Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tentang Akun AWS di AWS Control Tower
An Akun AWS adalah wadah untuk semua sumber daya milik Anda. Sumber daya ini termasuk identitas AWS Identity and Access Management (IAM) yang diterima oleh akun, yang menentukan siapa yang memiliki akses ke akun itu. Identitas IAM dapat mencakup pengguna, grup, peran, dan banyak lagi. Untuk informasi selengkapnya tentang bekerja dengan IAM, pengguna, peran, dan kebijakan di AWS Control Tower, lihat Manajemen identitas dan akses di AWS Control Tower.
Sumber daya dan waktu pembuatan akun
Saat AWS Control Tower membuat atau mendaftarkan akun, AWS Control Tower akan menerapkan konfigurasi sumber daya minimum yang diperlukan untuk akun tersebut. Misalnya, mungkin termasuk sumber daya dalam bentuk template Account Factory dan sumber daya lain di landing zone Anda, seperti peran IAM, AWS CloudTrail jalur, produk yang disediakan Service Catalog, dan pengguna IAM Identity Center. AWS Control Tower juga menyebarkan sumber daya, seperti yang dipersyaratkan oleh konfigurasi kontrol, untuk unit organisasi (OU) di mana akun baru ditakdirkan untuk menjadi akun anggota.
AWS Control Tower mengatur penerapan sumber daya ini atas nama Anda. Mungkin diperlukan beberapa menit per sumber daya untuk menyelesaikan penerapan, jadi pertimbangkan total waktu sebelum Anda membuat atau mendaftarkan akun. Untuk informasi selengkapnya tentang mengelola sumber daya di akun Anda, lihatPanduan untuk membuat dan memodifikasi sumber daya AWS Control Tower.
Apa yang terjadi ketika AWS Control Tower membuat akun
Akun baru di AWS Control Tower dibuat dan kemudian disediakan oleh interaksi antara AWS Control Tower, AWS Organizations, dan. AWS Service Catalog Anda dapat membuat akun dan mendaftarkan akun yang ada dari konsol AWS Control Tower. Untuk langkah-langkah mendetail untuk mendaftarkan yang sudah ada Akun AWS menggunakan konsol AWS Control Tower, lihatMendaftarkan akun yang sudah ada dari konsol AWS Control Tower.
Di balik layar pembuatan akun
-
Anda memulai permintaan, misalnya, dari halaman AWS Control Tower Account Factory, atau langsung dari AWS Service Catalog konsol, atau dengan memanggil Service Catalog
ProvisionProductAPI. -
AWS Service Catalog memanggil AWS Control Tower.
-
AWS Control Tower memulai alur kerja, yang sebagai langkah pertama memanggil AWS Organizations
CreateAccountAPI. -
Setelah AWS Organizations membuat akun, AWS Control Tower menyelesaikan proses penyediaan dengan menerapkan cetak biru dan kontrol.
-
Service Catalog terus melakukan polling AWS Control Tower untuk memeriksa penyelesaian proses penyediaan.
-
Ketika alur kerja di AWS Control Tower selesai, Service Catalog menyelesaikan status akun dan memberi tahu Anda (pemohon) hasilnya.
Pertimbangan untuk membawa akun keamanan atau pencatatan yang ada
Sebelum menerima akun Akun AWS keamanan (nama default: Audit) atau pencatatan (nama default: Arsip log), AWS Control Tower memeriksa akun untuk sumber daya yang bertentangan dengan persyaratan AWS Control Tower. Misalnya, Anda mungkin memiliki bucket logging dengan nama yang sama dengan AWS Control Tower. Selain itu, AWS Control Tower memvalidasi bahwa akun dapat menyediakan sumber daya; misalnya, dengan memastikan bahwa AWS Security Token Service (AWS STS) diaktifkan, bahwa akun tidak ditangguhkan, dan AWS Control Tower memiliki izin untuk menyediakan sumber daya di dalam akun.
AWS Control Tower tidak menghapus sumber daya apa pun yang ada di akun pencatatan dan keamanan yang Anda berikan. Namun, jika Anda memilih untuk mengaktifkannya, kontrol penolakan Wilayah AWS Control Tower mencegah akses ke sumber daya di Wilayah yang ditolak.
Keamanan untuk akun Anda
Anda dapat menemukan panduan tentang praktik terbaik untuk melindungi keamanan akun manajemen AWS Control Tower dan akun anggota Anda dalam AWS Organizations dokumentasi.
