Mova e registre contas com inscrição automática
O atributo de inscrição automática da conta está disponível para zonas de pouso da versão 3.1 e superior.
Se você habilitar opcionalmente esse atributo, poderá utilizar as APIs do AWS Organizations e o console para mover contas para o AWS Control Tower, sem criar um desvio de herança. A conta recebe automaticamente os recursos de linha de base e as configurações de controle da unidade organizacional (UO) de destino no AWS Control Tower. Esse recurso opcional também permite mover contas entre UOs dentro do AWS Control Tower, sem criar um desvio de herança, se as duas UOs tiverem a mesma configuração de linha de base e os mesmos controles habilitados.
Para ativar a inscrição automática: você pode selecionar a inscrição automática de contas na página de configurações da zona de pouso no console do AWS Control Tower ou chamando o AWS Control Tower CreateLandingZone ou as APIs UpdateLandingZone, com o valor do parâmetro RemediationType definido como Inheritance Drift.
Para aplicar a inscrição automática: depois de selecionar essa opção na sua página de configurações, você pode mover uma conta por meio do console do AWS Organizations, da API MoveAccount do AWS Organizations ou do console do AWS Control Tower.
Para cancelar o registro de uma conta com inscrição automática: se você mover uma conta para fora de uma UO registrada, o AWS Control Tower removerá automaticamente todos os recursos e controles básicos implantados.
nota
Se as UOs de origem e destino no AWS Control Tower tiverem configurações diferentes, a conta poderá apresentar desvios Conta de membro migrada.
Pré-requisitos: configurar para inscrição automática
-
É preciso executar a zona de pouso do AWS Control Tower versão 3.1 ou posterior.
-
Opte pelo recurso de inscrição automática do AWS Control Tower por meio da página de configurações da zona de pouso no console ou por meio das APIs da zona de pouso do AWS Control Tower, definindo o valor do parâmetro
RemediationTypescomoInheritance Drift. Quando você se inscreve, o AWS Control Tower reage aos eventosmove accountpara AWS Organizations e corrige imediatamente o desvio de herança das contas movidas, em seu nome.
Permissões obrigatórias
Funções e permissões específicas são necessárias para que você use a API CreateAccount do AWS Organizations e a API MoveAccount. Consulte mais informações sobre o AWS Organizations com o AWS Control Tower em AWS Control Tower e AWS Organizations.
Exemplos de uso de API
Para obter mais informações e exemplos sobre essas APIs, consulte CreateAccount e MoveAccount na Referência da API do AWS Organizations.
Considerações
-
Cronograma de inscrição: uma conta transferida para uma UO registrada no AWS Control Tower é cadastrada com um modelo de consistência eventual. Esse processo normalmente leva alguns minutos, até várias horas, dependendo do número de contas que estão sendo movidas.
-
Processo de cancelamento de inscrição: você pode usar o mesmo processo para cancelar o registro de suas contas no AWS Control Tower, movendo-as para uma UO fora do AWS Control Tower. Esse processo remove todas as funções e recursos implantados pelo AWS Control Tower e todos os controles habilitados no AWS Control Tower.
