Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Interagissez avec les comptes AWS Control Tower depuis AWS Service Catalog
<a name="handle-accounts-with-service-catalog"></a>

Cette section explique comment gérer vos comptes AWS Control Tower avec les fonctionnalités de AWS Service Catalog.

**Topics**
+ [Provisionnez des comptes dans la console Service Catalog, avec Account Factory](provision-as-end-user.md)
+ [Automatisez le provisionnement des comptes dans AWS Control Tower par Service Catalog APIs](automated-provisioning-walkthrough.md)
+ [Mettre à jour le produit fourni dans Service Catalog](update-provisioned-product.md)
+ [Désinscrire un compte dans Service Catalog](unenroll-with-sc.md)

# Provisionnez des comptes dans la console Service Catalog, avec Account Factory
<a name="provision-as-end-user"></a>

 La procédure suivante décrit comment créer et configurer des comptes en tant qu'utilisateur dans IAM Identity Center via AWS Service Catalog. Cette procédure est également appelée provisionnement de *compte avancé ou provisionnement* *manuel de compte*. Vous pouvez éventuellement provisionner des comptes AWS Control Tower par programmation, avec la AWS CLI, avec Service Catalog APIs ou avec AWS Control Tower Account Factory for Terraform (AFT). Vous pouvez peut-être configurer des comptes personnalisés dans la console si vous avez déjà configuré des plans personnalisés. Pour plus d'informations sur la personnalisation, consultez[Personnalisez les comptes avec Account Factory Customization (AFC)](af-customization-page.md).

**Pour approvisionner des comptes individuellement dans Account Factory, en tant qu'utilisateur**

1. Connectez-vous à partir de l'URL de votre portail utilisateur.

1. Dans **Vos applications**, sélectionnez **AWS Compte**.

1. Dans la liste des comptes, choisissez l'identifiant de compte de votre compte de gestion. Cet identifiant peut également comporter une étiquette, par exemple **(Gestion)**. 

1. Dans **AWSServiceCatalogEndUserAccess**, choisissez **Console de gestion**. Cela ouvre le compte AWS Management Console pour cet utilisateur.

1. Assurez-vous d'avoir sélectionné la bonne option Région AWS pour le provisionnement des comptes, qui doit être votre région AWS Control Tower.

1. Recherchez et choisissez **Service Catalog** pour ouvrir la console Service Catalog.

1. Dans le volet de navigation, sélectionnez **Products**.

1. Sélectionnez **AWS Control Tower Account Factory**, puis cliquez sur le bouton **Lancer le produit**. Cette action lance l'assistant pour le provisionnement d’un nouveau compte.

1. Renseignez les informations et gardez à l'esprit les points suivants :
   + L'**SSOUsere-mail** peut être une nouvelle adresse e-mail ou l'adresse e-mail associée à un utilisateur IAM Identity Center existant. Quel que soit votre choix, cet utilisateur aura un accès administratif au compte que vous mettez en service.
   + **AccountEmail**Il doit s'agir d'une adresse e-mail qui n'est pas déjà associée à un Compte AWS. Si vous avez utilisé une nouvelle adresse e-mail dans **SSOUserEmail**, vous pouvez utiliser cette adresse e-mail ici.

1. Ne définissez pas **TagOptions**et n'activez pas **les notifications**, sinon le compte risque de ne pas être approvisionné. Lorsque vous avez terminé, choisissez **Launch product**.

1. Vérifiez les paramètres de votre compte, puis choisissez **Launch (Lancer)**. Ne créez pas de plan de ressources, sinon le compte ne pourra pas être approvisionné.

1. Votre compte est en cours de mise en service. Cette opération peut prendre quelques minutes. Vous pouvez actualiser la page pour mettre à jour les informations de statut affichées.
**Note**  
Jusqu'à cinq comptes peuvent être provisionnés à la fois.

# Automatisez le provisionnement des comptes dans AWS Control Tower par Service Catalog APIs
<a name="automated-provisioning-walkthrough"></a>

AWS Control Tower est intégré à plusieurs autres AWS services, tels que AWS Service Catalog. Vous pouvez l'utiliser APIs pour créer et approvisionner vos comptes membres dans AWS Control Tower, ou pour inscrire des comptes membres existants.

**Note**  
Si vous avez choisi de ne pas utiliser IAM Identity Center dans les paramètres de votre zone de landing zone, les valeurs que vous fournissez lors de la mise en service du compte avec la console AWS Service Catalog APIs OR ne sont pas utilisées.

La vidéo vous montre comment approvisionner des comptes de manière automatisée et par lots, en appelant le AWS Service Catalog APIs. Pour le provisionnement, vous appellerez l'[https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html)API depuis l'interface de ligne de AWS commande (CLI) et vous spécifierez un fichier JSON contenant les paramètres de chaque compte que vous souhaitez configurer. La vidéo illustre l'installation et l'utilisation de l'environnement de développement [AWS Cloud9](https://docs.aws.amazon.com//cloud9/latest/user-guide/welcome.html) pour effectuer ce travail. Les commandes CLI seront les mêmes si vous utilisez AWS Cloudshell au lieu de AWS Cloud9.

**Note**  
Vous pouvez également adapter cette approche pour automatiser les mises à jour des comptes, en appelant l'[https://docs.aws.amazon.com//servicecatalog/latest/dg/API_UpdateProvisionedProduct.html](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_UpdateProvisionedProduct.html)API de AWS Service Catalog pour chaque compte. Vous pouvez écrire un script pour mettre à jour les comptes, un par un.

En tant que méthode d'automatisation complètement différente, si vous connaissez Terraform, vous pouvez [provisionner des comptes avec AWS Control Tower Account Factory for Terraform](taf-account-provisioning.md) (AFT).

**Exemple de rôle d'administration de l'automatisation**

Voici un exemple de modèle que vous pouvez utiliser pour configurer votre rôle d'administration d'automatisation dans le compte de gestion. Vous devez configurer ce rôle dans votre compte de gestion afin qu'il puisse effectuer l'automatisation avec un accès administrateur sur les comptes cibles.

```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the SampleAutoAdminRole

Resources:
  AdministrationRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: SampleAutoAdminRole
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              Service: cloudformation.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: AssumeSampleAutoAdminRole
          PolicyDocument:
            Version: 2012-10-17		 	 	 
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - "arn:aws:iam::*:role/SampleAutomationExecutionRole"
```

**Exemple de rôle d'exécution de l'automatisation**

Voici un exemple de modèle que vous pouvez utiliser pour configurer votre rôle d'exécution d'automatisation. Vous devez configurer ce rôle dans les comptes cibles.

```
AWSTemplateFormatVersion: "2010-09-09"
Description: "Create automation execution role for creating Sample Additional Role."

Parameters:
  AdminAccountId:
    Type: "String"
    Description: "Account ID for the administrator account (typically management, security or shared services)."
  AdminRoleName:
    Type: "String"
    Description: "Role name for automation administrator access."
    Default: "SampleAutomationAdministrationRole"
  ExecutionRoleName:
    Type: "String"
    Description: "Role name for automation execution."
    Default: "SampleAutomationExecutionRole"
  SessionDurationInSecs:
    Type: "Number"
    Description: "Maximum session duration in seconds."
    Default: 14400

Resources:
  # This needs to run after AdminRoleName exists.
  ExecutionRole:
    Type: "AWS::IAM::Role"
    Properties:
      RoleName: !Ref ExecutionRoleName
      MaxSessionDuration: !Ref SessionDurationInSecs
      AssumeRolePolicyDocument:
        Version: "2012-10-17"		 	 	 
        Statement:
          - Effect: "Allow"
            Principal:
              AWS:
                - !Sub "arn:aws:iam::${AdminAccountId}:role/${AdminRoleName}"
            Action:
              - "sts:AssumeRole"
      Path: "/"
      ManagedPolicyArns:
        - "arn:aws:iam::aws:policy/AdministratorAccess"
```

Après avoir configuré ces rôles, vous devez appeler le AWS Service Catalog APIs pour effectuer les tâches automatisées. Les commandes CLI sont données dans la vidéo.

## Exemple d'entrée de provisionnement pour l'API Service Catalog
<a name="sample-sc-api-input"></a>

Voici un exemple des informations que vous pouvez apporter à l'`ProvisionProduct`API Service Catalog si vous utilisez l'API pour créer de nouveaux comptes AWS Control Tower ou pour inscrire des comptes de membres existants :

**Note**  
Pour inscrire un compte membre existant à l'aide de l'`ProvisionProduct`API, le rôle `AWSControlTowerExecution` IAM doit exister sur le compte cible avant que vous n'appeliez l'API. Vous pouvez utiliser les mêmes paramètres d'entrée présentés dans l'exemple suivant pour la mise en service d'un nouveau compte et pour l'inscription d'un compte existant.

```
{
  pathId: "lpv2-7n2o3nudljh4e",
  productId: "prod-y422ydgjge2rs",
  provisionedProductName: "Example product 1",
  provisioningArtifactId: "pa-2mmz36cfpj2p4",
  provisioningParameters: [
    {
      key: "AccountEmail",
      value: "abc@amazon.com"
    },
    {
      key: "AccountName",
      value: "ABC"
    },
    {
      key: "ManagedOrganizationalUnit",
      value: "Custom (ou-xfe5-a8hb8ml8)"
    },
    {
      key: "SSOUserEmail",
      value: "abc@amazon.com"
    },
    {
      key: "SSOUserFirstName",
      value: "John"
    },
    {
      key: "SSOUserLastName",
      value: "Smith"
    }
  ],
  provisionToken: "c3c795a1-9824-4fb2-a4c2-4b1841be4068"
}
```

Pour plus d'informations, consultez la [référence d'API pour Service Catalog](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html).

**Note**  
Notez que le format de la chaîne d'entrée pour la valeur de `ManagedOrganizationalUnit` est passé de `OU_NAME` à`OU_NAME (OU_ID)`. La vidéo qui suit ne mentionne pas ce changement.

## Vidéo de procédure
<a name="automated-provisioning-video"></a>

Cette vidéo (6:58) explique comment automatiser les déploiements de comptes dans AWS Control Tower. Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.

[![AWS Videos](http://img.youtube.com/vi/LxxQTPdSFgw/0.jpg)](http://www.youtube.com/watch?v=LxxQTPdSFgw)


# Mettre à jour le produit fourni dans Service Catalog
<a name="update-provisioned-product"></a>

La procédure suivante vous explique comment mettre à jour votre compte dans Account Factory ou le déplacer vers une nouvelle unité d'organisation, en mettant à jour le produit provisionné du compte dans Service Catalog.

**Note**  
Si vous avez choisi de ne pas utiliser IAM Identity Center dans les paramètres de votre zone de landing zone, les valeurs que vous fournissez lors de la mise en service du compte avec la console AWS Service Catalog APIs OR ne sont pas utilisées.

**Pour mettre à jour un compte Account Factory ou modifier son unité d'organisation via Service Catalog**

1. Connectez-vous à la console AWS de gestion et ouvrez-la à l' AWS Service Catalog adresse [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/). 
**Note**  
Vous devez vous connecter en tant qu'utilisateur autorisé à fournir de nouveaux produits dans Service Catalog (par exemple, un utilisateur du IAM Identity Center dans un `AWSAccountFactory` ou plusieurs `AWSServiceCatalogAdmins` groupes).

1. Dans le volet de navigation, choisissez **Provisioning**, puis **Provisioned products**.

1.  Pour chacun des comptes membres répertoriés, effectuez les étapes suivantes pour mettre à jour tous les comptes membres :

   1. Sélectionnez un compte de membre. Vous êtes redirigé vers la page des *détails du produit provisionné* pour ce compte.

   1. Sur la page des *détails du produit provisionné*, choisissez l'onglet **Événements**.

   1. Notez les paramètres suivants :
      +  **SSOUserE-mail** (disponible dans les détails du produit approvisionné)
      +  **AccountEmail**(Disponible dans les détails du produit approvisionné)
      +  **SSOUserFirstName**(Disponible dans le centre d'identité IAM) 
      +  **SSOUSerLastName**(Disponible dans le centre d'identité IAM) 
      +  **AccountName**(Disponible dans le centre d'identité IAM) 

   1. À partir de **Actions**, choisissez **Update (Mettre à jour)**.

   1. Cliquez sur le bouton en regard de la **version** du produit que vous souhaitez mettre à jour, puis choisissez **Suivant**.

   1. Fournissez les valeurs de paramètres qui ont été mentionnées précédemment.
      + Si vous souhaitez conserver l'unité d'organisation existante **ManagedOrganizationalUnit**, choisissez l'unité d'organisation dans laquelle se trouvait déjà le compte.
      + Si vous souhaitez migrer le compte vers une nouvelle unité d'organisation **ManagedOrganizationalUnit**, choisissez la nouvelle unité d'organisation pour le compte.

       Un administrateur central du cloud peut trouver ces informations dans la console AWS Control Tower, sur la page **Organisation**.

   1. Choisissez **Suivant**.

   1. Examinez vos modifications, puis choisissez **Update (Mettre à jour)**. Ce processus peut prendre quelques minutes par compte.

# Désinscrire un compte dans Service Catalog
<a name="unenroll-with-sc"></a>

 La désinscription d'un compte peut être effectuée dans la console Service Catalog par un utilisateur d'IAM Identity Center du `AWSAccountFactory` groupe, en mettant fin au produit provisionné. Pour plus d'informations sur les utilisateurs ou les groupes d'IAM Identity Center, consultez la section [Gérer les utilisateurs et l'accès via AWS IAM Identity Center](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html). La procédure suivante décrit comment désinscrire un compte membre dans Service Catalog.

**Pour désinscrire un compte inscrit via Service Catalog**

1. Ouvrez la console Service Catalog dans votre navigateur Web à l'adresse[https://console.aws.amazon.com/servicecatalog](https://console.aws.amazon.com/servicecatalog).

1. Dans le volet de navigation de gauche, choisissez **Provisioned products list**.

1. Dans la liste des comptes provisionnés, choisissez le nom du compte que vous souhaitez qu'AWS Control Tower ne gère plus.

1. Sur la page **Provisioned product details (Détails du produit mis en service)**, dans le menu **Actions**, choisissez **Terminate (Résilier)**.

1. Dans la boîte de dialogue qui s'affiche, choisissez **Terminate (Résilier)**.
**Important**  
Le mot *terminate* est spécifique à Service Catalog. Lorsque vous résiliez un compte dans Service Catalog Account Factory, le compte n'est pas fermé. Cette action supprime le compte de son unité opérationnelle et de votre zone de landing zone.

1.  Lorsque le compte a été désinscrit, son statut passe à **Non inscrit**.

1. Si vous n'avez plus besoin du compte, fermez-le. Pour plus d'informations sur la fermeture de AWS comptes, consultez la section [Fermeture d'un compte](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) dans le *guide de AWS Billing l'utilisateur*

**Note**  
Attendez que le statut du compte indique **Non inscrit**.