Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Tentang Akun AWS di AWS Control Tower
<a name="accounts"></a>

An Akun AWS adalah wadah untuk semua sumber daya milik Anda. Sumber daya ini termasuk identitas AWS Identity and Access Management (IAM) yang diterima oleh akun, yang menentukan siapa yang memiliki akses ke akun itu. Identitas IAM dapat mencakup pengguna, grup, peran, dan banyak lagi. Untuk informasi selengkapnya tentang bekerja dengan IAM, pengguna, peran, dan kebijakan di AWS Control Tower, lihat [Manajemen identitas dan akses di AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/auth-access.html).

**Sumber daya dan waktu pembuatan akun**

Saat AWS Control Tower membuat atau mendaftarkan akun, AWS Control Tower akan menerapkan konfigurasi sumber daya minimum yang diperlukan untuk akun tersebut. Misalnya, mungkin termasuk sumber daya dalam bentuk [template Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-considerations.html) dan sumber daya lain di landing zone Anda, seperti peran IAM, AWS CloudTrail jalur, [produk yang disediakan Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/userguide/enduser-dashboard.html), dan pengguna IAM Identity Center. AWS Control Tower juga menyebarkan sumber daya, seperti yang dipersyaratkan oleh konfigurasi kontrol, untuk unit organisasi (OU) di mana akun baru ditakdirkan untuk menjadi akun anggota.

AWS Control Tower mengatur penerapan sumber daya ini atas nama Anda. Mungkin diperlukan beberapa menit per sumber daya untuk menyelesaikan penerapan, jadi pertimbangkan total waktu sebelum Anda membuat atau mendaftarkan akun. Untuk informasi selengkapnya tentang mengelola sumber daya di akun Anda, lihat[Panduan untuk membuat dan memodifikasi sumber daya AWS Control Tower](getting-started-guidance.md).

## Apa yang terjadi ketika AWS Control Tower membuat akun
<a name="what-happens-in-account-creation"></a>

Akun baru di AWS Control Tower dibuat dan kemudian disediakan oleh interaksi antara AWS Control Tower, AWS Organizations, dan. AWS Service Catalog Anda dapat membuat akun dan mendaftarkan akun yang ada dari konsol AWS Control Tower. Untuk langkah-langkah mendetail untuk mendaftarkan yang sudah ada Akun AWS menggunakan konsol AWS Control Tower, lihat[Mendaftarkan akun yang sudah ada dari konsol AWS Control Tower](quick-account-provisioning.md).

**Di balik layar pembuatan akun**

1. Anda memulai permintaan, misalnya, dari halaman AWS Control Tower Account Factory, atau langsung dari AWS Service Catalog konsol, atau dengan memanggil Service Catalog `ProvisionProduct` API.

1. AWS Service Catalog memanggil AWS Control Tower.

1. AWS Control Tower memulai alur kerja, yang sebagai langkah pertama memanggil AWS Organizations `CreateAccount` API.

1. Setelah AWS Organizations membuat akun, AWS Control Tower menyelesaikan proses penyediaan dengan menerapkan cetak biru dan kontrol.

1. Service Catalog terus melakukan polling AWS Control Tower untuk memeriksa penyelesaian proses penyediaan.

1. Ketika alur kerja di AWS Control Tower selesai, Service Catalog menyelesaikan status akun dan memberi tahu Anda (pemohon) hasilnya.

## Pertimbangan untuk membawa akun keamanan atau pencatatan yang ada
<a name="considerations-for-existing-shared-accounts"></a>

Sebelum menerima akun Akun AWS keamanan (nama default: **Audit**) atau pencatatan (nama default: **Arsip log**), AWS Control Tower memeriksa akun untuk sumber daya yang bertentangan dengan persyaratan AWS Control Tower. Misalnya, Anda mungkin memiliki bucket logging dengan nama yang sama dengan AWS Control Tower. Selain itu, AWS Control Tower memvalidasi bahwa akun dapat menyediakan sumber daya; misalnya, dengan memastikan bahwa AWS Security Token Service (AWS STS) diaktifkan, bahwa akun tidak ditangguhkan, dan AWS Control Tower memiliki izin untuk menyediakan sumber daya dalam akun.

AWS Control Tower tidak menghapus sumber daya apa pun yang ada di akun pencatatan dan keamanan yang Anda berikan. Namun, jika Anda memilih untuk mengaktifkannya, kontrol penolakan Wilayah AWS Control Tower mencegah akses ke sumber daya di Wilayah yang ditolak.

**Keamanan untuk akun Anda**  
Anda dapat menemukan panduan tentang praktik terbaik untuk melindungi keamanan akun manajemen AWS Control Tower dan akun anggota Anda dalam AWS Organizations dokumentasi.  
[Praktik terbaik untuk akun manajemen](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)
[Praktik terbaik untuk akun anggota](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)

# Tentang akun bersama
<a name="special-accounts"></a>

Tiga khusus Akun AWS dikaitkan dengan AWS Control Tower; akun manajemen, akun **audit**, dan akun **arsip log**. Akun-akun ini biasanya disebut sebagai *akun bersama*, atau terkadang sebagai *akun inti*.
+  Anda dapat memilih nama yang disesuaikan untuk akun audit dan arsip log saat menyiapkan landing zone. Untuk informasi tentang mengubah nama akun, lihat [Mengubah nama sumber daya AWS Control Tower secara eksternal](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#changing-names). 
+ Anda juga dapat menentukan yang sudah ada Akun AWS sebagai akun keamanan atau logging AWS Control Tower, selama proses penyiapan landing zone awal. Opsi ini menghilangkan kebutuhan AWS Control Tower untuk membuat akun baru yang dibagikan. (Ini adalah pilihan satu kali.)

Untuk informasi selengkapnya tentang akun bersama dan sumber daya terkait, lihat[Sumber daya yang dibuat di akun bersama](shared-account-resources.md).

## Akun manajemen
<a name="mgmt-account"></a>

Ini Akun AWS meluncurkan AWS Control Tower. Secara default, pengguna root untuk akun ini dan pengguna IAM atau pengguna administrator IAM untuk akun ini memiliki akses penuh ke semua sumber daya dalam landing zone Anda.

**catatan**  
Sebagai praktik terbaik, sebaiknya masuk sebagai pengguna Pusat Identitas IAM dengan hak **Administrator** saat menjalankan fungsi administratif dalam konsol AWS Control Tower, alih-alih masuk sebagai pengguna root atau pengguna administrator IAM untuk akun ini.

Untuk informasi selengkapnya tentang peran dan sumber daya yang tersedia di akun manajemen, lihat[Sumber daya yang dibuat di akun bersama](shared-account-resources.md).

## Akun arsip log
<a name="log-archive-account"></a>

Akun bersama arsip log diatur secara otomatis saat Anda membuat landing zone, jika Anda tidak secara khusus membawa AWS akun lain.

Akun ini berisi bucket Amazon S3 pusat untuk menyimpan salinan semua AWS CloudTrail dan AWS Config log file untuk semua akun lain di landing zone Anda. Sebagai praktik terbaik, kami merekomendasikan untuk membatasi akses akun arsip log ke tim yang bertanggung jawab atas kepatuhan dan investigasi, serta alat keamanan atau audit terkait mereka. Akun ini dapat digunakan untuk audit keamanan otomatis, atau untuk meng-host kustom Aturan AWS Config, seperti fungsi Lambda, untuk melakukan tindakan remediasi.

**Kebijakan bucket Amazon S3**  
Untuk AWS Control Tower landing zone versi 3.3 dan yang lebih baru, akun harus memenuhi `aws:SourceOrgID` persyaratan untuk izin menulis apa pun ke bucket Audit Anda. Kondisi ini memastikan bahwa CloudTrail hanya dapat menulis log atas nama akun dalam organisasi Anda ke bucket S3 Anda; ini mencegah CloudTrail log di luar organisasi Anda menulis ke bucket AWS Control Tower S3 Anda. Untuk informasi selengkapnya, lihat [AWS Control Tower landing zone versi 3.3](2023-all.md#lz-3-3).

Untuk informasi selengkapnya tentang peran dan sumber daya yang tersedia di akun arsip log, lihat [Sumber daya akun arsip log](shared-account-resources.md#log-archive-resources)

**catatan**  
Log ini tidak dapat diubah. Semua log disimpan untuk tujuan audit dan investigasi kepatuhan yang terkait dengan aktivitas akun.

## Akun audit
<a name="audit-account"></a>

Akun bersama ini diatur secara otomatis saat Anda membuat landing zone, jika Anda tidak secara khusus membawa akun lain. 

Akun audit harus dibatasi untuk tim keamanan dan kepatuhan dengan peran lintas akun auditor (read-only) dan administrator (akses penuh) untuk semua akun di landing zone. Peran ini dimaksudkan untuk digunakan oleh tim keamanan dan kepatuhan untuk:
+ Lakukan audit melalui AWS mekanisme, seperti menghosting fungsi Lambda AWS Config aturan kustom.
+ Lakukan operasi keamanan otomatis, seperti tindakan remediasi.

Akun audit juga menerima pemberitahuan melalui layanan Amazon Simple Notification Service (Amazon SNS). Tiga kategori notifikasi dapat diterima:
+ **Semua Peristiwa Konfigurasi** — Topik ini menggabungkan semua CloudTrail dan AWS Config pemberitahuan dari semua akun di landing zone Anda.
+ **Pemberitahuan Keamanan Agregat** — Topik ini menggabungkan semua pemberitahuan keamanan dari CloudWatch peristiwa tertentu, peristiwa perubahan status Aturan AWS Config kepatuhan, dan GuardDuty temuan.
+ **Pemberitahuan Drift** — Topik ini menggabungkan semua peringatan drift yang ditemukan di semua akun, pengguna OUs, dan di SCPs landing zone Anda. Untuk informasi lebih lanjut tentang drift, lihat[Mendeteksi dan mengatasi penyimpangan di AWS Control Tower](drift.md).

Pemberitahuan audit yang dipicu dalam akun anggota juga dapat mengirim peringatan ke topik Amazon SNS lokal. Fungsi ini memungkinkan administrator akun untuk berlangganan pemberitahuan audit yang khusus untuk akun anggota individu. Akibatnya, administrator dapat menyelesaikan masalah yang memengaruhi akun individual, sambil tetap menggabungkan semua pemberitahuan akun ke akun audit terpusat Anda. Untuk informasi lebih lanjut, lihat [Panduan Developer Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/).

Untuk informasi selengkapnya tentang peran dan sumber daya yang tersedia di akun audit, lihat[Sumber daya akun audit](shared-account-resources.md#audit-account-resources).

Untuk informasi selengkapnya tentang audit terprogram, lihat [Peran terprogram dan hubungan kepercayaan untuk akun audit AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#stacksets-and-roles).

**penting**  
Alamat email yang Anda berikan untuk akun audit menerima email **AWS Pemberitahuan - Konfirmasi Langganan** dari setiap email yang Wilayah AWS didukung oleh AWS Control Tower. Untuk menerima email kepatuhan di akun audit Anda, Anda harus memilih tautan **Konfirmasi langganan** dalam setiap email dari masing-masing yang Wilayah AWS didukung oleh AWS Control Tower. 

# Sumber daya yang dibuat di akun bersama
<a name="shared-account-resources"></a>

Bagian ini menunjukkan sumber daya yang dibuat AWS Control Tower di akun bersama, saat Anda menyiapkan landing zone.

Untuk informasi tentang sumber daya akun anggota, lihat[Pertimbangan Sumber Daya untuk Account Factory](account-factory-considerations.md).

## Sumber daya akun manajemen
<a name="mgmt-account-resouces"></a>

Saat Anda mengatur landing zone, AWS sumber daya berikut akan dibuat dalam akun manajemen Anda.


| AWS service | Tipe sumber daya | Nama sumber daya | 
| --- | --- | --- | 
| AWS Organizations | Akun | audit log archive | 
| AWS Organizations | OUs | Security Sandbox | 
| AWS Organizations | Kebijakan Kontrol Layanan | aws-guardrails-\$1  | 
| AWS CloudFormation | Tumpukan | AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER AWSControlTowerBP-BASELINE-CONFIG-MASTER(dalam versi 2.6 dan yang lebih baru) | 
| AWS CloudFormation | StackSets |  AWSControlTowerBP-BASELINE-CLOUDTRAIL(Tidak diterapkan di 3.0 dan yang lebih baru) AWSControlTowerBP\$1BASELINE\$1SERVICE\$1LINKED\$1ROLE (Deployed in 3.2 and later) AWSControlTowerBP-BASELINE-CLOUDWATCH AWSControlTowerBP-BASELINE-CONFIG AWSControlTowerBP-BASELINE-ROLES AWSControlTowerBP-BASELINE-SERVICE-ROLES AWSControlTowerBP-SECURITY-TOPICS AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED AWSControlTowerLoggingResources AWSControlTowerSecurityResources AWSControlTowerExecutionRole  | 
| AWS Service Catalog | Produk | AWS Control Tower Account Factory | 
| AWS Config | Agregator | aws-controltower-ConfigAggregatorForOrganizations | 
| AWS CloudTrail | Jejak | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch Log | aws-controltower/CloudTrailLogs | 
| AWS Identity and Access Management | Peran | AWSControlTowerAdmin AWSControlTowerStackSetRole AWSControlTowerCloudTrailRolePolicy | 
| AWS Identity and Access Management | Kebijakan | AWSControlTowerServiceRolePolicy AWSControlTowerAdminPolicy AWSControlTowerCloudTrailRolePolicy AWSControlTowerStackSetRolePolicy | 
| AWS IAM Identity Center | Grup direktori | AWSAccountPabrik AWSAuditAccountAdmins AWSControlTowerAdmins AWSLogArchiveAdmins AWSLogArchiveViewers AWSSecurityAuditors AWSSecurityAuditPowerUsers AWSServiceCatalogAdmins  | 
| AWS IAM Identity Center | Set Izin | AWSAdministratorAccess AWSPowerUserAccess AWSServiceCatalogAdminFullAccess AWSServiceCatalogEndUserAccess AWSReadOnlyAccess AWSOrganizationsFullAccess  | 

**catatan**  
 CloudFormation StackSet `BP_BASELINE_CLOUDTRAIL`Ini tidak digunakan di landing zone versi 3.0 atau yang lebih baru. Namun, itu terus ada di versi sebelumnya dari landing zone, sampai Anda memperbarui landing zone Anda.

## Sumber daya akun arsip log
<a name="log-archive-resources"></a>

Saat Anda mengatur landing zone, AWS sumber daya berikut akan dibuat dalam akun arsip log Anda.


| AWS service | Tipe sumber daya | Nama Sumber Daya | 
| --- | --- | --- | 
| AWS CloudFormation | Tumpukan | StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED- StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerLoggingResources- | 
| AWS Config | Aturan AWS Config | AWSControlTower\$1AWS-GR\$1AUDIT\$1BUCKET\$1PUBLIC\$1READ\$1PROHIBITED AWSControlTower\$1AWS-GR\$1AUDIT\$1BUCKET\$1PUBLIC\$1WRITE\$1PROHIBIT | 
| AWS CloudTrail | Jalan setapak | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch Aturan Acara | aws-controltower-ConfigComplianceChangeEventRule | 
| Amazon CloudWatch | CloudWatch Log | /aws/lambda/aws-controltower-NotificationForwarder | 
| AWS Identity and Access Management | Peran | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole AWSControlTowerExecution | 
| AWS Identity and Access Management | Kebijakan | AWSControlTowerServiceRolePolicy | 
| Layanan Notifikasi Sederhana Amazon | Topik | aws-controltower-SecurityNotifications | 
| AWS Lambda | Aplikasi | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 | 
| AWS Lambda | Fungsi | aws-controltower-NotificationForwarder | 
| Amazon Simple Storage Service | Bucket | aws-controltower-logs-\$1 aws-controltower-s3-access-logs-\$1 | 

## Sumber daya akun audit
<a name="audit-account-resources"></a>

Saat menyiapkan landing zone, AWS sumber daya berikut akan dibuat dalam akun audit Anda.


| AWS service | Tipe sumber daya | Nama sumber daya | 
| --- | --- | --- | 
| AWS CloudFormation | Tumpukan | StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED- StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED- StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH- StackSet-AWSControlTowerBP-BASELINE-CONFIG- StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL- StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES- StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later) StackSet-AWSControlTowerBP-SECURITY-TOPICS- StackSet-AWSControlTowerBP-BASELINE-ROLES- StackSet-AWSControlTowerSecurityResources-\$1 | 
| AWS Config | Agregator | aws-controltower-GuardrailsComplianceAggregator | 
| AWS Config | Aturan AWS Config | AWSControlTower\$1AWS-GR\$1AUDIT\$1BUCKET\$1PUBLIC\$1READ\$1PROHIBITED AWSControlTower\$1AWS-GR\$1AUDIT\$1BUCKET\$1PUBLIC\$1WRITE\$1PROHIBITED | 
| AWS CloudTrail | Jejak | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch Aturan Acara | aws-controltower-ConfigComplianceChangeEventRule | 
| Amazon CloudWatch | CloudWatch Log | /aws/lambda/aws-controltower-NotificationForwarder | 
| AWS Identity and Access Management | Peran | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole aws-controltower-AuditAdministratorRole aws-controltower-AuditReadOnlyRole AWSControlTowerExecution | 
| AWS Identity and Access Management | Kebijakan | AWSControlTowerServiceRolePolicy | 
| Layanan Notifikasi Sederhana Amazon | Topik | aws-controltower-AggregateSecurityNotifications aws-controltower-AllConfigNotifications aws-controltower-SecurityNotifications | 
| AWS Lambda | Fungsi | aws-controltower-NotificationForwarder | 

# Tentang akun anggota
<a name="member-accounts"></a>

Akun anggota adalah akun tempat pengguna Anda melakukan AWS beban kerja mereka. Akun anggota AWS Control Tower dapat dibuat dan disesuaikan dengan berbagai metode, termasuk metode otomatis. Dalam beberapa kasus, Anda dapat membawa yang ada Akun AWS ke AWS Control Tower. Saat akun anggota dibuat atau didaftarkan, akun tersebut harus ada di dalam unit organisasi (OU) yang dibuat di konsol AWS Control Tower, atau terdaftar di AWS Control Tower. Untuk informasi lebih lanjut, lihat topik terkait ini:
+ [Metode penyediaan](https://docs.aws.amazon.com//controltower/latest/userguide/methods-of-provisioning.html)
+ [Menyediakan dan mengelola akun dengan Account Factory](account-factory.md)
+ [Mengotomatiskan tugas di AWS Control Tower](automating-tasks.md)
+ [Memindahkan dan mendaftarkan akun dengan pendaftaran otomatis](account-auto-enrollment.md)
+ [Menyediakan akun dengan AWS Control Tower Account Factory untuk Terraform (AFT)](taf-account-provisioning.md)
+ [AWS Organizations Terminology and Concepts](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) dalam *AWS Organizations User Guide*

**Akun dan kontrol**  
Akun anggota dapat *didaftarkan* di AWS Control Tower, atau akun tersebut dapat *dibuka*. Kontrol berlaku berbeda untuk akun terdaftar dan tidak terdaftar, dan kontrol mungkin berlaku untuk akun di nested OUs berdasarkan warisan.

Untuk informasi tentang sumber daya akun anggota yang dialokasikan AWS Control Tower, lihat. [Pertimbangan Sumber Daya untuk Account Factory](account-factory-considerations.md)

# Berinteraksi dengan akun AWS Control Tower dari AWS Service Catalog
<a name="handle-accounts-with-service-catalog"></a>

Bagian ini menjelaskan cara menangani akun AWS Control Tower Anda dengan kemampuan AWS Service Catalog.

**Topics**
+ [Menyediakan akun di konsol Service Catalog, dengan Account Factory](provision-as-end-user.md)
+ [Mengotomatiskan Penyediaan Akun di AWS Control Tower menurut Service Catalog APIs](automated-provisioning-walkthrough.md)
+ [Memperbarui produk yang disediakan di Service Catalog](update-provisioned-product.md)
+ [Membatalkan pendaftaran akun di Service Catalog](unenroll-with-sc.md)

# Menyediakan akun di konsol Service Catalog, dengan Account Factory
<a name="provision-as-end-user"></a>

 Prosedur berikut menjelaskan cara membuat dan menyediakan akun sebagai pengguna di IAM Identity Center melalui AWS Service Catalog. Prosedur ini juga disebut sebagai *penyediaan akun lanjutan, atau penyediaan* *akun manual*. Secara opsional, Anda mungkin dapat menyediakan akun AWS Control Tower secara terprogram, AWS dengan CLI, dengan Service Catalog APIs, atau dengan AWS Control Tower Account Factory for Terraform (AFT). Anda mungkin dapat menyediakan akun yang disesuaikan di konsol jika sebelumnya Anda telah menyiapkan cetak biru khusus. Untuk informasi selengkapnya tentang kustomisasi, lihat[Kustomisasi akun dengan Kustomisasi Account Factory (AFC)](af-customization-page.md).

**Untuk menyediakan akun secara individual di Account Factory, sebagai pengguna**

1. Masuk dari URL portal pengguna Anda.

1. Dari **aplikasi Anda**, pilih **AWS Akun**.

1. Dari daftar akun, pilih ID akun untuk akun manajemen Anda. ID ini mungkin juga memiliki label, misalnya, **(Manajemen)**. 

1. Dari **AWSServiceCatalogEndUserAccess**, pilih **Konsol manajemen**. Ini membuka Konsol Manajemen AWS untuk pengguna ini di akun ini.

1. Pastikan Anda telah memilih yang benar Wilayah AWS untuk menyediakan akun, yang seharusnya merupakan Wilayah AWS Control Tower Anda.

1. Cari dan pilih **Service Catalog** untuk membuka konsol Service Catalog.

1. Di panel navigasi, pilih **Produk**.

1. Pilih **AWS Control Tower Account Factory**, lalu pilih tombol **Luncurkan produk**. Pilihan ini memulai wizard untuk menyediakan akun baru.

1. Isi informasinya, dan ingatlah hal-hal berikut:
   + **SSOUserEmail** dapat berupa alamat email baru, atau alamat email yang terkait dengan pengguna Pusat Identitas IAM yang ada. Apapun yang Anda pilih, pengguna ini akan memiliki akses administratif ke akun yang Anda sediakan.
   + **AccountEmail**Harus berupa alamat email yang belum dikaitkan dengan file Akun AWS. Jika Anda menggunakan alamat email baru di **SSOUserEmail**, Anda dapat menggunakan alamat email tersebut di sini.

1. Jangan tentukan **TagOptions**dan jangan aktifkan **Pemberitahuan**, jika tidak, akun dapat gagal disediakan. Setelah selesai, pilih **Luncurkan produk**.

1. Tinjau pengaturan akun Anda, lalu pilih **Luncurkan**. Jangan membuat rencana sumber daya, jika tidak, akun akan gagal disediakan.

1. Akun Anda sekarang sedang disediakan. Ini bisa memakan waktu beberapa menit untuk menyelesaikannya. Anda dapat me-refresh halaman untuk memperbarui informasi status yang ditampilkan.
**catatan**  
Hingga lima akun dapat disediakan sekaligus.

# Mengotomatiskan Penyediaan Akun di AWS Control Tower menurut Service Catalog APIs
<a name="automated-provisioning-walkthrough"></a>

AWS Control Tower terintegrasi dengan beberapa AWS layanan lain, seperti AWS Service Catalog. Anda dapat menggunakan APIs untuk membuat dan menyediakan akun anggota Anda di AWS Control Tower, atau untuk mendaftarkan akun anggota yang ada.

**catatan**  
Jika Anda telah memilih keluar dari IAM Identity Center di pengaturan landing zone, nilai yang Anda berikan selama penyediaan akun dengan AWS Service Catalog APIs atau konsol tidak akan digunakan.

Video menunjukkan kepada Anda cara menyediakan akun secara otomatis, secara batch, dengan menelepon AWS Service Catalog APIs. Untuk penyediaan, Anda akan memanggil [https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html)API dari antarmuka baris AWS perintah (CLI), dan Anda akan menentukan file JSON yang berisi parameter untuk setiap akun yang ingin Anda atur. Video menggambarkan menginstal dan menggunakan lingkungan pengembangan [AWS Cloud9](https://docs.aws.amazon.com//cloud9/latest/user-guide/welcome.html) untuk melakukan pekerjaan ini. Perintah CLI akan sama jika Anda menggunakan Cloudshell AWS alih-alih Cloud9. AWS 

**catatan**  
Anda juga dapat menyesuaikan pendekatan ini untuk mengotomatiskan pembaruan akun, dengan memanggil [https://docs.aws.amazon.com//servicecatalog/latest/dg/API_UpdateProvisionedProduct.html](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_UpdateProvisionedProduct.html)API AWS Service Catalog untuk setiap akun. Anda dapat menulis skrip untuk memperbarui akun, satu per satu.

Sebagai metode otomatisasi yang sama sekali berbeda, jika Anda terbiasa dengan Terraform, Anda dapat [menyediakan akun dengan AWS Control Tower Account Factory for Terraform](taf-account-provisioning.md) (AFT).

**Contoh peran administrasi otomatisasi**

Berikut adalah contoh templat yang dapat Anda gunakan untuk membantu mengonfigurasi peran administrasi otomatisasi Anda di akun manajemen. Anda akan mengonfigurasi peran ini di akun manajemen Anda sehingga dapat melakukan otomatisasi dengan akses Administrator di akun target.

```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the SampleAutoAdminRole

Resources:
  AdministrationRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: SampleAutoAdminRole
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              Service: cloudformation.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: AssumeSampleAutoAdminRole
          PolicyDocument:
            Version: 2012-10-17		 	 	 
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - "arn:aws:iam::*:role/SampleAutomationExecutionRole"
```

**Contoh peran eksekusi otomatisasi**

Berikut adalah contoh template yang dapat Anda gunakan untuk membantu Anda mengatur peran eksekusi otomatisasi Anda. Anda akan mengonfigurasi peran ini di akun target.

```
AWSTemplateFormatVersion: "2010-09-09"
Description: "Create automation execution role for creating Sample Additional Role."

Parameters:
  AdminAccountId:
    Type: "String"
    Description: "Account ID for the administrator account (typically management, security or shared services)."
  AdminRoleName:
    Type: "String"
    Description: "Role name for automation administrator access."
    Default: "SampleAutomationAdministrationRole"
  ExecutionRoleName:
    Type: "String"
    Description: "Role name for automation execution."
    Default: "SampleAutomationExecutionRole"
  SessionDurationInSecs:
    Type: "Number"
    Description: "Maximum session duration in seconds."
    Default: 14400

Resources:
  # This needs to run after AdminRoleName exists.
  ExecutionRole:
    Type: "AWS::IAM::Role"
    Properties:
      RoleName: !Ref ExecutionRoleName
      MaxSessionDuration: !Ref SessionDurationInSecs
      AssumeRolePolicyDocument:
        Version: "2012-10-17"		 	 	 
        Statement:
          - Effect: "Allow"
            Principal:
              AWS:
                - !Sub "arn:aws:iam::${AdminAccountId}:role/${AdminRoleName}"
            Action:
              - "sts:AssumeRole"
      Path: "/"
      ManagedPolicyArns:
        - "arn:aws:iam::aws:policy/AdministratorAccess"
```

Setelah mengonfigurasi peran ini, Anda memanggil AWS Service Catalog APIs untuk melakukan tugas otomatis. Perintah CLI diberikan dalam video.

## Contoh masukan penyediaan untuk Service Catalog API
<a name="sample-sc-api-input"></a>

Berikut adalah contoh masukan yang dapat Anda berikan ke Service Catalog `ProvisionProduct` API jika Anda menggunakan API untuk menyediakan akun AWS Control Tower baru atau mendaftarkan akun anggota yang ada:

**catatan**  
Untuk mendaftarkan akun anggota yang ada menggunakan `ProvisionProduct` API, peran `AWSControlTowerExecution` IAM harus ada di akun target sebelum Anda memanggil API. Anda dapat menggunakan parameter input yang sama yang ditunjukkan dalam contoh berikut untuk penyediaan akun baru dan pendaftaran akun yang sudah ada.

```
{
  pathId: "lpv2-7n2o3nudljh4e",
  productId: "prod-y422ydgjge2rs",
  provisionedProductName: "Example product 1",
  provisioningArtifactId: "pa-2mmz36cfpj2p4",
  provisioningParameters: [
    {
      key: "AccountEmail",
      value: "abc@amazon.com"
    },
    {
      key: "AccountName",
      value: "ABC"
    },
    {
      key: "ManagedOrganizationalUnit",
      value: "Custom (ou-xfe5-a8hb8ml8)"
    },
    {
      key: "SSOUserEmail",
      value: "abc@amazon.com"
    },
    {
      key: "SSOUserFirstName",
      value: "John"
    },
    {
      key: "SSOUserLastName",
      value: "Smith"
    }
  ],
  provisionToken: "c3c795a1-9824-4fb2-a4c2-4b1841be4068"
}
```

Untuk informasi selengkapnya, lihat [referensi API untuk Service Catalog](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html).

**catatan**  
Perhatikan bahwa format string input untuk nilai `ManagedOrganizationalUnit` telah berubah dari `OU_NAME` ke`OU_NAME (OU_ID)`. Video berikut tidak menyebutkan perubahan ini.

## Panduan Video
<a name="automated-provisioning-video"></a>

Video ini (6:58) menjelaskan cara mengotomatiskan penerapan akun di AWS Control Tower. Untuk tampilan yang lebih baik, pilih ikon di sudut kanan bawah video untuk memperbesarnya ke layar penuh. Captioning tersedia.

[![AWS Videos](http://img.youtube.com/vi/LxxQTPdSFgw/0.jpg)](http://www.youtube.com/watch?v=LxxQTPdSFgw)


# Memperbarui produk yang disediakan di Service Catalog
<a name="update-provisioned-product"></a>

Prosedur berikut memandu Anda melalui cara memperbarui akun Anda di Account Factory atau memindahkannya ke OU baru, dengan memperbarui produk yang disediakan akun di Service Catalog.

**catatan**  
Jika Anda telah memilih keluar dari IAM Identity Center di pengaturan landing zone, nilai yang Anda berikan selama penyediaan akun dengan AWS Service Catalog APIs atau konsol tidak akan digunakan.

**Untuk memperbarui akun Account Factory atau mengubah OU melalui Service Catalog**

1. Masuk ke AWS Management Console, dan buka AWS Service Catalog konsol di [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/). 
**catatan**  
Anda harus masuk sebagai pengguna dengan izin untuk menyediakan produk baru di Service Catalog (misalnya, pengguna IAM Identity Center di `AWSAccountFactory` atau `AWSServiceCatalogAdmins` grup).

1. **Di panel navigasi, pilih **Provisioning, lalu pilih Provisioned** products.**

1.  Untuk setiap akun anggota yang terdaftar, lakukan langkah-langkah berikut untuk memperbarui semua akun anggota:

   1. Pilih akun anggota. Anda diarahkan ke halaman *detail produk yang disediakan* untuk akun tersebut.

   1. Pada halaman *Detail produk yang disediakan*, pilih tab **Acara**.

   1. Catat parameter berikut:
      +  **SSOUserEmail** (Tersedia dalam detail produk yang disediakan)
      +  **AccountEmail**(Tersedia dalam detail produk yang disediakan)
      +  **SSOUserFirstName**(Tersedia di Pusat Identitas IAM) 
      +  **SSOUSerLastName**(Tersedia di Pusat Identitas IAM) 
      +  **AccountName**(Tersedia di Pusat Identitas IAM) 

   1. Dari **Tindakan**, pilih **Perbarui**.

   1. Pilih tombol di sebelah **Versi** produk yang ingin Anda perbarui, dan pilih **Berikutnya**.

   1. Berikan nilai parameter yang disebutkan sebelumnya.
      + Jika Anda ingin menyimpan OU yang ada, untuk **ManagedOrganizationalUnit**, pilih OU yang sudah ada di akun tersebut.
      + Jika Anda ingin memigrasikan akun ke OU baru, untuk **ManagedOrganizationalUnit**, pilih OU baru untuk akun tersebut.

       Administrator cloud pusat dapat menemukan informasi ini di konsol AWS Control Tower, di halaman **Organisasi**.

   1. Pilih **Berikutnya**.

   1. Tinjau perubahan Anda, lalu pilih **Perbarui**. Proses ini dapat memakan waktu beberapa menit per akun.

# Membatalkan pendaftaran akun di Service Catalog
<a name="unenroll-with-sc"></a>

 Membatalkan pendaftaran akun dapat dilakukan di konsol Service Catalog oleh pengguna IAM Identity Center di `AWSAccountFactory` grup, dengan menghentikan Produk yang Disediakan. Untuk informasi selengkapnya tentang pengguna atau grup Pusat Identitas IAM, lihat [Mengelola pengguna dan mengakses melalui AWS IAM Identity Center](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html). Prosedur berikut menjelaskan cara membuka pendaftaran akun anggota di Service Catalog.

**Untuk membatalkan pendaftaran akun yang terdaftar melalui Service Catalog**

1. Buka konsol Service Catalog di browser web Anda di[https://console.aws.amazon.com/servicecatalog](https://console.aws.amazon.com/servicecatalog).

1. Di panel navigasi kiri, pilih Daftar produk yang **disediakan.**

1. Dari daftar akun yang disediakan, pilih nama akun yang ingin AWS Control Tower tidak lagi dikelola.

1. **Pada halaman **Detail produk yang disediakan**, dari menu **Tindakan**, pilih Hentikan.**

1. Dari kotak dialog yang muncul, pilih **Hentikan.**
**penting**  
Kata *terminate* khusus untuk Service Catalog. Ketika Anda mengakhiri akun di Service Catalog Account Factory, akun tersebut tidak ditutup. Tindakan ini menghapus akun dari OU dan landing zone Anda.

1.  Ketika akun telah dibuka, statusnya berubah menjadi **Tidak** Terdaftar.

1. Jika Anda tidak lagi membutuhkan akun, tutuplah. Untuk informasi selengkapnya tentang menutup AWS akun, lihat [Menutup akun](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) di *Panduan AWS Billing Pengguna*

**catatan**  
Tunggu status akun ditampilkan **Tidak terdaftar**.