Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Berinteraksi dengan akun AWS Control Tower dari AWS Service Catalog
Bagian ini menjelaskan cara menangani akun AWS Control Tower Anda dengan kemampuan AWS Service Catalog.
**Topics**
+ [Menyediakan akun di konsol Service Catalog, dengan Account Factory](provision-as-end-user.md)
+ [Mengotomatiskan Penyediaan Akun di AWS Control Tower menurut Service Catalog APIs](automated-provisioning-walkthrough.md)
+ [Memperbarui produk yang disediakan di Service Catalog](update-provisioned-product.md)
+ [Membatalkan pendaftaran akun di Service Catalog](unenroll-with-sc.md)
# Menyediakan akun di konsol Service Catalog, dengan Account Factory
Prosedur berikut menjelaskan cara membuat dan menyediakan akun sebagai pengguna di IAM Identity Center melalui AWS Service Catalog. Prosedur ini juga disebut sebagai *penyediaan akun lanjutan, atau penyediaan* *akun manual*. Secara opsional, Anda mungkin dapat menyediakan akun AWS Control Tower secara terprogram, AWS dengan CLI, dengan Service Catalog APIs, atau dengan AWS Control Tower Account Factory for Terraform (AFT). Anda mungkin dapat menyediakan akun yang disesuaikan di konsol jika sebelumnya Anda telah menyiapkan cetak biru khusus. Untuk informasi selengkapnya tentang kustomisasi, lihat[Kustomisasi akun dengan Kustomisasi Account Factory (AFC)](af-customization-page.md).
**Untuk menyediakan akun secara individual di Account Factory, sebagai pengguna**
1. Masuk dari URL portal pengguna Anda.
1. Dari **aplikasi Anda**, pilih **AWS Akun**.
1. Dari daftar akun, pilih ID akun untuk akun manajemen Anda. ID ini mungkin juga memiliki label, misalnya, **(Manajemen)**.
1. Dari **AWSServiceCatalogEndUserAccess**, pilih **Konsol manajemen**. Ini membuka Konsol Manajemen AWS untuk pengguna ini di akun ini.
1. Pastikan Anda telah memilih yang benar Wilayah AWS untuk menyediakan akun, yang seharusnya merupakan Wilayah AWS Control Tower Anda.
1. Cari dan pilih **Service Catalog** untuk membuka konsol Service Catalog.
1. Di panel navigasi, pilih **Produk**.
1. Pilih **AWS Control Tower Account Factory**, lalu pilih tombol **Luncurkan produk**. Pilihan ini memulai wizard untuk menyediakan akun baru.
1. Isi informasinya, dan ingatlah hal-hal berikut:
+ **SSOUserEmail** dapat berupa alamat email baru, atau alamat email yang terkait dengan pengguna Pusat Identitas IAM yang ada. Apapun yang Anda pilih, pengguna ini akan memiliki akses administratif ke akun yang Anda sediakan.
+ **AccountEmail**Harus berupa alamat email yang belum dikaitkan dengan file Akun AWS. Jika Anda menggunakan alamat email baru di **SSOUserEmail**, Anda dapat menggunakan alamat email tersebut di sini.
1. Jangan tentukan **TagOptions**dan jangan aktifkan **Pemberitahuan**, jika tidak, akun dapat gagal disediakan. Setelah selesai, pilih **Luncurkan produk**.
1. Tinjau pengaturan akun Anda, lalu pilih **Luncurkan**. Jangan membuat rencana sumber daya, jika tidak, akun akan gagal disediakan.
1. Akun Anda sekarang sedang disediakan. Ini bisa memakan waktu beberapa menit untuk menyelesaikannya. Anda dapat me-refresh halaman untuk memperbarui informasi status yang ditampilkan.
**catatan**
Hingga lima akun dapat disediakan sekaligus.
# Mengotomatiskan Penyediaan Akun di AWS Control Tower menurut Service Catalog APIs
AWS Control Tower terintegrasi dengan beberapa AWS layanan lain, seperti AWS Service Catalog. Anda dapat menggunakan APIs untuk membuat dan menyediakan akun anggota Anda di AWS Control Tower, atau untuk mendaftarkan akun anggota yang ada.
**catatan**
Jika Anda telah memilih keluar dari IAM Identity Center di pengaturan landing zone, nilai yang Anda berikan selama penyediaan akun dengan AWS Service Catalog APIs atau konsol tidak akan digunakan.
Video menunjukkan kepada Anda cara menyediakan akun secara otomatis, secara batch, dengan menelepon AWS Service Catalog APIs. Untuk penyediaan, Anda akan memanggil [https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html)API dari antarmuka baris AWS perintah (CLI), dan Anda akan menentukan file JSON yang berisi parameter untuk setiap akun yang ingin Anda atur. Video menggambarkan menginstal dan menggunakan lingkungan pengembangan [AWS Cloud9](https://docs.aws.amazon.com//cloud9/latest/user-guide/welcome.html) untuk melakukan pekerjaan ini. Perintah CLI akan sama jika Anda menggunakan Cloudshell AWS alih-alih Cloud9. AWS
**catatan**
Anda juga dapat menyesuaikan pendekatan ini untuk mengotomatiskan pembaruan akun, dengan memanggil [https://docs.aws.amazon.com//servicecatalog/latest/dg/API_UpdateProvisionedProduct.html](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_UpdateProvisionedProduct.html)API AWS Service Catalog untuk setiap akun. Anda dapat menulis skrip untuk memperbarui akun, satu per satu.
Sebagai metode otomatisasi yang sama sekali berbeda, jika Anda terbiasa dengan Terraform, Anda dapat [menyediakan akun dengan AWS Control Tower Account Factory for Terraform](taf-account-provisioning.md) (AFT).
**Contoh peran administrasi otomatisasi**
Berikut adalah contoh templat yang dapat Anda gunakan untuk membantu mengonfigurasi peran administrasi otomatisasi Anda di akun manajemen. Anda akan mengonfigurasi peran ini di akun manajemen Anda sehingga dapat melakukan otomatisasi dengan akses Administrator di akun target.
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the SampleAutoAdminRole
Resources:
AdministrationRole:
Type: AWS::IAM::Role
Properties:
RoleName: SampleAutoAdminRole
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service: cloudformation.amazonaws.com
Action:
- sts:AssumeRole
Path: /
Policies:
- PolicyName: AssumeSampleAutoAdminRole
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- sts:AssumeRole
Resource:
- "arn:aws:iam::*:role/SampleAutomationExecutionRole"
```
**Contoh peran eksekusi otomatisasi**
Berikut adalah contoh template yang dapat Anda gunakan untuk membantu Anda mengatur peran eksekusi otomatisasi Anda. Anda akan mengonfigurasi peran ini di akun target.
```
AWSTemplateFormatVersion: "2010-09-09"
Description: "Create automation execution role for creating Sample Additional Role."
Parameters:
AdminAccountId:
Type: "String"
Description: "Account ID for the administrator account (typically management, security or shared services)."
AdminRoleName:
Type: "String"
Description: "Role name for automation administrator access."
Default: "SampleAutomationAdministrationRole"
ExecutionRoleName:
Type: "String"
Description: "Role name for automation execution."
Default: "SampleAutomationExecutionRole"
SessionDurationInSecs:
Type: "Number"
Description: "Maximum session duration in seconds."
Default: 14400
Resources:
# This needs to run after AdminRoleName exists.
ExecutionRole:
Type: "AWS::IAM::Role"
Properties:
RoleName: !Ref ExecutionRoleName
MaxSessionDuration: !Ref SessionDurationInSecs
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Principal:
AWS:
- !Sub "arn:aws:iam::${AdminAccountId}:role/${AdminRoleName}"
Action:
- "sts:AssumeRole"
Path: "/"
ManagedPolicyArns:
- "arn:aws:iam::aws:policy/AdministratorAccess"
```
Setelah mengonfigurasi peran ini, Anda memanggil AWS Service Catalog APIs untuk melakukan tugas otomatis. Perintah CLI diberikan dalam video.
## Contoh masukan penyediaan untuk Service Catalog API
Berikut adalah contoh masukan yang dapat Anda berikan ke Service Catalog `ProvisionProduct` API jika Anda menggunakan API untuk menyediakan akun AWS Control Tower baru atau mendaftarkan akun anggota yang ada:
**catatan**
Untuk mendaftarkan akun anggota yang ada menggunakan `ProvisionProduct` API, peran `AWSControlTowerExecution` IAM harus ada di akun target sebelum Anda memanggil API. Anda dapat menggunakan parameter input yang sama yang ditunjukkan dalam contoh berikut untuk penyediaan akun baru dan pendaftaran akun yang sudah ada.
```
{
pathId: "lpv2-7n2o3nudljh4e",
productId: "prod-y422ydgjge2rs",
provisionedProductName: "Example product 1",
provisioningArtifactId: "pa-2mmz36cfpj2p4",
provisioningParameters: [
{
key: "AccountEmail",
value: "abc@amazon.com"
},
{
key: "AccountName",
value: "ABC"
},
{
key: "ManagedOrganizationalUnit",
value: "Custom (ou-xfe5-a8hb8ml8)"
},
{
key: "SSOUserEmail",
value: "abc@amazon.com"
},
{
key: "SSOUserFirstName",
value: "John"
},
{
key: "SSOUserLastName",
value: "Smith"
}
],
provisionToken: "c3c795a1-9824-4fb2-a4c2-4b1841be4068"
}
```
Untuk informasi selengkapnya, lihat [referensi API untuk Service Catalog](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html).
**catatan**
Perhatikan bahwa format string input untuk nilai `ManagedOrganizationalUnit` telah berubah dari `OU_NAME` ke`OU_NAME (OU_ID)`. Video berikut tidak menyebutkan perubahan ini.
## Panduan Video
Video ini (6:58) menjelaskan cara mengotomatiskan penerapan akun di AWS Control Tower. Untuk tampilan yang lebih baik, pilih ikon di sudut kanan bawah video untuk memperbesarnya ke layar penuh. Captioning tersedia.
[](http://www.youtube.com/watch?v=LxxQTPdSFgw)
# Memperbarui produk yang disediakan di Service Catalog
Prosedur berikut memandu Anda melalui cara memperbarui akun Anda di Account Factory atau memindahkannya ke OU baru, dengan memperbarui produk yang disediakan akun di Service Catalog.
**catatan**
Jika Anda telah memilih keluar dari IAM Identity Center di pengaturan landing zone, nilai yang Anda berikan selama penyediaan akun dengan AWS Service Catalog APIs atau konsol tidak akan digunakan.
**Untuk memperbarui akun Account Factory atau mengubah OU melalui Service Catalog**
1. Masuk ke AWS Management Console, dan buka AWS Service Catalog konsol di [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).
**catatan**
Anda harus masuk sebagai pengguna dengan izin untuk menyediakan produk baru di Service Catalog (misalnya, pengguna IAM Identity Center di `AWSAccountFactory` atau `AWSServiceCatalogAdmins` grup).
1. **Di panel navigasi, pilih **Provisioning, lalu pilih Provisioned** products.**
1. Untuk setiap akun anggota yang terdaftar, lakukan langkah-langkah berikut untuk memperbarui semua akun anggota:
1. Pilih akun anggota. Anda diarahkan ke halaman *detail produk yang disediakan* untuk akun tersebut.
1. Pada halaman *Detail produk yang disediakan*, pilih tab **Acara**.
1. Catat parameter berikut:
+ **SSOUserEmail** (Tersedia dalam detail produk yang disediakan)
+ **AccountEmail**(Tersedia dalam detail produk yang disediakan)
+ **SSOUserFirstName**(Tersedia di Pusat Identitas IAM)
+ **SSOUSerLastName**(Tersedia di Pusat Identitas IAM)
+ **AccountName**(Tersedia di Pusat Identitas IAM)
1. Dari **Tindakan**, pilih **Perbarui**.
1. Pilih tombol di sebelah **Versi** produk yang ingin Anda perbarui, dan pilih **Berikutnya**.
1. Berikan nilai parameter yang disebutkan sebelumnya.
+ Jika Anda ingin menyimpan OU yang ada, untuk **ManagedOrganizationalUnit**, pilih OU yang sudah ada di akun tersebut.
+ Jika Anda ingin memigrasikan akun ke OU baru, untuk **ManagedOrganizationalUnit**, pilih OU baru untuk akun tersebut.
Administrator cloud pusat dapat menemukan informasi ini di konsol AWS Control Tower, di halaman **Organisasi**.
1. Pilih **Berikutnya**.
1. Tinjau perubahan Anda, lalu pilih **Perbarui**. Proses ini dapat memakan waktu beberapa menit per akun.
# Membatalkan pendaftaran akun di Service Catalog
Membatalkan pendaftaran akun dapat dilakukan di konsol Service Catalog oleh pengguna IAM Identity Center di `AWSAccountFactory` grup, dengan menghentikan Produk yang Disediakan. Untuk informasi selengkapnya tentang pengguna atau grup Pusat Identitas IAM, lihat [Mengelola pengguna dan mengakses melalui AWS IAM Identity Center](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html). Prosedur berikut menjelaskan cara membuka pendaftaran akun anggota di Service Catalog.
**Untuk membatalkan pendaftaran akun yang terdaftar melalui Service Catalog**
1. Buka konsol Service Catalog di browser web Anda di[https://console.aws.amazon.com/servicecatalog](https://console.aws.amazon.com/servicecatalog).
1. Di panel navigasi kiri, pilih Daftar produk yang **disediakan.**
1. Dari daftar akun yang disediakan, pilih nama akun yang ingin AWS Control Tower tidak lagi dikelola.
1. **Pada halaman **Detail produk yang disediakan**, dari menu **Tindakan**, pilih Hentikan.**
1. Dari kotak dialog yang muncul, pilih **Hentikan.**
**penting**
Kata *terminate* khusus untuk Service Catalog. Ketika Anda mengakhiri akun di Service Catalog Account Factory, akun tersebut tidak ditutup. Tindakan ini menghapus akun dari OU dan landing zone Anda.
1. Ketika akun telah dibuka, statusnya berubah menjadi **Tidak** Terdaftar.
1. Jika Anda tidak lagi membutuhkan akun, tutuplah. Untuk informasi selengkapnya tentang menutup AWS akun, lihat [Menutup akun](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) di *Panduan AWS Billing Pengguna*
**catatan**
Tunggu status akun ditampilkan **Tidak terdaftar**.