View a markdown version of this page

Transferir una cuenta a otra organización - AWS Control Tower
Requisitos previosPaso 1: anular la inscripción de la cuenta de AWS Control TowerPaso 2: Transfiere la cuenta a la organización de destinoPaso 3: inscriba la cuenta en la organización de destinoConsideraciones adicionales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Transferir una cuenta a otra organización

Puede transferir una cuenta de miembro que esté inscrita en AWS Control Tower a otra AWS Organizations organización.

Requisitos previos

  • La cuenta debe estar inscrita en la AWS Control Tower de la organización de origen. Es decir, la cuenta cuenta con bases de referencia, controles proactivos o controles de detección aplicados.

  • La cuenta debe haberse creado al menos 4 días antes de la transferencia.

  • Debe tener acceso a la cuenta de administración de la organización de origen y de destino.

Paso 1: anular la inscripción de la cuenta de AWS Control Tower

Antes de transferir la cuenta, debe deshabilitar todos los recursos de la Torre de Control de AWS que se le apliquen directamente. La cuenta puede seguir heredando los controles preventivos.

Si usa Auto Enroll

Mueva la cuenta a una de las siguientes ubicaciones:

  • La raíz de la organización

  • Una unidad organizativa no administrada

  • Con Landing Zone 4.0 o posterior, una unidad organizativa que solo tiene habilitados los controles preventivos

Si no usa Auto Enroll

Los siguientes métodos también están disponibles si usa la inscripción automática.

  • Para las cuentas con AWS Control Tower and Backup Baseline, elija Unmanage en la consola de AWS Control Tower. También puede finalizar el producto aprovisionado con la consola APIs o el AWS Service Catalog.

  • Para las cuentas con la línea base de AWS Config, inhabilite la línea base de AWS Config en la OU o mueva la cuenta a la raíz y use la DisableBaseline API.

Paso 2: Transfiere la cuenta a la organización de destino

Una vez que se hayan desactivado todas las líneas base y los controles de la Torre de Control de AWS aplicados a la cuenta, excepto los controles preventivos, complete la transferencia.

  1. Desde la cuenta de administración de la organización de destino, envíe una invitación a la cuenta del miembro.

  2. Acepte la invitación de la cuenta de miembro.

  3. Desde la cuenta de administración de la organización de destino, mueva la cuenta a la OU deseada.

Para obtener instrucciones sobre el proceso de migración, consulte Migración de AWS cuentas a otra organización en la Guía del AWS Organizations usuario.

Paso 3: inscriba la cuenta en la organización de destino

Una vez que la cuenta esté en la organización de destino, inscríbela en AWS Control Tower.

  • Si la inscripción automática está habilitada en la zona de aterrizaje de la Torre de Control de AWS que rige la organización de destino, AWS Control Tower aplica automáticamente las líneas base y los controles a la cuenta.

  • Si no utiliza la inscripción automática en la organización de destino, inscriba la cuenta manualmente en AWS Control Tower. Para obtener más información, consulte Acerca de la inscripción de cuentas existentes.

Consideraciones adicionales

Periodo de espera

Las cuentas creadas a través de Account Factory AWS Organizations o Account Factory deben tener al menos 4 días de antigüedad para poder transferirlas o eliminarlas de una organización. Para obtener más información, consulta Eliminar una cuenta de miembro de una organización en la Guía del AWS Organizations usuario.

AWS Config los límites del agregador

Al transferir varias cuentas, es posible que alcances el límite de AWS Config para el número máximo de cuentas añadidas o eliminadas por semana para todos los agregadores (1000). Para solicitar un aumento del límite, consulta AWS Config service limits. También puedes actualizar a la versión 4.0 de landing zone, que usa un agregador Config vinculado a un servicio. Para obtener más información, consulta las actualizaciones de AWS Config en la versión 4.0 de landing zone.

Acceso a la cuenta de miembro

Las cuentas no inscritas no tienen ningún AWSControlTowerExecution rol. Al deshabilitar la línea base de Config o AWS Control Tower, AWS Control Tower elimina su función de ejecución y añade laOrganizationsAccountAccessRole. Puede utilizar este rol para aceptar una invitación para la organización de destino.

Cuando la cuenta se inscribe en la organización de destino, se crea el AWSControlTowerExecution rol. Este rol reemplaza a la nueva cuenta de administración OrganizationsAccountAccessRole y confía en ella.

AWS Service Catalog e inscripción automática

Auto Enroll no actúa sobre los recursos de AWS Service Catalog. Todos los productos aprovisionados por Account Factory permanecen en la cuenta de administración aunque se cancele la inscripción de las cuentas subyacentes. Para cancelar estos productos aprovisionados en la cuenta de administración, consulte Eliminar productos aprovisionados en la Guía del usuario de AWS Service Catalog. Todos los planos de Account Factory Customization (AFC) permanecen en la cuenta.