View a markdown version of this page

Déplacez et enregistrez des comptes grâce à l'inscription automatique - AWS Control Tower
Conditions préalables : Configuration pour l'inscription automatiqueAutorisations requisesExemples d'utilisation de l'APIConsidérations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Déplacez et enregistrez des comptes grâce à l'inscription automatique

La fonction d'inscription automatique du compte est disponible pour les zones d'atterrissage de la version 3.1 et des versions ultérieures.

Si vous activez éventuellement cette fonctionnalité, vous pouvez utiliser les AWS Organizations API et la console pour déplacer des comptes vers AWS Control Tower, sans créer de dérive d'héritage. Le compte reçoit automatiquement les ressources de base et les configurations de contrôle de l'unité organisationnelle (UO) de destination dans AWS Control Tower. Cette fonctionnalité optionnelle vous permet également de déplacer des comptes entre des unités d'organisation au sein d'AWS Control Tower, sans créer de dérive d'héritage, si les deux unités d'organisation ont la même configuration de base et si les mêmes contrôles sont activés.

Pour activer l'inscription automatique : vous pouvez sélectionner l'inscription automatique des comptes sur la page des paramètres de la zone de destination de la console AWS Control Tower, ou en appelant l'AWS Control Tower CreateLandingZone ou les UpdateLandingZone API, la valeur du RemediationType paramètre étant définie sur Inheritance Drift.

Pour inscrire des comptes : après avoir activé l'inscription automatique, déplacez un compte vers une unité d'organisation enregistrée à l'aide de la AWS Organizations console, de l' AWS Organizations MoveAccountAPI ou de la console AWS Control Tower. Le compte reçoit automatiquement les ressources et les contrôles de base de cette unité d'organisation. Cela s'applique à la fois aux comptes existants et aux comptes nouvellement créés (qui sont créés dans la racine de l'organisation par défaut).

Pour désinscrire un compte : déplacez le compte vers une unité d'organisation qui n'est pas enregistrée auprès d'AWS Control Tower, ou vers la racine de l'organisation. AWS Control Tower supprime automatiquement toutes les ressources et tous les contrôles de base déployés.

Note

Si les unités d'organisation source et de destination dans AWS Control Tower ont des configurations différentes, le compte peut présenter une Compte de membre déplacé dérive.

Conditions préalables : Configuration pour l'inscription automatique

  • Vous devez exécuter la version 3.1 ou ultérieure de la zone de landing zone d'AWS Control Tower.

  • Optez pour la fonctionnalité d'inscription automatique d'AWS Control Tower via la page Paramètres de la zone d'atterrissage de la console, ou via les API de zone de destination d'AWS Control Tower, en définissant la valeur du RemediationTypes paramètre sur. Inheritance Drift Lorsque vous vous êtes inscrit, AWS Control Tower réagit aux move account AWS Organizationsévénements et remédie immédiatement à la dérive héritée des comptes déplacés, en votre nom.

Autorisations requises

Des rôles et des autorisations spécifiques sont nécessaires pour utiliser l' AWS Organizations CreateAccountAPI et l'MoveAccountAPI. Pour plus d'informations sur l'utilisation AWS Organizations avec AWS Control Tower, consultez AWS Control Tower et AWS Organizations.

Exemples d'utilisation de l'API

Pour plus d'informations et des exemples concernant ces API, consultez CreateAccountet MoveAccountdans le Guide de référence des AWS Organizations API.

Considérations

  • Calendrier d'inscription : un compte transféré vers une unité d'organisation enregistrée auprès d'AWS Control Tower est inscrit selon un éventuel modèle de cohérence. Ce processus prend généralement quelques minutes, voire plusieurs heures, selon le nombre de comptes déplacés.

  • AWS Produits fournis par Service Catalog : Auto-enrollment ne crée, ne modifie ni ne met fin aux produits fournis par AWS Service Catalog. Si un compte a déjà été enregistré via Account Factory et qu'un produit provisionné est associé, ce produit provisionné reste dans le compte de gestion une fois le compte désinscrit. Pour nettoyer les produits approvisionnés orphelins, consultez la section Suppression de produits approvisionnés dans le Guide de l'utilisateur du AWS Service Catalog.