Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Aprovisionamiento y administración de cuentas en AWS Control Tower
En este capítulo se abordan los siguientes temas:
Descripción general y procedimientos para aprovisionar y administrar nuevas cuentas de miembros en AWS Control Tower.
información general y procedimientos para inscribir una AWS cuenta existente en AWS Control Tower.
Para obtener información general sobre cuentas en AWS Control Tower, consulte Acerca Cuentas de AWS de AWS Control Tower. Para obtener información sobre cómo inscribir varias cuentas en AWS Control Tower, consulte Registro de una OU existente en AWS Control Tower.
nota
El aprovisionamiento, la actualización y la personalización de una cuenta única deben dirigirse a una unidad organizativa (OU) que tenga AWSControl TowerBaseline habilitada la opción. Si una OU no tiene AWSControl TowerBaseline habilitada la OU, puede activar la inscripción automática de la cuenta o utilizar ResetEnabledBaseline y ResetEnabledControl APIs EnabledControls activar EnabledBaselines y cerrar esa OU para inscribir cuentas. Para obtener más información sobre AWSControlTowerBaseline, consulte:Tipos de referencia que se aplican a nivel de unidad organizativa.
nota
Puede realizar hasta cinco (5) operaciones relacionadas con la cuenta de forma simultánea, como el aprovisionamiento, la actualización y la inscripción.
Permisos necesarios para el aprovisionamiento de cuentas
Con los permisos de grupo de usuarios adecuados, los aprovisionadores pueden especificar referencias estandarizadas y configuraciones de red para cualquier cuenta de la organización.
Al crear cuentas desde la consola de AWS Control Tower con el generador de cuentas, debe iniciar sesión en una cuenta con un usuario de IAM que tenga habilitada la política AWSServiceCatalogEndUserFullAccess, junto con permisos para utilizar la consola de AWS Control Tower, y no puede iniciar sesión como usuario raíz.
nota
Al aprovisionar una cuenta, el solicitante de la cuenta siempre debe tener los permisos CreateAccount y DescribeCreateAccountStatus. Este conjunto de permisos forma parte del rol de administrador y se otorga automáticamente cuando el solicitante asume el rol Admin. Si delega el permiso para aprovisionar cuentas, es posible que tengas que añadir estos permisos directamente para los solicitantes de cuentas.
Para obtener información general sobre los permisos necesarios en AWS Control Tower, consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS Control Tower. Para obtener información sobre roles y cuentas en AWS Control Tower, consulte Roles and accounts.
