Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Provisionner et gérer des comptes avec Account Factory
**Note**
La mise à disposition, la mise à jour et la personnalisation d'un compte unique doivent cibler une unité organisationnelle (UO) AWSControl TowerBaseline activée. Si l'unité organisationnelle n'est pas AWSControl TowerBaseline activée, vous pouvez activer l'inscription automatique du compte ou utiliser ResetEnabledBaseline et encore ResetEnabledControl APIs EnabledControls sur cette EnabledBaselines unité d'organisation pour inscrire des comptes. Pour plus de détails sur AWSControlTowerBaseline, voir :[Types de référence qui s'appliquent au niveau de l'UO](types-of-baselines.md#ou-baseline-types).
Ce chapitre inclut une présentation et des procédures de mise en service de nouveaux comptes membres dans une zone de landing zone AWS Control Tower avec Account Factory.
## Autorisations pour configurer et approvisionner des comptes
L'AWS Control Tower Account Factory permet aux administrateurs et aux utilisateurs du cloud AWS IAM Identity Center de créer des comptes dans votre zone de landing zone. Par défaut, les utilisateurs d'IAM Identity Center qui fournissent des comptes doivent faire partie du `AWSAccountFactory` groupe ou du groupe de gestion.
**Note**
Faites preuve de prudence lorsque vous travaillez à partir du compte de gestion, comme vous le feriez lorsque vous utilisez un compte doté d'autorisations au sein de votre organisation.
Le compte de gestion AWS Control Tower entretient une relation de confiance avec le `AWSControlTowerExecution` rôle, ce qui permet de configurer le compte à partir du compte de gestion, y compris une configuration automatique du compte. Pour plus d'informations sur le `AWSControlTowerExecution` rôle, consultez la section [Rôles et comptes](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html).
**Note**
Pour inscrire un utilisateur existant Compte AWS dans AWS Control Tower, le `AWSControlTowerExecution` rôle doit être activé sur ce compte. Pour de plus amples informations sur l'inscription d'un compte existant, consultez [À propos de l'inscription de comptes existants](enroll-account.md).
Pour en savoir plus sur les autorisations, consultez [Autorisations requises pour le provisionnement des comptes](provision-and-manage-accounts.md#permissions).
## Considérations relatives à la gestion des comptes dans Account Factory
Vous pouvez mettre à jour, désinscrire et fermer les comptes que vous avez créés et approvisionnés via Account Factory. Vous pouvez recycler les comptes en mettant à jour les paramètres utilisateur des comptes que vous souhaitez réutiliser. Vous pouvez également modifier l'unité organisationnelle (UO) d'un compte.
**Note**
Lors de la mise à jour d'un produit provisionné associé à un compte vendu par Account Factory, si vous spécifiez une nouvelle adresse e-mail utilisateur pour AWS IAM Identity Center, AWS Control Tower crée un nouvel utilisateur dans IAM Identity Center. Le compte créé précédemment n'est pas supprimé. Pour plus d'informations sur la suppression de l'ancienne adresse e-mail de l'utilisateur IAM Identity Center d'IAM Identity Center, consultez la section [Désactivation](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html) d'un utilisateur.
# Mettez à jour et déplacez des comptes avec AWS Control Tower
Le moyen le plus simple de mettre à jour un compte inscrit consiste à utiliser la console AWS Control Tower. Les mises à jour de compte individuelles sont utiles pour résoudre les problèmes de dérive, tels que[Compte de membre déplacé](governance-drift.md#drift-account-moved). Les mises à jour du compte sont également requises dans le cadre d'une mise à jour complète de la zone d'atterrissage.
## Mettre à jour le compte dans la console
**Pour mettre à jour un compte dans la console AWS Control Tower**
1. Une fois connecté à AWS Control Tower, accédez à la page **Organisation**.
1. Dans la liste des comptes OUs et, sélectionnez le nom du compte que vous souhaitez mettre à jour. Les comptes disponibles pour la mise à jour affichent le statut **Mise à jour disponible**.
1. Vous verrez ensuite la page des **détails du compte** que vous avez sélectionné.
1. Dans le coin supérieur droit, choisissez **Mettre à jour le compte**.
Si vous déplacez un compte d'une unité organisationnelle (UO) à une autre, n'oubliez pas que les contrôles appliqués par la nouvelle UO peuvent être différents de ceux de l'ancienne UO. Assurez-vous que les contrôles de la nouvelle unité d'organisation répondent aux exigences de votre politique pour le compte.
Les comptes AWS Control Tower sont modifiés différemment, selon que vous avez ou non opté pour l'inscription automatique des comptes. Pour plus d'informations sur l'inscription automatique, consultez[Configurez éventuellement l'inscription automatique pour les comptes](configure-auto-enroll.md).
**Comportement de contrôle lorsque des comptes sont déplacés entre OUs, avec inscription automatique activée**
Lorsque vous déplacez un compte vers une nouvelle unité d'organisation, AWS Control Tower applique au compte les lignes de base et les contrôles activés par l'unité d'organisation. Les contrôles et les lignes de base de l'unité d'organisation précédente sont supprimés. Si vous déplacez un compte en dehors d'une unité d'organisation enregistrée, AWS Control Tower supprime toutes les lignes de base et tous les contrôles déployés.
**Comportement de contrôle lorsque des comptes sont déplacés entre OUs, sans inscription automatique**
Lorsque vous déplacez un compte entre les deux OUs, les commandes de l'unité d'organisation de destination sont appliquées à compte. Toutefois, les contrôles appliqués au compte depuis l'ancienne unité d'organisation ne le sont pas supprimé. Le comportement exact des commandes est spécifique à la mise en œuvre du contrôles actifs sur l'unité d'organisation précédente et sur l'unité d'organisation de destination.
+ *Pour les contrôles implémentés avec AWS Config des règles :* les contrôles de l'unité d'organisation précédente ne sont pas supprimés. Ces commandes doivent être supprimées manuellement.
+ *Pour les contrôles mis en œuvre avec SCPs :* Les contrôles basés sur le SCP de l'unité d'organisation précédente sont supprimé. Les contrôles basés sur le SCP pour l'UO de destination entrent en vigueur sur ce compte.
+ *Pour les contrôles implémentés avec CloudFormation des hooks :* Ce comportement dépend de l'état des commandes dans la nouvelle unité d'organisation.
+ *Si aucune commande basée sur un crochet n'est active dans l'unité d'organisation de destination :* L'ancien les contrôles restent actifs pour le compte déplacé, sauf si vous les supprimez manuellement.
+ *Si l'unité d'organisation de destination possède des commandes de crochet actives :* les anciennes commandes sont supprimé et les commandes de l'unité d'organisation de destination sont appliquées au compte.
# Modifier l'adresse e-mail d'un compte inscrit
Pour modifier l'adresse e-mail d'un compte de membre inscrit dans AWS Control Tower, suivez la procédure décrite dans cette section.
**Note**
La procédure suivante ne vous permet pas de modifier l'adresse e-mail d'un compte de **gestion, d'un compte** d'**archivage des journaux** ou **d'un compte d'audit**. Pour plus d'informations à ce sujet, consultez [Comment modifier l'adresse e-mail associée à mon AWS compte ?](https://aws.amazon.com//premiumsupport/knowledge-center/change-email-address/) ou contactez le AWS Support.
**Pour modifier l'adresse e-mail d'un compte créé par AWS Control Tower**
1. Récupérez le mot de passe de l'utilisateur root pour le compte. Vous pouvez suivre les étapes décrites dans l'article [Comment récupérer un mot de AWS passe perdu ou oublié ?](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/)
1. Connectez-vous au compte avec le mot de passe de l'utilisateur root.
1. Modifiez l'adresse e-mail comme vous le feriez pour n'importe quelle autre Compte AWS adresse et attendez que le changement soit reflété AWS Organizations. Il se peut que la mise à jour du changement d'adresse e-mail soit retardée.
1. Mettez à jour le produit fourni dans Service Catalog à l'aide de l'adresse e-mail qui appartenait précédemment au compte. Le processus de mise à jour du produit approvisionné comprend l'association de la nouvelle adresse e-mail au produit approvisionné. Ainsi, le changement d'adresse e-mail prend effet dans AWS Control Tower. Utilisez la nouvelle adresse e-mail pour les mises à jour des produits approvisionnés ultérieurement.
Pour modifier le mot de passe ou l'adresse e-mail d'un compte de membre que vous avez créé AWS Organizations, consultez la section [Accès à un compte de membre en tant qu'utilisateur root](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root) dans le *guide de AWS Organizations l'utilisateur*.
Vous pouvez également mettre à jour l'adresse e-mail d'un compte Account Factory ou d'un autre compte membre depuis la AWS Organizations console sans vous connecter en tant qu'utilisateur root. Pour plus d'informations, consultez [la section Mise à jour de l'adresse e-mail de l'utilisateur root pour un compte membre AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html) dans le *Guide de AWS Organizations l'utilisateur*.
# Modifier le nom d'un compte inscrit
Suivez la procédure décrite dans cette section pour modifier le nom d'un compte AWS Control Tower inscrit.
**Note**
Pour modifier le nom d'un compte AWS *administrateur*, vous devez disposer des autorisations d'administrateur et être connecté en tant qu'utilisateur root du compte.
**Pour modifier le nom d'un compte créé par AWS Control Tower, à l'aide de AWS Organizations la console ou APIs**
+ Suivez les [instructions disponibles](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs) dans le *Guide de référence AWS sur la gestion des comptes*.
**Méthode alternative pour modifier le nom d'un compte créé par AWS Control Tower**
1. Récupérez le mot de passe root du compte. Vous pouvez suivre les étapes décrites dans cet article, [Comment récupérer un mot de AWS passe perdu ou oublié ?](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/)
1. Connectez-vous au compte à l'aide du mot de passe root.
1. Dans la AWS Billing console, accédez à la page des **paramètres du compte**.
1. Modifiez le nom dans les **paramètres du compte**, comme vous le feriez pour tout autre nom Compte AWS.
1. AWS Control Tower se met automatiquement à jour pour refléter le changement de nom. Cette mise à jour ne sera pas reflétée dans le produit fourni dans AWS Service Catalog.
# Configurer Account Factory avec les paramètres d'Amazon Virtual Private Cloud
Account Factory vous permet de créer des bases de référence et des options de configuration préapprouvées pour les comptes de votre organisation. Vous pouvez configurer et mettre en service de nouveaux comptes via AWS Service Catalog.
Sur la page Account Factory, vous pouvez voir la liste des unités organisationnelles (OUs) et leur statut dans la **liste** d'autorisation. Par défaut, tous OUs figurent sur la liste des comptes autorisés, ce qui signifie que les comptes peuvent être provisionnés en vertu de ces listes. Vous pouvez désactiver certains OUs pour le provisionnement du compte via AWS Service Catalog.
Vous pouvez consulter les options de configuration Amazon VPC disponibles pour vos utilisateurs finaux lorsqu'ils fournissent de nouveaux comptes.
**Pour configurer les paramètres Amazon VPC dans Account Factory**
1. En tant qu'administrateur central du cloud, connectez-vous à la console AWS Control Tower avec les autorisations d'administrateur du compte de gestion.
1. Sur le côté gauche du tableau de bord, sélectionnez **Account Factory** pour accéder à la page de configuration du réseau Account Factory. Vous pouvez y voir les paramètres réseau par défaut affichés. Pour modifier, sélectionnez **Modifier** et consultez la version modifiable des paramètres de configuration réseau de votre Account Factory.
1. Vous pouvez modifier chaque champ des paramètres par défaut selon vos besoins. Choisissez les options de configuration VPC que vous souhaitez définir pour tous les nouveaux comptes Account Factory que vos utilisateurs finaux sont susceptibles de créer, puis entrez vos paramètres dans les champs.
+ Choisissez **désactivé** ou **activé** pour créer un sous-réseau public dans Amazon VPC. Par défaut, le sous-réseau est accessible sur Internet.
**Note**
Si vous définissez la configuration du VPC Account Factory de sorte que les sous-réseaux publics soient **activés** lors du provisionnement d'un nouveau compte, Account Factory configure Amazon VPC pour créer une [passerelle NAT](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-nat-gateway.html). Vous serez facturé pour votre utilisation par Amazon VPC. Pour de plus amples informations, veuillez consulter [Tarification VPC](https://aws.amazon.com//vpc/pricing/).
+ Choisissez le nombre maximum de sous-réseaux privés dans Amazon VPC dans la liste. Par défaut, 1 est sélectionné. Le nombre maximum de sous-réseaux privés autorisés est de 2 par zone de disponibilité.
+ Entrez la plage d'adresses IP pour créer votre compte VPCs. La valeur doit utiliser le format d'un bloc CIDR, (par exemple, `172.31.0.0/16`). Ce bloc CIDR fournit la gamme globale d'adresses IP de sous-réseau pour le VPC créé par Account Factory pour votre compte. Au sein de votre VPC, les sous-réseaux sont attribués automatiquement à partir de la plage que vous spécifiez, et ils ont une taille égale. Par défaut, les sous-réseaux au sein de votre VPC ne se chevauchent pas. Cependant, les plages d'adresses IP de sous-réseau VPCs de tous vos comptes provisionnés peuvent se chevaucher.
+ Choisissez une région ou toutes les régions pour la création d'un VPC lorsqu'un compte est mis en service. Par défaut, toutes les régions disponibles sont sélectionnées.
+ Dans la liste, choisissez le nombre de zones de disponibilité pour configurer des sous-réseaux pour chaque VPC. Le nombre par défaut et recommandé est de trois.
+ Choisissez **Enregistrer**.
Vous pouvez configurer ces options de configuration pour créer de nouveaux comptes qui n'incluent pas de VPC. Consultez la [procédure](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).
# Désinscrire un compte
Si vous avez créé un compte dans Account Factory ou que vous en avez inscrit un Compte AWS, et que vous ne souhaitez plus que le compte soit géré par AWS Control Tower dans une zone de landing zone, vous pouvez *désinscrire* le compte depuis la console AWS Control Tower.
Lorsque vous désinscrivez un compte AWS Control Tower, toutes les ressources mises en service par AWS Control Tower sont supprimées, y compris les contrôles et les plans. Le compte est déplacé de n'importe quelle unité d'organisation AWS Control Tower vers la zone **racine**. Le compte ne fait plus partie d'une unité d'organisation enregistrée et n'est plus soumis à AWS Control Tower SCPs. Vous pouvez fermer le compte via AWS Organizations.
**Pour désinscrire un compte inscrit depuis la console AWS Control Tower**
1. Ouvrez la console AWS Control Tower dans votre navigateur Web à l'adresse [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower)
1. Dans le volet de navigation de gauche, sélectionnez **Organisation**.
1. Sur la page **Organisation**, développez l'unité d'organisation qui contient le compte en sélectionnant le bouton **\$1** situé à côté de l'unité d'organisation.
1. Sélectionnez le compte, puis cliquez sur Annuler la **gestion**.
**Note**
Attendez que le statut du compte indique **Non inscrit**.
Si vous n'avez plus besoin du compte, fermez-le. Pour plus d'informations sur la fermeture de AWS comptes, consultez la section [Fermeture d'un compte](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) dans le *guide de AWS Billing l'utilisateur*
**Désenregistrer un compte lorsque l'inscription automatique est active**
Si la fonctionnalité d'inscription automatique est active sur votre page de **paramètres**, vous pouvez également désinscrire un compte en le déplaçant vers une unité d'organisation qui n'est pas enregistrée dans AWS Control Tower. Toutes les ressources AWS Control Tower sont supprimées. Sachez que vous ne désinscrivez pas le compte accidentellement de cette manière. Toutefois, vous pouvez réinscrire le compte en le renvoyant à l'UO.
Lorsque vous désinscrivez un compte personnalisé, AWS Control Tower supprime les ressources déployées dans la zone de landing zone, ainsi que toutes les autres ressources créées par AWS Control Tower dans le compte. AWS Control Tower supprime également le **AWSControlTowerExecution**rôle, même s'il a été ajouté manuellement. La suppression de ce rôle est conforme au principe du moindre privilège, car un rôle d'exécution de service ne doit pas rester dans un compte non géré.
Après avoir désinscrit le compte, vous pouvez le fermer via. AWS Organizations
**Note**
Un compte non inscrit n'est ni fermé ni supprimé. Lorsque le compte a été désinscrit, l'utilisateur IAM Identity Center que vous avez sélectionné lorsque vous avez créé le compte dans Account Factory dispose toujours d'un accès administratif au compte. Si vous ne souhaitez pas que cet utilisateur dispose d'un accès administratif, vous devez modifier ce paramètre dans IAM Identity Center en mettant à jour le compte dans Account Factory et en modifiant l'adresse e-mail de l'utilisateur IAM Identity Center pour le compte. Pour de plus amples informations, veuillez consulter [Mettez à jour et déplacez des comptes avec AWS Control Tower](updating-account-factory-accounts.md).
## Vidéo de démonstration
Cette vidéo (3:25) explique comment supprimer un compte d'AWS Control Tower, obtenir un accès root au compte et enfin fermer le Compte AWS. Vous pouvez également fermer un compte à l'aide [d'une AWS Organizations API](https://docs.aws.amazon.com//controltower/latest/userguide/delete-account.html). Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.
[](http://www.youtube.com/watch?v=n3eALEKZaHc)
Vous pouvez visionner une liste de AWS [YouTube vidéos](https://www.youtube.com/playlist?list=PLhr1KZpdzukdS9skEXbY0z67F-wrcpbjm) expliquant les tâches courantes dans AWS Control Tower.
# Fermer un compte créé dans Account Factory
Les comptes créés dans Account Factory sont Comptes AWS. Pour plus d'informations sur la clôture Comptes AWS, consultez la section [Fermeture d'un compte](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) dans le [https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html ](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html ).
**Note**
La fermeture d'un compte n' Compte AWS est pas la même chose que la désinscription d'un compte auprès d'AWS Control Tower : il s'agit d'actions distinctes. Vous devez désinscrire le compte avant de le fermer.
## Fermez le compte d'un membre AWS Control Tower via AWS Organizations
Vous pouvez fermer vos comptes de membre AWS Control Tower depuis le compte de gestion de votre organisation sans avoir à vous connecter à chaque compte membre individuellement avec des informations d'identification root, au moyen de AWS Organizations. Vous ne pouvez toutefois pas fermer votre compte de gestion de cette manière.
Lorsque vous appelez l' AWS Organizations [CloseAccountAPI](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html) ou Compte AWS que vous fermez un compte dans la AWS Organizations console, le compte du membre est isolé pendant 90 jours, comme tout autre compte. Le compte affiche le statut **Suspendu** dans AWS Control Tower et AWS Organizations. Si vous essayez de travailler avec le compte pendant ces 90 jours, AWS Control Tower affiche un message d'erreur.
**Note**
Si une unité d'organisation a suspendu des comptes, les EnabledControl opérations de contrôle régional sur la cible échoueront.
Avant l'expiration des 90 jours, vous pouvez restaurer le compte du membre, comme vous pouvez le faire pour n'importe quel autre compte Compte AWS. Après ce délai de 90 jours, les enregistrements du compte sont supprimés.
Nous vous recommandons, comme bonne pratique, de désinscrire le compte d'un membre avant de le fermer. Si vous fermez un compte membre sans le dégérer au préalable, AWS Control Tower indique que le statut du compte est **suspendu**, mais également **inscrit**. Par conséquent, si vous tentez de **réenregistrer l'unité** d'organisation du compte pendant cette période de 90 jours, AWS Control Tower génère un message d'erreur. Le compte suspendu bloque essentiellement les actions de réenregistrement en cas d'échec de la pré-vérification. Si vous supprimez le compte de l'unité d'organisation, vous pouvez **réenregistrer** l'unité d'organisation, mais cela AWS peut générer une erreur concernant un mode de paiement manquant pour le compte. Pour contourner cette contrainte, créez une autre unité d'organisation et déplacez le compte vers cette unité d'organisation avant d'essayer de vous réenregistrer. Nous recommandons de nommer cette unité d'organisation « unité d'**organisation suspendue** ».
**Note**
Si vous ne désinscrivez pas le compte avant de le fermer, vous devez supprimer le produit approvisionné au AWS Service Catalog bout de ces 90 jours.
Pour plus d'informations, consultez la AWS Organizations documentation sur l'[CloseAccountAPI](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html).
# Considérations relatives aux ressources pour Account Factory
Lorsqu'un compte est approvisionné avec Account Factory, les AWS ressources suivantes sont créées dans le compte.
| AWS service | Type de ressource | Nom de la ressource |
| --- | --- | --- |
| AWS CloudFormation | Piles | StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-\$1 StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 StackSet-AWSControlTowerBP-BASELINE-CONFIG-\$1 StackSet-AWSControlTowerBP-BASELINE-ROLES-\$1 StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-\$1 |
| AWS CloudTrail | Journal d’activité | aws-controltower-BaselineCloudTrail |
| Amazon CloudWatch | CloudWatch Règles de l'événement | aws-controltower-ConfigComplianceChangeEventRule |
| Amazon CloudWatch | CloudWatch Journaux | aws-controltower/CloudTrailLogs /aws/lambda/aws-controltower-NotificationForwarder |
| Gestion des identités et des accès AWS | Roles | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole AWSControlTowerExecution |
| Gestion des identités et des accès AWS | Stratégies | AWSControlTowerServiceRolePolicy |
| Amazon Simple Notification Service | Rubriques | aws-controltower-SecurityNotifications |
| AWS Lambda | Applications | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 |
| AWS Lambda | Fonctions | aws-controltower-NotificationForwarder |
| Amazon EventBridge | Règle | AWSControlTowerManagedRule |
| Amazon EventBridge | Règle | aws-controltower-ConfigComplianceChangeEventRule |