Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Aprovisionamiento y administración de cuentas con el generador de cuentas
**nota**
El aprovisionamiento, la actualización y la personalización de una sola cuenta deben dirigirse a una unidad organizativa (OU) que AWSControl TowerBaseline esté habilitada. Si una OU no tiene AWSControl TowerBaseline habilitada la OU, puede activar la inscripción automática de la cuenta o utilizar ResetEnabledBaseline y ResetEnabledControl APIs EnabledControls activar EnabledBaselines y cerrar esa OU para inscribir cuentas. Para obtener más información sobre AWSControlTowerBaseline, consulte:[Tipos de referencia que se aplican a nivel de unidad organizativa](types-of-baselines.md#ou-baseline-types).
En este capítulo se incluye información general y procedimientos para el aprovisionamiento de cuentas de nuevos miembros en una zona de aterrizaje de AWS Control Tower con el generador de cuentas.
## Permisos para configurar y aprovisionar cuentas
AWS Control Tower Account Factory permite a los administradores y usuarios de la nube AWS IAM Identity Center aprovisionar cuentas en su landing zone. De forma predeterminada, los usuarios de IAM Identity Center que aprovisionan cuentas deben estar en el grupo `AWSAccountFactory` o en el grupo de administración.
**nota**
Tenga cuidado cuando trabaje desde la cuenta de administración, como lo haría al usar una cuenta con permisos en toda la organización.
La cuenta de administración de AWS Control Tower tiene una relación de confianza con el rol `AWSControlTowerExecution`, que permite la configuración de la cuenta desde la cuenta de administración, incluida la configuración automática de la cuenta. Para obtener más información sobre el rol `AWSControlTowerExecution`, consulte [Roles y cuentas](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html).
**nota**
Para inscribir una Cuenta de AWS cuenta existente en AWS Control Tower, esa cuenta debe tener el `AWSControlTowerExecution` rol habilitado. Para obtener más información acerca de cómo inscribir una cuenta existente, consulte [Acerca de la inscripción de cuentas existentes](enroll-account.md).
Para obtener más información sobre los permisos, consulte [Permisos necesarios para el aprovisionamiento de cuentas](provision-and-manage-accounts.md#permissions).
## Consideraciones sobre la administración de cuentas en el generador de cuentas
Puede actualizar, anular la inscripción y cerrar las cuentas que cree y aprovisione a través del generador de cuentas. Puede reciclar las cuentas actualizando los parámetros de usuario de las cuentas que desee reutilizar. También puede cambiar la unidad organizativa (OU) de una cuenta.
**nota**
Al actualizar un producto aprovisionado que está asociado a una cuenta que vende Account Factory, si especifica una nueva dirección de correo electrónico de usuario AWS IAM Identity Center, AWS Control Tower crea un nuevo usuario en el IAM Identity Center. No se elimina la cuenta creada anteriormente. Para obtener información sobre cómo eliminar la dirección de correo electrónico del usuario anterior de IAM Identity Center, consulte [Disabling a User](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html).
# Actualización y movimiento de cuentas con AWS Control Tower
La forma más sencilla de actualizar una cuenta inscrita es a través de la consola de AWS Control Tower. Las actualizaciones de cuentas individuales son útiles para resolver desviaciones, como [Cuenta de miembro movida](governance-drift.md#drift-account-moved). Las actualizaciones de cuentas también son obligatorias como parte de una actualización completa de la zona de aterrizaje.
## Actualización de la cuenta en la consola
**Actualización de una cuenta en la consola de AWS Control Tower**
1. Cuando haya iniciado sesión en AWS Control Tower, vaya a la página **Organización**.
1. En la lista de cuentas OUs y, seleccione el nombre de la cuenta que desee actualizar. Las cuentas que están disponibles para su actualización muestran el estado de **Actualización disponible**.
1. A continuación, verá la página **Detalles de la cuenta** de la cuenta seleccionada.
1. En la parte superior derecha, seleccione **Actualizar cuenta**.
Si migra una cuenta de una unidad organizativa (OU) a otra, recuerde que los controles aplicados por la nueva OU pueden ser diferentes a los de la OU anterior. Asegúrese de que los controles de la nueva OU cumplen los requisitos de la política para la cuenta.
Las cuentas de AWS Control Tower se modifican de forma diferente en función de si ha optado por la inscripción automática de cuentas o no. Para obtener más información sobre inscripción automática, consulte [Si lo desea, configure la inscripción automática de cuentas](configure-auto-enroll.md).
**Controle el comportamiento cuando las cuentas se mueven de una cuenta a otra OUs, con la inscripción automática habilitada**
Cuando mueve una cuenta a una nueva UO, AWS Control Tower aplica a la cuenta las líneas de base y los controles habilitados de la UO. Se eliminan los controles y las líneas de base de la UO anterior. Si mueve una cuenta fuera de una UO que está registrada, AWS Control Tower elimina todas las líneas de base y los controles implementados.
**Controle el comportamiento cuando se transfieren cuentas OUs, sin inscripción automática**
Al mover una cuenta de otra a otra OUs, los controles de la unidad organizativa de destino se aplican a la cuenta. Sin embargo, los controles que se aplicaban a la cuenta de la OU anterior no se eliminan. El comportamiento exacto de los controles es específico de la implementación de los controles que están activos en la OU anterior y en la OU de destino.
+ *Para los controles implementados con AWS Config reglas:* los controles de la OU anterior no se eliminan. Estos controles se deben eliminar manualmente.
+ *Para los controles implementados con SCPs:* Los controles basados en SCP de la OU anterior son eliminado. Los controles basados en SCP de la OU de destino surten efecto en esta cuenta.
+ *Para controles implementados con enlaces de CloudFormation :* este comportamiento depende del estado de los controles de la nueva OU.
+ *Si la OU de destino no tiene ningún control basado en enlaces activo:* los controles antiguos permanecen activos en la cuenta que se ha migrado, a menos que los elimine manualmente.
+ *Si la OU de destino tiene controles de enlace activos:* los controles anteriores se eliminan y los controles de la OU de destino se aplican a la cuenta.
# Cambio de la dirección de correo electrónico de una cuenta inscrita
Para cambiar la dirección de correo electrónico de una cuenta de miembro inscrita en AWS Control Tower, siga el procedimiento de esta sección.
**nota**
El siguiente procedimiento no le permite cambiar la dirección de correo electrónico de una **cuenta de administración**, una **cuenta del archivo de registro** o una **cuenta de auditoría**. Para obtener más información al respecto, consulta [¿Cómo cambio la dirección de correo electrónico asociada a mi AWS cuenta?](https://aws.amazon.com//premiumsupport/knowledge-center/change-email-address/) o ponte en contacto con AWS Support.
**Cambio de la dirección de correo electrónico de una cuenta creada por AWS Control Tower**
1. Recupere la contraseña de usuario raíz de la cuenta. Puedes seguir los pasos del artículo [¿Cómo recupero una AWS contraseña perdida u olvidada?](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/)
1. Inicie sesión en la cuenta con la contraseña de usuario raíz.
1. Cambia la dirección de correo electrónico como lo harías con cualquier otra Cuenta de AWS y espera a que el cambio se refleje AWS Organizations. Es posible que experimente un retraso mientras se actualiza el cambio de dirección de correo electrónico.
1. Actualice el producto aprovisionado en Service Catalog con la dirección de correo electrónico que anteriormente pertenecía a la cuenta. El proceso de actualización del producto aprovisionado incluye asociar la nueva dirección de correo electrónico al producto aprovisionado. De esta forma, el cambio de dirección de correo electrónico se aplicará en AWS Control Tower. Utilice la nueva dirección de correo electrónico para actualizar los productos aprovisionados posteriormente.
Para cambiar la contraseña o la dirección de correo electrónico de una cuenta de miembro que haya creado con AWS Organizations, consulte [Accessing a member account as the root user](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root) en la *Guía del usuario de AWS Organizations *.
Como alternativa, puedes actualizar la dirección de correo electrónico de una cuenta de Account Factory u otra cuenta de miembro desde la AWS Organizations consola sin iniciar sesión como usuario root. Para obtener más información, consulte [Updating the root user email address for a member account with AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html) en la *Guía del usuario de AWS Organizations *.
# Cambio de nombre de una cuenta inscrita
Siga el procedimiento de esta sección para cambiar el nombre de una cuenta de AWS Control Tower inscrita.
**nota**
Para cambiar el nombre de una cuenta de AWS *administrador*, debes tener permisos de administrador y haber iniciado sesión como usuario raíz de la cuenta.
**Para cambiar el nombre de una cuenta creada por AWS Control Tower, mediante una AWS Organizations consola o APIs**
+ Siga las [instrucciones disponibles](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs) en la *Guía de referencia de administración de cuentas de AWS *.
**Métodos alternativo para cambiar el nombre de una cuenta creada por AWS Control Tower**
1. Recupere la contraseña raíz de la cuenta. Puede seguir los pasos descritos en este artículo, [¿Cómo recupero una AWS contraseña perdida u olvidada?](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/)
1. Inicie sesión en la cuenta con la contraseña raíz.
1. En la AWS Billing consola, dirígete a la página de **configuración de la cuenta**.
1. Cambie el nombre en **Configuración de la cuenta** como lo haría con cualquier otra Cuenta de AWS.
1. AWS Control Tower se actualiza automáticamente para reflejar el cambio de nombre. Esta actualización no se reflejará en el producto aprovisionado en AWS Service Catalog.
# Configuración del generador de cuentas con los ajustes de Amazon Virtual Private Cloud
El generador de cuentas permite crear referencias preaprobadas y opciones de configuración de cuentas de su organización. Puede configurar y aprovisionar nuevas cuentas a través de AWS Service Catalog.
En la página Account Factory, puedes ver una lista de unidades organizativas (OUs) y su estado en la **lista de permitidos**. De forma predeterminada, todas OUs están en la lista de permitidos, lo que significa que las cuentas se pueden aprovisionar en ellas. Puedes inhabilitar algunas de ellas OUs para el aprovisionamiento de cuentas a través de. AWS Service Catalog
Puede ver las opciones de configuración de Amazon VPC disponibles para los usuarios finales cuando aprovisionan nuevas cuentas.
**Configuración de los ajustes de Amazon VPC en el generador de cuentas**
1. Como administrador de la nube central, inicie sesión en la consola de AWS Control Tower con permisos de administrador en la cuenta de administración.
1. En el lado izquierdo del panel, seleccione **Generador de cuentas** para ir a la página de configuración de red del generador de cuentas. Aquí puede ver la configuración de red predeterminada. Para editar, seleccione **Editar** y vea la versión editable de las opciones de configuración de la red del generador de cuentas.
1. Puede modificar cada campo de la configuración predeterminada según sea necesario. Elija las opciones de configuración de VPC que desea establecer para todas las cuentas nuevas del generador de cuentas que sus usuarios finales puedan crear e introduzca su configuración en los campos.
+ Elija **inhabilitada** o **habilitada** para crear una subred pública en Amazon VPC. De forma predeterminada, la subred accesible a través de Internet está inhabilitada.
**nota**
Si establece la configuración de VPC de Account Factory para que las subredes públicas estén **habilitadas** al aprovisionar una cuenta nueva, Account Factory configura Amazon VPC para crear una [gateway NAT](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-nat-gateway.html). Amazon VPC le facturará por su uso. Para obtener más información, consulte [Precios de VPC](https://aws.amazon.com//vpc/pricing/).
+ Elija en la lista el número máximo de subredes privadas en Amazon VPC. De forma predeterminada, se selecciona 1. El número máximo de subredes privadas permitidas es de 2 por zona de disponibilidad.
+ Introduce el rango de direcciones IP para crear tu cuenta VPCs. El valor debe tener la forma de bloque de enrutamiento entre dominios sin clase (CIDR) (por ejemplo, `172.31.0.0/16` es el predeterminado). Este bloque de CIDR proporciona el rango general de direcciones IP de subred para la VPC que el generador de cuentas crea para su cuenta. Dentro de su VPC, las subredes se asignan automáticamente desde el rango que especifique y tienen el mismo tamaño. De forma predeterminada, las subredes de la VPC no se solapan. Sin embargo, los intervalos de direcciones IP de subred VPCs de todas las cuentas aprovisionadas podrían superponerse.
+ Elija una región o todas las regiones para crear una VPC cuando se aprovisione una cuenta. De forma predeterminada, se seleccionan todas las regiones disponibles.
+ En la lista, seleccione el número de zonas de disponibilidad para las que configurar subredes en cada VPC. El número predeterminado y recomendado es 3.
+ Seleccione **Save**.
Puede establecer estas opciones de configuración para crear nuevas cuentas que no incluyan una VPC. Consulte la [explicación](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).
# Anulación de la inscripción de una cuenta
Si creó una cuenta en Account Factory o inscribió una Cuenta de AWS y ya no desea que AWS Control Tower administre la cuenta en una zona de aterrizaje, puede *anular la inscripción* de la cuenta desde la consola de AWS Control Tower.
Al anular la inscripción de una cuenta de AWS Control Tower, se eliminan todos los recursos aprovisionados por AWS Control Tower, incluidos los controles y esquemas. La cuenta se migra de cualquier OU de AWS Control Tower al área **raíz**. La cuenta ya no forma parte de una unidad organizativa registrada y ya no está sujeta a AWS Control Tower SCPs. Puede cerrar la cuenta a través de AWS Organizations.
**Cómo anular la inscripción de una cuenta inscrita desde la consola de AWS Control Tower**
1. Abra la consola de AWS Control Tower en el navegador web en [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower)
1. En el panel de navegación izquierdo, elija **Organización**.
1. En la página **Organización**, expanda la UO que contiene la cuenta seleccionando el botón **\$1** situado junto a la UO.
1. Seleccione la cuenta y, a continuación, elija **Anular la administración**.
**nota**
Espere a que el estado de la cuenta muestre **No inscrita**.
Si ya no necesita la cuenta, ciérrela. Para obtener más información sobre el cierre de cuentas de AWS , consulte [Closing an account](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) en la *Guía del usuario de AWS Billing *.
**Cancelación de la inscripción de una cuenta cuando la inscripción automática está activa**
Si la función de inscripción automática está activa en la página **Configuración**, también puede anular la inscripción de una cuenta moviéndola a una UO que no esté registrada en AWS Control Tower. Se eliminan todos los recursos de AWS Control Tower. Tenga en cuenta que no puede anular la inscripción de la cuenta accidentalmente de esta manera. Sin embargo, puede volver a inscribir la cuenta devolviéndola a la UO.
Al anular la inscripción de una cuenta personalizada, AWS Control Tower elimina los recursos que la zona de aterrizaje haya implementado, así como cualquier otro recurso que AWS Control Tower haya creado en la cuenta. AWS Control Tower también elimina el **AWSControlTowerExecution**rol, incluso si se agregó manualmente. La eliminación de este rol se ajusta al principio de privilegio mínimo, ya que un rol de ejecución de servicios no debe permanecer en una cuenta no administrada.
Después de cancelar la inscripción de la cuenta, puede cerrarla de la siguiente manera. AWS Organizations
**nota**
Una cuenta no inscrita no se cierra ni se elimina. Si la cuenta no se ha inscrito, el usuario de IAM Identity Center seleccionado al crear la cuenta en el generador de cuentas sigue teniendo acceso administrativo a la cuenta. Si no desea que este usuario tenga acceso administrativo, debe cambiar esta configuración en IAM Identity Center actualizando la cuenta en el generador de cuentas y cambiando la dirección de correo electrónico del usuario de IAM Identity Center de la cuenta. Para obtener más información, consulte [Actualización y movimiento de cuentas con AWS Control Tower](updating-account-factory-accounts.md).
## Tutorial en vídeo
En este vídeo (3:25) se describe cómo eliminar una cuenta de AWS Control Tower, cómo obtener acceso raíz a la cuenta y, por último, cómo cerrar la Cuenta de AWS. También puede cerrar una cuenta con [una API de AWS Organizations](https://docs.aws.amazon.com//controltower/latest/userguide/delete-account.html). Para una mejor visualización, seleccione el icono situado en la esquina inferior derecha del vídeo para agrandarlo a pantalla completa. Hay subtítulos disponibles.
[](http://www.youtube.com/watch?v=n3eALEKZaHc)
Puede ver una lista de AWS [YouTube vídeos](https://www.youtube.com/playlist?list=PLhr1KZpdzukdS9skEXbY0z67F-wrcpbjm) en los que se explican las tareas habituales en AWS Control Tower.
# Cierre de una cuenta creada en el generador de cuentas
Las cuentas creadas en Account Factory son Cuentas de AWS. Para obtener más información acerca de cómo cerrar Cuentas de AWS, consulte [Closing an account](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) en la [https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html ](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html ).
**nota**
Cerrar una cuenta no Cuenta de AWS es lo mismo que anular la inscripción de una cuenta de AWS Control Tower; se trata de acciones independientes. Debe anular la inscripción de la cuenta antes de cerrarla.
## Cierre una cuenta de miembro de la Torre de Control de AWS mediante AWS Organizations
Puede cerrar sus cuentas de miembro de AWS Control Tower desde la cuenta de administración de su organización sin necesidad de iniciar sesión en cada cuenta de miembro de forma individual con credenciales raíz, mediante AWS Organizations. Sin embargo, no puede cerrar su cuenta de administración de esta manera.
Cuando llama a la AWS Organizations [CloseAccountAPI](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html) o cierra una cuenta en la AWS Organizations consola, la cuenta del miembro permanece aislada durante 90 días, como lo Cuenta de AWS haría cualquier otro día. La cuenta muestra un estado **Suspendido** en AWS Control Tower y AWS Organizations. Si se intenta trabajar con la cuenta durante esos 90 días, AWS Control Tower mostrará un mensaje de error.
**nota**
Si una OU tiene cuentas suspendidas, EnabledControl las operaciones fallarán debido a los controles regionales del objetivo.
Antes de que venzan los 90 días, puede restaurar la cuenta de miembro, como puede hacer con cualquier otra Cuenta de AWS. Después de ese período de 90 días, los registros de la cuenta se eliminan.
Como práctica recomendada, anule la inscripción de la cuenta de miembro antes de cerrarla. Si cierra la cuenta de un miembro sin antes dejar de administrarla, AWS Control Tower mostrará el estado de la cuenta como **Suspendido**, pero también como **Inscrito**. Como resultado, si intenta **volver a registrar** la OU de la cuenta durante ese período de 90 días, AWS Control Tower mostrará un mensaje de error. Básicamente, la cuenta suspendida bloquea las acciones de nuevo registro con un error de comprobación previa. Si elimina la cuenta de la OU, puede **volver a registrarla**, pero AWS podría producirse un error relacionado con la falta de un método de pago para la cuenta. Para evitar esta restricción, cree otra OU y migre la cuenta a esa OU antes de intentar volver a registrarla. Se recomienda denominar a esta OU como OU **suspendida**.
**nota**
Si no anula el registro de la cuenta antes de cerrarla, debe eliminar el producto aprovisionado de la cuenta una AWS Service Catalog vez transcurridos esos 90 días.
[Para obtener más información, consulta la AWS Organizations documentación sobre la CloseAccount API.](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html)
# Consideraciones sobre los recursos del generador de cuentas
Cuando se aprovisiona una cuenta con Account Factory, se crean los siguientes AWS recursos dentro de la cuenta.
| AWS servicio | Tipo de recurso | Nombre del recurso |
| --- | --- | --- |
| AWS CloudFormation | Pilas | StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-\$1 StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 StackSet-AWSControlTowerBP-BASELINE-CONFIG-\$1 StackSet-AWSControlTowerBP-BASELINE-ROLES-\$1 StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-\$1 |
| AWS CloudTrail | Trail | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Reglas del evento | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Registros | aws-controltower/CloudTrailLogs /aws/lambda/aws-controltower-NotificationForwarder |
| AWS Identity and Access Management | Roles | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole AWSControlTowerExecution |
| AWS Identity and Access Management | Políticas | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | Temas | aws-controltower-SecurityNotifications |
| AWS Lambda | Aplicaciones | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 |
| AWS Lambda | Funciones | aws-controltower-NotificationForwarder |
| Amazon EventBridge | Regla | AWSControlTowerManagedRule |
| Amazon EventBridge | Regla | aws-controltower-ConfigComplianceChangeEventRule |