View a markdown version of this page

Déplacez et enregistrez des comptes grâce à l'inscription automatique - AWS Control Tower
Conditions préalables : Configuration pour l'inscription automatiqueAutorisations requisesExemples d'utilisation de l'APIConsidérations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Déplacez et enregistrez des comptes grâce à l'inscription automatique

La fonction d'inscription automatique du compte est disponible pour les zones d'atterrissage de la version 3.1 et des versions ultérieures.

Si vous activez éventuellement cette fonctionnalité, vous pouvez utiliser la console AWS Organizations APIs and pour déplacer des comptes vers AWS Control Tower, sans créer de dérive d'héritage. Le compte reçoit automatiquement les ressources de base et les configurations de contrôle de l'unité organisationnelle (UO) de destination dans AWS Control Tower. Cette fonctionnalité optionnelle vous permet également de déplacer des comptes au OUs sein d'AWS Control Tower, sans créer de dérive d'héritage, si les deux OUs ont la même configuration de base et les mêmes contrôles activés.

Pour activer l'inscription automatique : vous pouvez sélectionner l'inscription automatique des comptes sur la page des paramètres de la zone de destination de la console AWS Control Tower, ou en appelant l'AWS Control Tower CreateLandingZone ou en UpdateLandingZone APIs définissant la valeur du RemediationType paramètre sur Inheritance Drift.

Pour appliquer l'inscription automatique : après avoir sélectionné cette option sur votre page Paramètres, vous pouvez déplacer un compte par le biais de la AWS Organizations console, de l' AWS Organizations MoveAccountAPI ou de la console AWS Control Tower.

Pour désinscrire un compte par inscription automatique : si vous déplacez un compte en dehors d'une unité d'organisation enregistrée, AWS Control Tower supprime automatiquement toutes les ressources et tous les contrôles de base déployés.

Note

Si la source et la destination OUs dans AWS Control Tower ont des configurations différentes, le compte peut présenter une Compte de membre déplacé dérive.

Conditions préalables : Configuration pour l'inscription automatique

  • Vous devez exécuter la version 3.1 ou ultérieure de la zone de landing zone d'AWS Control Tower.

  • Optez pour la fonctionnalité d'inscription automatique d'AWS Control Tower via la page des paramètres de la zone d'atterrissage de la console, ou via la zone d'accueil d'AWS Control Tower APIs, en définissant la valeur du RemediationTypes paramètre sur. Inheritance Drift Lorsque vous vous êtes inscrit, AWS Control Tower réagit aux move account AWS Organizationsévénements et remédie immédiatement à la dérive héritée des comptes déplacés, en votre nom.

Autorisations requises

Des rôles et des autorisations spécifiques sont nécessaires pour utiliser l' AWS Organizations CreateAccountAPI et l'MoveAccountAPI. Pour plus d'informations sur l'utilisation AWS Organizations avec AWS Control Tower, consultez AWS Control Tower et AWS Organizations.

Exemples d'utilisation de l'API

Pour plus d'informations et des exemples à ce sujet APIs, consultez CreateAccountet MoveAccountdans le Guide de référence des AWS Organizations API.

Considérations

  • Calendrier d'inscription : un compte transféré vers une unité d'organisation enregistrée auprès d'AWS Control Tower est inscrit selon un éventuel modèle de cohérence. Ce processus prend généralement quelques minutes, voire plusieurs heures, selon le nombre de comptes déplacés.

  • Processus de désinscription : vous pouvez utiliser le même processus pour désinscrire vos comptes d'AWS Control Tower en les déplaçant vers une unité d'organisation extérieure à AWS Control Tower. Ce processus supprime tous les rôles et ressources déployés par AWS Control Tower et tous les contrôles activés dans AWS Control Tower.