本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Account Factory 预置和管理账户
<a name="account-factory"></a>

**注意**  
单个账户的配置、更新和自定义必须针对 AWSControlTowerBaseline 已启用的组织单位 (OU)。如果 OU 未 AWSControlTowerBaseline 启用，则可以激活账户自动注册功能，也可以使用该 OU ResetEnabledControl APIs 上的 an ResetEnabledBaseline d on an EnabledBaselines d EnabledControls and and 来注册账户。有关详细信息 AWSControlTowerBaseline，请参阅：[适用于 OU 级别的基准类型](types-of-baselines.md#ou-baseline-types)。

 本章包含在 AWS Control Tower 登录区中使用 Account Factory 预置新成员账户的概述和步骤。

## 用于配置和预置账户的权限
<a name="configure-provision-new-account"></a>

AWS Control Tower Account Factory 允许云管理员和用户在 AWS IAM Identity Center 您的着陆区配置账户。默认情况下，预置账户的 IAM Identity Center 用户必须位于 `AWSAccountFactory` 组或管理组中。

**注意**  
使用管理账户时请务必谨慎，就像使用在整个组织中具有权限的任何账户一样。

AWS Control Tower 管理账户与 `AWSControlTowerExecution` 角色具有信任关系，这样可以从管理账户进行账户设置，包括一些自动化账户设置。有关 `AWSControlTowerExecution` 角色的更多信息，请参阅[角色和账户](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html)。

**注意**  
要 AWS 账户 将现有账户注册到 AWS Control Tower，该账户必须启用该`AWSControlTowerExecution`角色。有关如何注册现有账户的更多信息，请参阅[关于注册现有账户](enroll-account.md)。

有关权限的更多信息，请参阅 [预置账户所需的权限](provision-and-manage-accounts.md#permissions)。

## 在 Account Factory 中管理账户的注意事项
<a name="closing-and-repurposing"></a>

 您可以通过 Account Factory 更新、取消注册和关闭您创建和预置的账户。您可以通过更新想要重新调整用途的账户中的用户参数来回收利用账户。您也可以更改账户的组织单元（OU）。

**注意**  
 在更新与 Account Factory 出售的账户关联的预配置产品时，如果您为其指定新的用户电子邮件地址 AWS IAM Identity Center，AWS Control Tower 将在 IAM 身份中心创建一个新用户。之前创建的账户不会被删除。有关从 IAM Identity Center 中删除以前的 IAM Identity Center 用户电子邮件地址的信息，请参阅[禁用用户](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html)。