View a markdown version of this page

Konten mit automatischer Registrierung verschieben und registrieren - AWS Control Tower
Voraussetzungen: Für automatische Registrierung konfigurierenErforderliche BerechtigungenBeispiele für die API-NutzungÜberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konten mit automatischer Registrierung verschieben und registrieren

Die Funktion zur automatischen Kontoregistrierung ist für Landezonen der Version 3.1 und höher verfügbar.

Wenn Sie diese Funktion optional aktivieren, können Sie die AWS Organizations APIs und die Konsole verwenden, um Konten in den AWS Control Tower zu verschieben, ohne dass es zu Vererbungsabweichungen kommt. Das Konto erhält automatisch Basisressourcen und Kontrollkonfigurationen von der Zielorganisationseinheit (OU) in AWS Control Tower. Diese optionale Funktion ermöglicht es Ihnen auch, Konten zwischen Organisationseinheiten innerhalb von AWS Control Tower zu verschieben, ohne dass es zu Vererbungsabweichungen kommt, wenn für die beiden Organisationseinheiten dieselbe Basiskonfiguration und dieselben Kontrollen aktiviert sind.

Um die automatische Registrierung zu aktivieren: Sie können die automatische Registrierung von Konten auf der Seite mit den Landingzone-Einstellungen in der AWS Control Tower-Konsole oder durch Aufrufen des AWS Control Tower oder der UpdateLandingZone APIs auswählen, wobei der Wert des CreateLandingZone RemediationType Parameters auf Inheritance Drift gesetzt ist.

Um Konten zu registrieren: Nachdem Sie die automatische Registrierung aktiviert haben, verschieben Sie ein Konto mithilfe der Konsole, der AWS Organizations MoveAccount API oder der AWS Control Tower AWS Organizations Tower-Konsole in eine registrierte Organisationseinheit. Das Konto erhält automatisch Basisressourcen und Kontrollen von dieser Organisationseinheit. Dies gilt sowohl für bestehende Konten als auch für neu erstellte Konten (die standardmäßig im Stammverzeichnis der Organisation erstellt werden).

Um ein Konto abzumelden: Verschieben Sie das Konto in eine Organisationseinheit, die nicht bei AWS Control Tower registriert ist, oder in das Stammverzeichnis der Organisation. AWS Control Tower entfernt automatisch alle bereitgestellten Basisressourcen und Kontrollen.

Anmerkung

Wenn die Quell- und Ziel-Organisationseinheiten in AWS Control Tower unterschiedlich konfiguriert sind, weist das Konto möglicherweise Mitgliedskonto wurde verschoben Abweichungen auf.

Voraussetzungen: Für automatische Registrierung konfigurieren

  • Sie müssen AWS Control Tower landing zone Version 3.1 oder höher ausführen.

  • Entscheiden Sie sich für die automatische Registrierung von AWS Control Tower über die Landingzone-Einstellungsseite in der Konsole oder über die AWS Control Tower Tower-Landingzone-APIs, indem Sie den Wert des RemediationTypes Parameters auf setzen. Inheritance Drift Wenn Sie sich angemeldet haben, reagiert AWS Control Tower in Ihrem Namen auf move account Ereignisse für AWS Organizations und behebt die Vererbungsabweichung für die verschobenen Konten sofort.

Erforderliche Berechtigungen

Für die Verwendung der API und der AWS Organizations CreateAccount API sind bestimmte Rollen und MoveAccount Berechtigungen erforderlich. Weitere Informationen zur Verwendung AWS Organizations mit AWS Control Tower finden Sie unter AWS Control Tower und AWS Organizations.

Beispiele für die API-Nutzung

Weitere Informationen und Beispiele zu diesen APIs finden Sie unter CreateAccountund MoveAccountin der AWS Organizations API-Referenz.

Überlegungen

  • Zeitplan für die Registrierung: Ein Konto, das in eine Organisationseinheit verschoben wurde, die bei AWS Control Tower registriert ist, wird mit einem eventuellen Konsistenzmodell registriert. Dieser Vorgang dauert in der Regel einige Minuten bis zu mehreren Stunden, abhängig von der Anzahl der Konten, die verschoben werden.

  • AWS Von Service Catalog bereitgestellte Produkte: Auto-enrollment erstellt, ändert oder beendet keine von AWS Service Catalog bereitgestellten Produkte. Wenn ein Konto zuvor über Account Factory registriert wurde und über ein zugeordnetes bereitgestelltes Produkt verfügt, verbleibt dieses bereitgestellte Produkt nach der Deregistrierung des Kontos im Verwaltungskonto. Informationen zum Bereinigen verwaister bereitgestellter Produkte finden Sie unter Löschen bereitgestellter Produkte im AWS Service Catalog-Benutzerhandbuch.