View a markdown version of this page

Transfer akun ke organisasi yang berbeda - AWS Control Tower
PrasyaratLangkah 1: Buka pendaftaran akun dari AWS Control TowerLangkah 2: Transfer akun ke organisasi tujuanLangkah 3: Daftarkan akun di organisasi tujuanPertimbangan tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Transfer akun ke organisasi yang berbeda

Anda dapat mentransfer akun anggota yang terdaftar di AWS Control Tower ke AWS Organizations organisasi lain.

Prasyarat

  • Akun harus terdaftar di AWS Control Tower di organisasi sumber. Artinya, akun memiliki garis dasar, kontrol proaktif, atau kontrol detektif yang diterapkan padanya.

  • Akun harus dibuat setidaknya 4 hari sebelum transfer.

  • Anda harus memiliki akses ke akun manajemen organisasi sumber dan tujuan.

Langkah 1: Buka pendaftaran akun dari AWS Control Tower

Sebelum Anda mentransfer akun, Anda harus menonaktifkan semua sumber daya AWS Control Tower yang langsung diterapkan padanya. Akun dapat terus mewarisi kontrol pencegahan.

Jika Anda menggunakan Auto Enroll

Pindahkan akun ke salah satu lokasi berikut:

  • Akar organisasi

  • OU yang tidak terkelola

  • Dengan Landing Zone 4.0 atau yang lebih baru, OU yang hanya mengaktifkan kontrol preventif

Jika Anda tidak menggunakan Auto Enroll

Metode di bawah ini juga tersedia jika Anda menggunakan Auto Enroll.

  • Untuk akun dengan AWS Control Tower dan Backup baseline, pilih Unmanage dari konsol AWS Control Tower. Anda juga dapat menghentikan produk yang disediakan dengan AWS Service Catalog atau konsol. APIs

  • Untuk akun dengan baseline AWS Config, nonaktifkan baseline AWS Config di OU, atau pindahkan akun ke root dan gunakan API. DisableBaseline

Langkah 2: Transfer akun ke organisasi tujuan

Setelah semua baseline AWS Control Tower dan kontrol yang diterapkan ke akun selain kontrol preventif dinonaktifkan, selesaikan transfer.

  1. Dari akun manajemen organisasi tujuan, kirim undangan ke akun anggota.

  2. Terima undangan dari akun anggota.

  3. Dari akun manajemen organisasi tujuan, pindahkan akun ke OU yang diinginkan.

Untuk petunjuk tentang proses migrasi, lihat Memigrasi AWS akun ke organisasi lain di Panduan AWS Organizations Pengguna.

Langkah 3: Daftarkan akun di organisasi tujuan

Setelah akun berada di organisasi tujuan, daftarkan di AWS Control Tower.

  • Jika Auto Enroll diaktifkan di zona landing zone AWS Control Tower yang mengatur organisasi tujuan, AWS Control Tower secara otomatis menerapkan baseline dan kontrol ke akun.

  • Jika Anda tidak menggunakan Auto Enroll di organisasi tujuan, daftarkan akun secara manual di AWS Control Tower. Untuk informasi selengkapnya, lihat Tentang mendaftarkan akun yang ada.

Pertimbangan tambahan

Periode tunggu

Akun yang dibuat melalui AWS Organizations atau Account Factory harus berusia minimal 4 hari sebelum Anda dapat mentransfernya atau menghapusnya dari organisasi. Untuk informasi selengkapnya, lihat Menghapus akun anggota dari organisasi di Panduan AWS Organizations Pengguna.

AWS Batas agregator Config

Saat mentransfer beberapa akun, Anda mungkin mencapai batas AWS Config untuk jumlah maksimum akun yang ditambahkan atau dihapus per minggu untuk semua agregator (1.000). Untuk meminta peningkatan batas, lihat Batas layanan AWS Config. Anda juga dapat meningkatkan ke landing zone versi 4.0, yang menggunakan agregator Config terkait layanan. Untuk detail selengkapnya, lihat Pembaruan AWS Config di landing zone versi 4.0.

Akses akun anggota

Akun yang tidak terdaftar tidak memiliki peranAWSControlTowerExecution. Saat Anda menonaktifkan garis dasar Config atau AWS Control Tower, AWS Control Tower menghapus peran pelaksanaannya dan menambahkan. OrganizationsAccountAccessRole Anda dapat menggunakan peran ini untuk menerima undangan untuk organisasi tujuan.

Ketika akun terdaftar di organisasi tujuan, AWSControlTowerExecution peran dibuat. Peran ini menggantikan OrganizationsAccountAccessRole dan mempercayai akun manajemen baru.

AWS Service Catalog dan Auto Enroll

Auto Enroll tidak bertindak atas sumber daya di AWS Service Catalog. Setiap produk yang disediakan Account Factory tetap berada di akun manajemen meskipun akun yang mendasarinya tidak terdaftar. Untuk menghentikan produk yang disediakan ini di akun manajemen, lihat Menghapus produk yang disediakan di Panduan Pengguna Service Catalog.AWS Semua cetak biru Kustomisasi Account Factory (AFC) tetap ada di akun.