本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 账户 在 AWS Control Tower 中简介
AWS 账户 是您拥有的所有资源的容器。这些资源包括账户接受的 AWS Identity and Access Management (IAM) 身份,这些身份决定了谁有权访问该账户。IAM 身份可以包括用户、组、角色等。有关在 AWS Control Tower 中使用 IAM 用户、角色和策略的更多信息,请参阅 Identity and access management in AWS Control Tower。
资源和账户创建时间
在 AWS Control Tower 创建或注册账户时,会部署该账户所需的最低资源配置。例如,它可能包括 Acco unt Factory 模板形式的资源和着陆区中的其他资源,例如 IAM 角色、 AWS CloudTrail 跟踪、S ervice Catalog 预配置产品和 IAM Identity Center 用户。AWS Control Tower 还根据控制配置的要求,为其中新账户将成为成员账户的组织单元(OU)部署资源。
AWS Control Tower 代表您编排这些资源的部署。每项资源可能需要几分钟才能完成部署,因此请考虑创建或注册账户之前的总时间。有关管理账户中的资源的更多信息,请参阅 关于创建和修改 AWS Control Tower 资源的指南。
AWS Control Tower 创建账户时会发生什么情况
AWS Control Tower 中的新账户是通过 AWS Control Tower、 AWS Organizations、和之间的交互创建和 AWS Service Catalog配置的。您可以从 AWS Control Tower 控制台创建账户和注册现有账户。有关 AWS 账户 使用 AWS Control Tower 控制台注册现有控制台的详细步骤,请参阅从 AWS Control Tower 控制台注册现有账户。
账户创建的后台操作
-
例如,您可以从 AWS Control Tower Account Factory 页面发起请求,或者直接从 AWS Service Catalog 控制台发起请求,或者通过调用 Service Catalog
ProvisionProductAPI 发起请求。 -
AWS Service Catalog 致电 AWS Control Tower。
-
AWS Control Tower 启动了一个工作流程,该工作流程作为第一步调用 AWS Organizations
CreateAccountAPI。 -
AWS Organizations 创建账户后,AWS Control Tower 通过应用蓝图和控制来完成配置过程。
-
Service Catalog 继续对 AWS Control Tower 进行轮询,以检查预置过程是否已完成。
-
AWS Control Tower 中的工作流完成后,Service Catalog 最终确定账户的状态并将结果通知您(请求者)。
引入现有安全账户或日志记录账户方面的注意事项
在接受 AWS 账户 作为安全(默认名称:审计)或日志记录(默认名称:日志档案)账户之前,AWS Control Tower 会检查该账户中是否存在与 AWS Control Tower 要求相冲突的资源。例如,您可能有一个与 AWS Control Tower 要求的名称相同的日志记录存储桶。此外,AWS Control Tower 还会验证账户是否可以配置资源;例如,通过确保启用 AWS Security Token Service (AWS STS)、账户未被暂停以及 AWS Control Tower 有权在账户内配置资源。
AWS Control Tower 不会移除您提供的日志记录和安全账户中的任何现有资源。但是,如果您选择启用它,则 AWS Control Tower 区域拒绝控件会阻止对被拒绝区域中的资源进行访问。
