Aprovisionamiento y administración de cuentas en AWS Control Tower
En este capítulo se abordan los siguientes temas:
Descripción general y procedimientos para aprovisionar y administrar nuevas cuentas de miembros en AWS Control Tower.
Descripción general y procedimientos para inscribir una cuenta de AWS existente en AWS Control Tower.
Para obtener información general sobre cuentas en AWS Control Tower, consulte Acerca de las Cuentas de AWS en AWS Control Tower. Para obtener información sobre cómo inscribir varias cuentas en AWS Control Tower, consulte Registro de una OU existente en AWS Control Tower.
nota
Puede realizar hasta cinco (5) operaciones relacionadas con la cuenta de forma simultánea, como el aprovisionamiento, la actualización y la inscripción.
Permisos necesarios para el aprovisionamiento de cuentas
Con los permisos de grupo de usuarios adecuados, los aprovisionadores pueden especificar referencias estandarizadas y configuraciones de red para cualquier cuenta de la organización.
Al crear cuentas desde la consola de AWS Control Tower con el generador de cuentas, debe iniciar sesión en una cuenta con un usuario de IAM que tenga habilitada la política AWSServiceCatalogEndUserFullAccess, junto con permisos para utilizar la consola de AWS Control Tower, y no puede iniciar sesión como usuario raíz.
nota
Al aprovisionar una cuenta, el solicitante de la cuenta siempre debe tener los permisos CreateAccount y DescribeCreateAccountStatus. Este conjunto de permisos forma parte del rol de administrador y se otorga automáticamente cuando el solicitante asume el rol Admin. Si delega el permiso para aprovisionar cuentas, es posible que tengas que añadir estos permisos directamente para los solicitantes de cuentas.
Para obtener información general sobre los permisos necesarios en AWS Control Tower, consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS Control Tower. Para obtener información sobre roles y cuentas en AWS Control Tower, consulte Roles and accounts.
