Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Approvisionnement et gestion de comptes dans AWS Control Tower
Ce chapitre inclut :
une présentation et des procédures de mise en service et de gestion de nouveaux comptes membres dans AWS Control Tower.
une présentation et les procédures d'inscription d'un AWS compte existant dans AWS Control Tower.
Pour obtenir des informations générales sur les comptes dans AWS Control Tower, consultezComptes AWS À propos d'AWS Control Tower. Pour plus d'informations sur l'inscription de plusieurs comptes dans AWS Control Tower, consultez. Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower
Note
La fourniture, la mise à jour et la personnalisation d'un compte unique doivent cibler une unité organisationnelle (UO) AWSControl TowerBaseline activée. Si l'unité organisationnelle n'est pas AWSControl TowerBaseline activée, vous pouvez activer l'inscription automatique du compte ou utiliser ResetEnabledBaseline et encore ResetEnabledControl APIs EnabledControls sur cette EnabledBaselines unité d'organisation pour inscrire des comptes. Pour plus de détails sur AWSControlTowerBaseline, voir :Types de référence qui s'appliquent au niveau de l'UO.
Note
Vous pouvez effectuer jusqu'à cinq (5) opérations liées au compte simultanément, notamment le provisionnement, la mise à jour et l'inscription.
Autorisations requises pour le provisionnement des comptes
Avec les autorisations de groupe d'utilisateurs appropriées, les fournisseurs peuvent spécifier des lignes de base normalisées et des configurations réseau pour tous les comptes de leur organisation.
Lorsque vous créez des comptes à partir de la console AWS Control Tower avec Account Factory, vous devez être connecté à un compte avec un utilisateur IAM dont la AWSServiceCatalogEndUserFullAccess politique est activée, ainsi que les autorisations nécessaires pour utiliser la console AWS Control Tower, et vous ne pouvez pas être connecté en tant qu'utilisateur root.
Note
Lors de la mise en service d'un compte, le demandeur du compte doit toujours disposer des autorisations CreateAccount et des DescribeCreateAccountStatus autorisations. Cet ensemble d'autorisations fait partie du rôle d'administrateur et est accordé automatiquement lorsqu'un demandeur assume le rôle d'administrateur. Si vous déléguez l'autorisation de provisionner des comptes, vous devrez peut-être ajouter ces autorisations directement aux demandeurs de comptes.
Pour obtenir des informations générales sur les autorisations requises dans AWS Control Tower, consultezUtilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower. Pour plus d'informations sur les rôles et les comptes dans AWS Control Tower, consultez la section Rôles et comptes.
