Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sposta e registra gli account con la registrazione automatica
La funzione di registrazione automatica dell'account è disponibile per le zone di atterraggio della versione 3.1 e successive.
Se abiliti facoltativamente questa funzionalità, puoi utilizzare le AWS Organizations API e la console per spostare gli account in AWS Control Tower, senza creare differenze di ereditarietà. L'account riceve automaticamente le risorse di base e le configurazioni di controllo dall'unità organizzativa (OU) di destinazione in AWS Control Tower. Questa funzionalità opzionale consente inoltre di spostare gli account tra le unità organizzative all'interno di AWS Control Tower, senza creare differenze di ereditarietà, se le due unità organizzative hanno la stessa configurazione di base e gli stessi controlli abilitati.
Per attivare la registrazione automatica: puoi selezionare la registrazione automatica degli account nella pagina delle impostazioni della landing zone nella console AWS Control Tower oppure chiamando la torre di controllo AWS o le UpdateLandingZone API, con il valore del CreateLandingZone parametro impostato su Inheritance Drift. RemediationType
Per registrare gli account: dopo aver attivato la registrazione automatica, sposta un account in un'unità organizzativa registrata utilizzando la AWS Organizations console, l' AWS Organizations
MoveAccountAPI o la console AWS Control Tower. L'account riceve automaticamente le risorse e i controlli di base da quell'unità organizzativa. Ciò vale sia per gli account esistenti che per gli account appena creati (che per impostazione predefinita vengono creati nella radice dell'organizzazione).
Per annullare la registrazione di un account: sposta l'account in un'unità organizzativa non registrata presso AWS Control Tower o nella directory principale dell'organizzazione. AWS Control Tower rimuove automaticamente tutte le risorse e i controlli di base distribuiti.
Nota
Se le Account membro trasferito unità organizzative di origine e di destinazione in AWS Control Tower hanno configurazioni diverse, l'account potrebbe mostrare delle variazioni.
Prerequisiti: configurazione per la registrazione automatica
-
Devi eseguire AWS Control Tower landing zone versione 3.1 o successiva.
-
Attiva la funzionalità di registrazione automatica di AWS Control Tower tramite la pagina delle impostazioni della landing zone nella console o tramite le API della zona di atterraggio di AWS Control Tower, impostando il valore del parametro su.
RemediationTypesInheritance DriftDopo l'attivazione, AWS Control Tower reagisce aglimove accounteventi e corregge immediatamente la deriva ereditaria per gli account trasferiti AWS Organizations, per tuo conto.
Autorizzazioni richieste
Per utilizzare l'API e l'API sono necessari ruoli e autorizzazioni specifici. AWS Organizations
CreateAccount MoveAccount Per ulteriori informazioni sull'utilizzo AWS Organizations con AWS Control Tower, consulta AWS Control Tower e AWS Organizations.
Esempi di utilizzo delle API
Per ulteriori informazioni ed esempi su queste API, consulta CreateAccounte MoveAccountnell'AWS Organizations API Reference.
Considerazioni
-
Cronologia della registrazione: un account trasferito in un'unità organizzativa registrata presso AWS Control Tower viene registrato con un eventuale modello di coerenza. Questo processo richiede in genere alcuni minuti, fino a diverse ore, a seconda del numero di account trasferiti.
-
AWS Prodotti forniti dal Service Catalog: Auto-enrollment non crea, modifica o termina i prodotti forniti dal AWS Service Catalog. Se un account era stato precedentemente registrato tramite Account Factory e ha un prodotto fornito associato, tale prodotto fornito rimane nell'account di gestione dopo l'annullamento della registrazione dell'account. Per ripulire i prodotti con provisioning orfani, consulta Eliminazione dei prodotti forniti nella AWS Service Catalog User Guide.
