Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Interagisci con gli account AWS Control Tower da AWS Service Catalog
<a name="handle-accounts-with-service-catalog"></a>

Questa sezione spiega come gestire i tuoi account AWS Control Tower con le funzionalità di AWS Service Catalog.

**Topics**
+ [Esegui il provisioning degli account nella console Service Catalog, con Account Factory](provision-as-end-user.md)
+ [Automatizza il provisioning degli account in AWS Control Tower by Service Catalog APIs](automated-provisioning-walkthrough.md)
+ [Aggiornare il prodotto fornito in Service Catalog](update-provisioned-product.md)
+ [Annullare la registrazione di un account in Service Catalog](unenroll-with-sc.md)

# Esegui il provisioning degli account nella console Service Catalog, con Account Factory
<a name="provision-as-end-user"></a>

 La procedura seguente descrive come creare e fornire account come utente in IAM Identity Center tramite AWS Service Catalog. Questa procedura viene anche denominata provisioning *avanzato degli account o provisioning* *manuale degli account*. Facoltativamente, potresti essere in grado di effettuare il provisioning degli account AWS Control Tower a livello di codice, con la AWS CLI APIs, con Service Catalog o con AWS Control Tower Account Factory for Terraform (AFT). Potresti essere in grado di fornire account personalizzati nella console se in precedenza hai configurato blueprint personalizzati. Per ulteriori informazioni sulla personalizzazione, consulta. [Personalizza gli account con Account Factory Customization (AFC)](af-customization-page.md)

**Per effettuare il provisioning degli account individualmente in Account Factory, come utente**

1. Accedi dall'URL del portale utente.

1. Da **Le tue applicazioni**, scegli **AWS Account**.

1. Dall'elenco degli account, scegli l'ID dell'account per il tuo account di gestione. Questo ID può anche avere un'etichetta, ad esempio **(Gestione)**. 

1. Da **AWSServiceCatalogEndUserAccess**, scegli **Console di gestione**. Si apre la finestra Console di gestione AWS per questo utente in questo account.

1. Assicurati di aver selezionato l'account corretto Regione AWS per il provisioning, che dovrebbe essere la tua regione AWS Control Tower.

1. Cerca e scegli **Service Catalog** per aprire la console Service Catalog.

1. Nel riquadro di navigazione, scegli **Prodotti**.

1. Seleziona **AWS Control Tower Account Factory**, quindi scegli il pulsante **Launch product**. Questa selezione avvia la procedura guidata per effettuare il provisioning di un nuovo account.

1. Compilare le informazioni e tenere presente quanto segue:
   + L'**SSOUsere-mail** può essere un nuovo indirizzo e-mail o l'indirizzo e-mail associato a un utente IAM Identity Center esistente. A prescindere dalla scelta, questo utente dispone dell'accesso a livello amministrativo all'account di cui si sta effettuando il provisioning.
   + **AccountEmail**Deve essere un indirizzo e-mail che non sia già associato a un Account AWS. Se hai usato un nuovo indirizzo email in **SSOUserEmail**, puoi usare quell'indirizzo email qui.

1. Non definire **TagOptions**e non abilitare **le notifiche**, altrimenti il provisioning dell'account potrebbe non essere eseguito. Quando hai finito, scegli **Launch product**.

1. Esaminare le impostazioni dell'account, quindi scegliere **Launch (Avvia)**. Non creare un piano di risorse, altrimenti l'account non verrà fornito.

1. L'account è ora in fase di provisioning. Il completamento può richiedere alcuni minuti. Puoi ricaricare la pagina per aggiornare le informazioni sullo stato visualizzate.
**Nota**  
È possibile effettuare il provisioning di fino a cinque account alla volta.

# Automatizza il provisioning degli account in AWS Control Tower by Service Catalog APIs
<a name="automated-provisioning-walkthrough"></a>

AWS Control Tower è integrato con diversi altri AWS servizi, ad esempio AWS Service Catalog. Puoi utilizzarlo APIs per creare e fornire i tuoi account membro in AWS Control Tower o per registrare account membro esistenti.

**Nota**  
Se hai disattivato IAM Identity Center nelle impostazioni della landing zone, i valori forniti durante il provisioning dell'account con la console AWS Service Catalog APIs o non vengono utilizzati.

Il video mostra come effettuare il provisioning degli account in modo automatico e in batch, chiamando il. AWS Service Catalog APIs Per il provisioning, chiamerai l'[https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html)API dall'interfaccia a riga di AWS comando (CLI) e specificherai un file JSON che contiene i parametri per ogni account che desideri configurare. Il video illustra l'installazione e l'utilizzo dell'ambiente di sviluppo [AWS Cloud9](https://docs.aws.amazon.com//cloud9/latest/user-guide/welcome.html) per eseguire questo lavoro. I comandi CLI sarebbero gli stessi se si utilizza AWS Cloudshell anziché Cloud9. AWS 

**Nota**  
Puoi anche adattare questo approccio per automatizzare gli aggiornamenti degli account, chiamando l'[https://docs.aws.amazon.com//servicecatalog/latest/dg/API_UpdateProvisionedProduct.html](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_UpdateProvisionedProduct.html)API di per ogni account. AWS Service Catalog È possibile scrivere uno script per aggiornare gli account, uno per uno.

Trattandosi di un metodo di automazione completamente diverso, se conosci Terraform, puoi effettuare il [provisioning degli account con AWS Control Tower Account Factory for Terraform (AFT)](taf-account-provisioning.md).

**Esempio di ruolo di amministrazione dell'automazione**

Ecco un modello di esempio che puoi utilizzare per configurare il tuo ruolo di amministrazione dell'automazione nell'account di gestione. È necessario configurare questo ruolo nel proprio account di gestione in modo che possa eseguire l'automazione con l'accesso di amministratore negli account di destinazione.

```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the SampleAutoAdminRole

Resources:
  AdministrationRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: SampleAutoAdminRole
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              Service: cloudformation.amazonaws.com
            Action:
              - sts:AssumeRole
      Path: /
      Policies:
        - PolicyName: AssumeSampleAutoAdminRole
          PolicyDocument:
            Version: 2012-10-17		 	 	 
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - "arn:aws:iam::*:role/SampleAutomationExecutionRole"
```

**Esempio di ruolo di esecuzione dell'automazione**

Di seguito è riportato un modello di esempio che è possibile utilizzare per configurare il ruolo di esecuzione dell'automazione. Dovresti configurare questo ruolo negli account di destinazione.

```
AWSTemplateFormatVersion: "2010-09-09"
Description: "Create automation execution role for creating Sample Additional Role."

Parameters:
  AdminAccountId:
    Type: "String"
    Description: "Account ID for the administrator account (typically management, security or shared services)."
  AdminRoleName:
    Type: "String"
    Description: "Role name for automation administrator access."
    Default: "SampleAutomationAdministrationRole"
  ExecutionRoleName:
    Type: "String"
    Description: "Role name for automation execution."
    Default: "SampleAutomationExecutionRole"
  SessionDurationInSecs:
    Type: "Number"
    Description: "Maximum session duration in seconds."
    Default: 14400

Resources:
  # This needs to run after AdminRoleName exists.
  ExecutionRole:
    Type: "AWS::IAM::Role"
    Properties:
      RoleName: !Ref ExecutionRoleName
      MaxSessionDuration: !Ref SessionDurationInSecs
      AssumeRolePolicyDocument:
        Version: "2012-10-17"		 	 	 
        Statement:
          - Effect: "Allow"
            Principal:
              AWS:
                - !Sub "arn:aws:iam::${AdminAccountId}:role/${AdminRoleName}"
            Action:
              - "sts:AssumeRole"
      Path: "/"
      ManagedPolicyArns:
        - "arn:aws:iam::aws:policy/AdministratorAccess"
```

Dopo aver configurato questi ruoli, li chiami AWS Service Catalog APIs per eseguire le attività automatiche. I comandi CLI sono riportati nel video.

## Esempio di input di provisioning per l'API Service Catalog
<a name="sample-sc-api-input"></a>

Ecco un esempio dell'input che puoi fornire all'API Service Catalog se utilizzi l'`ProvisionProduct`API per fornire nuovi account AWS Control Tower o per registrare account membri esistenti:

**Nota**  
Per registrare un account membro esistente utilizzando l'`ProvisionProduct`API, il ruolo `AWSControlTowerExecution` IAM deve esistere sull'account di destinazione prima di chiamare l'API. È possibile utilizzare gli stessi parametri di input mostrati nell'esempio seguente sia per il provisioning di nuovi account che per la registrazione di account esistenti.

```
{
  pathId: "lpv2-7n2o3nudljh4e",
  productId: "prod-y422ydgjge2rs",
  provisionedProductName: "Example product 1",
  provisioningArtifactId: "pa-2mmz36cfpj2p4",
  provisioningParameters: [
    {
      key: "AccountEmail",
      value: "abc@amazon.com"
    },
    {
      key: "AccountName",
      value: "ABC"
    },
    {
      key: "ManagedOrganizationalUnit",
      value: "Custom (ou-xfe5-a8hb8ml8)"
    },
    {
      key: "SSOUserEmail",
      value: "abc@amazon.com"
    },
    {
      key: "SSOUserFirstName",
      value: "John"
    },
    {
      key: "SSOUserLastName",
      value: "Smith"
    }
  ],
  provisionToken: "c3c795a1-9824-4fb2-a4c2-4b1841be4068"
}
```

Per ulteriori informazioni, consulta il [riferimento all'API per Service Catalog](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html).

**Nota**  
Si noti che il formato della stringa di input per il valore di `ManagedOrganizationalUnit` è cambiato da `OU_NAME` a`OU_NAME (OU_ID)`. Il video che segue non menziona questa modifica.

## Procedura guidata: video
<a name="automated-provisioning-video"></a>

Questo video (6:58) descrive come automatizzare le distribuzioni degli account in AWS Control Tower. Per una migliore visualizzazione, seleziona l'icona nell'angolo in basso a destra del video per ingrandirlo a schermo intero. È disponibile la didascalia.

[![AWS Videos](http://img.youtube.com/vi/LxxQTPdSFgw/0.jpg)](http://www.youtube.com/watch?v=LxxQTPdSFgw)


# Aggiornare il prodotto fornito in Service Catalog
<a name="update-provisioned-product"></a>

La procedura seguente illustra come aggiornare l'account in Account Factory o spostarlo in una nuova unità organizzativa, aggiornando il prodotto fornito dall'account in Service Catalog.

**Nota**  
Se hai disattivato IAM Identity Center nelle impostazioni della landing zone, i valori forniti durante il provisioning dell'account con la console AWS Service Catalog APIs o non vengono utilizzati.

**Per aggiornare un account Account Factory o modificarne l'unità organizzativa tramite Service Catalog**

1. Accedi alla console di AWS gestione e apri la AWS Service Catalog console all'indirizzo [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/). 
**Nota**  
È necessario accedere come utente con le autorizzazioni per fornire nuovi prodotti in Service Catalog (ad esempio, un utente IAM Identity Center in uno `AWSAccountFactory` o più `AWSServiceCatalogAdmins` gruppi).

1. Nel riquadro di navigazione, scegli **Provisioning**, quindi scegli **Provisioned** products.

1.  Per ciascuno degli account membro elencati, esegui le seguenti operazioni per aggiornare tutti gli account membro:

   1. Seleziona un account membro. Verrai indirizzato alla pagina dei *dettagli del prodotto Provisioned* relativa a quell'account.

   1. Nella pagina dei *dettagli del prodotto Provisioned*, scegli la scheda **Eventi**.

   1. Prendere nota dei seguenti parametri:
      +  **SSOUserE-mail** (disponibile nei dettagli del prodotto fornito)
      +  **AccountEmail**(Disponibile nei dettagli del prodotto fornito)
      +  **SSOUserFirstName**(Disponibile in IAM Identity Center) 
      +  **SSOUSerLastName**(Disponibile in IAM Identity Center) 
      +  **AccountName**(Disponibile in IAM Identity Center) 

   1. Da **Actions (Operazioni)**, scegliere **Update (Aggiorna)**.

   1. Scegliere il pulsante accanto alla casella **Version (Versione)** del prodotto da aggiornare e selezionare **Next (Avanti)**.

   1. Fornire i valori dei parametri citati in precedenza.
      + Se desideri mantenere l'unità organizzativa esistente **ManagedOrganizationalUnit**, scegli l'unità organizzativa in cui si trovava già l'account.
      + Se desideri migrare l'account verso una nuova unità organizzativa **ManagedOrganizationalUnit**, scegli la nuova unità organizzativa per l'account.

       Un amministratore cloud centrale può trovare queste informazioni nella console AWS Control Tower, nella pagina **Organizzazione**.

   1. Scegli **Next (Successivo)**.

   1. Rivedere le modifiche, quindi scegliere **Update (Aggiorna)**. Questo processo può richiedere alcuni minuti per account.

# Annullare la registrazione di un account in Service Catalog
<a name="unenroll-with-sc"></a>

 L'annullamento della registrazione di un account può essere effettuato nella console Service Catalog da un utente IAM Identity Center del `AWSAccountFactory` gruppo, interrompendo il Provisioned Product. Per ulteriori informazioni sugli utenti o i gruppi di IAM Identity Center, consulta [Gestione degli utenti](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html) e accesso tramite. AWS IAM Identity Center La procedura seguente descrive come annullare la registrazione di un account membro in Service Catalog.

**Per annullare la registrazione di un account registrato tramite Service Catalog**

1. Apri la console Service Catalog nel tuo browser web all'indirizzo[https://console.aws.amazon.com/servicecatalog](https://console.aws.amazon.com/servicecatalog).

1. Nel riquadro di navigazione a sinistra, scegli **Elenco prodotti Provisioned**.

1. Dall'elenco degli account assegnati, scegli il nome dell'account che desideri che AWS Control Tower non gestisca più.

1. Nella pagina **Provisioned product details (Dettagli del prodotto per cui è stato effettuato il provisioning)**, dal menu **Actions (Operazioni)**, scegliere **Terminate (Termina)**.

1. Dalla finestra di dialogo che viene visualizzata, scegliere **Terminate (Termina)**.
**Importante**  
La parola *terminare* è specifica di Service Catalog. Quando si chiude un account in Service Catalog Account Factory, l'account non viene chiuso. Questa azione rimuove l'account dalla relativa unità organizzativa e dalla landing zone.

1.  Quando l'account è stato annullato, il suo stato diventa **Non** registrato.

1. Se non ti serve più l'account, chiudilo. Per ulteriori informazioni sulla chiusura AWS degli account, consulta [Chiusura di un account](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) nella *Guida AWS Billing per l'utente*

**Nota**  
Attendi che venga visualizzato lo stato dell'account **Non registrato**.