, pedimos a los clientes que creen el rol manualmente y, a continuación, inscriban la cuenta en AWS Control Tower. + Al extender la gobernanza a una OU, AWS Control Tower usa el **StackSet- AWSControl TowerExecutionRole** para crear el rol en todas las cuentas de esa OU. **nota** Al anular la inscripción de una cuenta, AWS Control Tower elimina el rol `AWSControlTowerExecution`, independientemente de si se creó manualmente o si lo creó la propia AWS Control Tower. Finalidad del rol `AWSControlTowerExecution`: + `AWSControlTowerExecution` le permite crear e inscribir cuentas automáticamente con scripts y funciones de Lambda. + `AWSControlTowerExecution` le ayuda a configurar el registro de la organización, de modo que todos los registros de cada cuenta se envíen a la cuenta de registro. + `AWSControlTowerExecution` le permite inscribir una cuenta individual en AWS Control Tower. En primer lugar, debe añadir el rol `AWSControlTowerExecution` a esa cuenta. Para ver los pasos que indican cómo añadir el rol, consulte [Añada manualmente el rol de IAM requerido a uno existente Cuenta de AWS e inscríbalo](enroll-manually.md). Cómo funciona el `AWSControlTowerExecution` rol con OUs: El rol `AWSControlTowerExecution` garantiza que los controles de AWS Control Tower que haya seleccionado se apliquen automáticamente a todas las cuentas individuales de cada OU de la organización, así como a cada cuenta nueva que cree en AWS Control Tower. Como resultado: + Puede proporcionar informes de conformidad y seguridad con mayor facilidad, en función de las características de auditoría y registro incorporadas en los [controles](https://docs.aws.amazon.com//controltower/latest/userguide/guardrails.html) de AWS Control Tower. + Los equipos de seguridad y conformidad pueden verificar que se cumplen todos los requisitos y que no se ha producido ninguna desviación organizativa. Para obtener más información sobre la desviación, consulte [Detect and resolve drift in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html). En resumen, el rol `AWSControlTowerExecution` y su política asociada le brindan un control flexible de la seguridad y el conformidad en toda la organización. Por lo tanto, es menos probable que se produzcan infracciones de seguridad o de protocolo.