View a markdown version of this page

Transférer un compte vers une autre organisation - AWS Control Tower
Conditions préalablesÉtape 1 : désinscrire le compte auprès d'AWS Control TowerÉtape 2 : Transférer le compte à l'organisation de destinationÉtape 3 : enregistrer le compte dans l'organisation de destinationConsidérations supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Transférer un compte vers une autre organisation

Vous pouvez transférer un compte de membre inscrit à AWS Control Tower vers une autre AWS Organizations organisation.

Conditions préalables

  • Le compte doit être inscrit à AWS Control Tower dans l'organisation source. En d'autres termes, le compte est soumis à des bases de référence, à des contrôles proactifs ou à des contrôles de détection.

  • Le compte doit avoir été créé au moins 4 jours avant le transfert.

  • Vous devez avoir accès au compte de gestion des organisations source et de destination.

Étape 1 : désinscrire le compte auprès d'AWS Control Tower

Avant de transférer le compte, vous devez désactiver toutes les ressources AWS Control Tower qui lui sont directement appliquées. Le compte peut continuer à hériter des contrôles préventifs.

Si vous utilisez Auto Enroll

Déplacez le compte vers l'un des emplacements suivants :

  • La racine de l'organisation

  • Une UO non gérée

  • Avec Landing Zone 4.0 ou version ultérieure, une unité d'organisation sur laquelle seuls les contrôles préventifs sont activés

Si vous n'utilisez pas Auto Enroll

Les méthodes ci-dessous sont également disponibles si vous utilisez l'inscription automatique.

  • Pour les comptes dotés de la base de référence AWS Control Tower and Backup, choisissez Unmanage dans la console AWS Control Tower. Vous pouvez également mettre fin au produit fourni à l'aide du AWS Service Catalog APIs ou de la console.

  • Pour les comptes dotés de la ligne de base AWS AWS Config, désactivez la ligne de base Config sur l'unité d'organisation ou déplacez le compte en root et utilisez l'DisableBaselineAPI.

Étape 2 : Transférer le compte à l'organisation de destination

Une fois que toutes les lignes de base et tous les contrôles AWS Control Tower appliqués au compte, autres que les contrôles préventifs, ont été désactivés, terminez le transfert.

  1. Depuis le compte de gestion de l'organisation de destination, envoyez une invitation au compte membre.

  2. Acceptez l'invitation depuis le compte membre.

  3. À partir du compte de gestion de l'organisation de destination, déplacez le compte vers l'unité d'organisation souhaitée.

Pour obtenir des instructions sur le processus de migration, consultez la section Migration de AWS comptes vers une autre organisation dans le guide de l'AWS Organizations utilisateur.

Étape 3 : enregistrer le compte dans l'organisation de destination

Une fois le compte enregistré dans l'organisation de destination, inscrivez-le dans AWS Control Tower.

  • Si l'inscription automatique est activée dans la zone de landing d'AWS Control Tower qui régit l'organisation de destination, AWS Control Tower applique automatiquement les lignes de base et les contrôles au compte.

  • Si vous n'utilisez pas Auto Enroll dans l'organisation de destination, inscrivez manuellement le compte dans AWS Control Tower. Pour de plus amples informations, veuillez consulter À propos de l'inscription de comptes existants.

Considérations supplémentaires

Période d'attente

Les comptes créés via Account Factory AWS Organizations ou Account Factory doivent dater d'au moins 4 jours avant que vous puissiez les transférer ou les supprimer d'une organisation. Pour plus d'informations, consultez la section Suppression d'un compte membre d'une organisation dans le Guide de AWS Organizations l'utilisateur.

AWS Limites de l'agrégateur Config

Lorsque vous transférez plusieurs comptes, vous pouvez atteindre la limite de AWS Config pour le nombre maximum de comptes ajoutés ou supprimés par semaine pour tous les agrégateurs (1 000). Pour demander une augmentation de limite, consultez la section Limites du service AWS Config. Vous pouvez également passer à la version 4.0 de landing zone, qui utilise un agrégateur de configuration lié à un service. Pour plus de détails, consultez la section Mises à jour de la AWS configuration dans la version 4.0 de la zone d'atterrissage.

Accès au compte membre

Les comptes non inscrits n'ont aucun AWSControlTowerExecution rôle. Lorsque vous désactivez la ligne de base Config ou AWS Control Tower, AWS Control Tower supprime son rôle d'exécution et ajoute leOrganizationsAccountAccessRole. Vous pouvez utiliser ce rôle pour accepter une invitation pour l'organisation de destination.

Lorsque le compte est inscrit dans l'organisation de destination, le AWSControlTowerExecution rôle est créé. Ce rôle remplace le nouveau compte de gestion OrganizationsAccountAccessRole et lui fait confiance.

AWS Service Catalog et inscription automatique

L'inscription automatique n'agit pas sur les ressources du AWS Service Catalog. Tous les produits approvisionnés par Account Factory restent dans le compte de gestion même si les comptes sous-jacents ne sont pas enregistrés. Pour résilier ces produits provisionnés dans le compte de gestion, consultez la section Supprimer des produits provisionnés dans le Guide de l'utilisateur du AWS Service Catalog. Tous les plans AFC (Account Factory Customization) restent dans le compte.