Aprovisionamiento de cuentas en AWS Control Tower
AWS Control Tower ofrece varios métodos para crear y actualizar cuentas de miembro. Algunos métodos se basan principalmente en consola y otros están principalmente automatizados.
Información general
Una forma estándar de crear cuentas de miembro en AWS Control Tower es a través de Account Factory, un producto basado en consola que forma parte de Service Catalog. Además, desde la consola de AWS Control Tower puede utilizar Crear cuenta como método para aprovisionar cuentas nuevas, así como Inscribir cuenta para inscribir cuentas de AWS existentes en AWS Control Tower, si la zona de aterrizaje no se encuentra en estado de desviación.
Con Account Factory, puede aprovisionar cuentas básicas basándose en la configuración predeterminada de AWS Control Tower. También puede aprovisionar cuentas personalizadas que cumplan con los requisitos de casos de uso especializados.
Account Factory Customization (AFC) es una forma de aprovisionar cuentas personalizadas desde la consola de AWS Control Tower y automatiza la personalización y la implementación de las cuentas. Tras algunos pasos de configuración únicos, permite el aprovisionamiento automatizado basado en consola, lo que elimina la necesidad de escribir scripts o configurar canalizaciones. Para obtener más información, consulte Personalización de cuentas con la personalización del generador de cuentas (AFC).
Inscripción automática
También puede crear Cuentas de AWS fuera de AWS Control Tower y moverlas a una UO que esté registrada en AWS Control Tower, sin crear derivación de herencia, si suscribe la característica Inscripción automática de cuentas de la Configuración de su zona de aterrizaje. Para obtener más información, consulte Movimiento e inscripción de cuentas con inscripción automática.
Métodos basados en consola:
-
Para cuentas básicas o personalizadas, a través de la consola del generador de cuentas que forma parte de AWS Service Catalog. Para obtener información e instrucciones, consulte Aprovisionamiento y administración de cuentas con el generador de cuentas.
Mediante la inscripción automática, moviendo una cuenta a una UO desde la consola. Consulte Movimiento e inscripción de cuentas con inscripción automática
-
Si la zona de aterrizaje no se encuentra en estado de desviación, a través de la característica Inscribir la cuenta de AWS Control Tower. Consulte Inscripción de una cuenta existente desde la consola de AWS Control Tower.
-
En la consola de AWS Control Tower, puede utilizar el generador de cuentas para crear, actualizar o inscribir hasta cinco cuentas al mismo tiempo.
Métodos automatizados:
-
Código Lambda: desde la cuenta de administración de la zona de aterrizaje de AWS Control Tower, utilizando el código Lambda y los roles de IAM apropiados. Consulte Automated Account Provisioning with IAM Roles.
-
Terraform: desde el generador de cuentas para Terraform (AFT) de AWS Control Tower, que se basa en el generador de cuentas y en un modelo de GitOps para permitir la automatización del aprovisionamiento y la actualización de cuentas. Consulte Aprovisionamiento de cuentas con el generador de cuentas para Terraform (AFT) de AWS Control Tower .
Mediante la inscripción automática, moviendo una cuenta existente a una UO mediante API. Consulte Movimiento e inscripción de cuentas con inscripción automática
-
Personalización del generador de cuentas en la consola de AWS Control Tower: tras los pasos de configuración, el aprovisionamiento futuro de cuentas personalizadas no requiere ninguna configuración adicional ni mantenimiento de canalizaciones. Las cuentas se aprovisionan mediante un producto de AWS Service Catalog denominado esquema. Un esquema puede utilizar plantillas de CloudFormation o plantillas de Terraform.
nota
Los esquemas de CloudFormation pueden implementar recursos en varias regiones. Los esquemas de Terraform solo pueden implementar recursos en una sola región. De forma predeterminada, es la región de origen.
