As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Provisione e gerencie contas com o Account Factory
<a name="account-factory"></a>

**nota**  
O provisionamento, a atualização e a personalização de uma única conta devem ter como alvo uma unidade organizacional (OU) AWSControl TowerBaseline ativada. Se uma OU não tiver a AWSControl TowerBaseline opção ativada, você poderá ativar a inscrição automática da conta ou usar ResetEnabledBaseline EnabledBaselines e ResetEnabledControl APIs EnabledControls sobre essa OU para inscrever contas. Para obter detalhes sobre AWSControlTowerBaseline, consulte:[Tipos de linha de base que se aplicam no nível da OU](types-of-baselines.md#ou-baseline-types). 

 Este capítulo inclui uma visão geral e procedimentos para provisionar novas contas-membros em uma zona de pouso do AWS Control Tower com o Account Factory. 

## Permissões para configurar e provisionar contas
<a name="configure-provision-new-account"></a>

O AWS Control Tower Account Factory permite que administradores e usuários da nuvem provisionem contas em sua landing zone. Centro de Identidade do AWS IAM Por padrão, os usuários do Centro de Identidade do IAM que provisionam contas devem estar no grupo `AWSAccountFactory` ou no grupo de gerenciamento. 

**nota**  
Tenha cuidado ao trabalhar com a conta de gerenciamento, como faria ao usar qualquer conta que tenha permissões em toda a organização.

A conta de gerenciamento do AWS Control Tower tem uma relação de confiança com o perfil `AWSControlTowerExecution`, que permite a configuração da conta pela conta de gerenciamento, incluindo algumas configurações de conta automatizadas. Consulte mais informações sobre o perfil `AWSControlTowerExecution` em [Roles and accounts](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html).

**nota**  
Para inscrever um existente Conta da AWS no AWS Control Tower, essa conta deve ter a `AWSControlTowerExecution` função ativada. Para obter mais informações sobre como registrar uma conta existente, consulte [Sobre como inscrever contas existentes](enroll-account.md).

Para obter mais informações sobre permissões, consulte [Permissões obrigatórias para provisionar contas](provision-and-manage-accounts.md#permissions).

## Considerações para gerenciar contas no Account Factory
<a name="closing-and-repurposing"></a>

 Você pode atualizar, cancelar a inscrição e encerrar contas criadas e provisionadas por meio do Account Factory. É possível reciclar contas atualizando os parâmetros do usuário nas contas que você deseja reutilizar. Você também pode alterar a unidade organizacional (UO) de uma conta. 

**nota**  
 Ao atualizar um produto provisionado associado a uma conta vendida pela Account Factory, se você especificar um novo endereço de e-mail de usuário Centro de Identidade do AWS IAM, o AWS Control Tower criará um novo usuário no IAM Identity Center. A conta criada anteriormente não é removida. Consulte informações sobre como remover o endereço de e-mail anterior do usuário do Centro de Identidade do IAM em [Desabilitar o acesso dos usuários a Contas da AWS e a aplicações no IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html). 

# Atualizar e mover contas com o AWS Control Tower
<a name="updating-account-factory-accounts"></a>

A maneira mais fácil de atualizar uma conta inscrita é por meio do console do AWS Control Tower. Atualizações de contas individuais são úteis para resolver desvios, como [Conta de membro migrada](governance-drift.md#drift-account-moved). As atualizações da conta também são necessárias como parte de uma atualização completa da zona de pouso.

## Atualizar a conta no console
<a name="update-account-in-console"></a>

**Como atualizar uma conta no console do AWS Control Tower**

1. Ao fazer login no AWS Control Tower, acesse a página **Organização**.

1. Na lista de contas OUs e, selecione o nome da conta que você deseja atualizar. As contas que estão disponíveis para atualização mostram o status de **Atualização disponível**.

1. Depois, você verá a página **Detalhes da conta** da conta selecionada.

1. No canto superior direito, escolha **Atualizar conta**.

Se você mover uma conta de uma unidade organizacional (UO) para outra, lembre-se de que os controles aplicados pela nova UO podem ser diferentes dos controles na antiga UO. Os controles na nova UO devem atender aos requisitos da política da conta.

As contas do AWS Control Tower são modificadas de forma diferente, dependendo se você optou pela inscrição automática de contas ou não. Para obter mais informações sobre o ajuste de escala automático, consulte [Opcionalmente, configure a inscrição automática para contas](configure-auto-enroll.md).

**Controle o comportamento quando as contas são movidas entre OUs, com a inscrição automática ativada**

Quando você move uma conta para uma nova UO, o AWS Control Tower aplica as linhas de base e os controles habilitados pela UO à conta. Os controles e as linhas de base da UO anterior são removidos. Se você mover uma conta para fora de uma UO registrada, o AWS Control Tower removerá todas as linhas de base e controles implantados. 

**Controle o comportamento quando as contas são movidas entre OUs, sem inscrição automática**

Quando você move uma conta entre OUs, os controles para a OU de destino são aplicados ao conta. No entanto, os controles aplicados à conta da antiga UO não são removidos. O comportamento exato dos controles é específico para a implementação do controles que estão ativos na antiga UO e na UO de destino.
+  *Para controles implementados com AWS Config regras:* Os controles da OU anterior não são removidos. Esses controles devem ser removidos manualmente.
+ *Para controles implementados com SCPs:* Os controles baseados em SCP da OU anterior são removido. Os controles baseados em SCP para a UO de destino entram em vigor nessa conta. 
+ *Para controles implementados com hooks do CloudFormation :* esse comportamento depende do status dos controles na nova UO.
  + *Se a UO de destino não tiver controles baseados em hook ativos:* os controles antigos permanecem ativos para a conta movida, a menos que você os remova manualmente.
  + *Se a UO de destino tiver controles de hook ativos:* os controles antigos são removidos e os controles na UO de destino são aplicados à conta.

# Alterar o endereço de e-mail de uma conta inscrita
<a name="change-account-email"></a>

 Para alterar o endereço de e-mail de uma conta-membro inscrita no AWS Control Tower, siga o procedimento nesta seção. 

**nota**  
 O procedimento a seguir não permite que você altere o endereço de e-mail de uma **conta de gerenciamento**, **conta de arquivo de logs** ou **conta de auditoria**. Para obter mais informações sobre isso, consulte [Como altero o endereço de e-mail associado à minha AWS conta?](https://aws.amazon.com//premiumsupport/knowledge-center/change-email-address/) ou entre em contato com AWS o Support. 

**Como alterar o endereço de e-mail de uma conta que o AWS Control Tower cria**

1.  Recupere a senha do usuário-raiz da conta. Você pode seguir as etapas no artigo [Como faço para recuperar uma AWS senha perdida ou esquecida?](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/) 

1.  Faça login na conta com a senha de usuário-raiz. 

1.  Altere o endereço de e-mail como faria com qualquer outro Conta da AWS e aguarde até que a alteração seja refletida AWS Organizations. Você pode enfrentar um atraso enquanto a alteração do endereço de e-mail termina de ser atualizada. 

1.  Atualize o produto provisionado no Service Catalog usando o endereço de e-mail que pertencia anteriormente à conta. O processo de atualização do produto provisionado inclui a associação do novo endereço de e-mail ao produto provisionado. Dessa forma, a alteração do endereço de e-mail entra em vigor no AWS Control Tower. Use o novo endereço de e-mail para atualizações de produtos provisionados posteriormente. 

Para alterar a senha ou o endereço de e-mail de uma conta-membro que você criou com o AWS Organizations, consulte [Accessing a member account as the root user](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root) no *Guia do usuário do AWS Organizations *. 

Como alternativa, você pode atualizar o endereço de e-mail de uma conta Account Factory ou de outra conta membro no AWS Organizations console sem fazer login como usuário root. Consulte mais informações em [Updating the root user email address for a member account with AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html) no *Guia do usuário do AWS Organizations *.

# Alterar o nome de uma conta inscrita
<a name="change-account-name"></a>

Siga o procedimento nesta seção para alterar o nome de uma conta inscrita no AWS Control Tower.

**nota**  
Para alterar o nome de uma conta de AWS *administrador*, você deve ter permissões de administrador e estar logado como usuário raiz da conta. 

**Para alterar o nome de uma conta criada pelo AWS Control Tower usando o AWS Organizations console ou APIs**
+ Siga as [instruções disponíveis](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs) no *Guia de referência de gerenciamento de contas da AWS *.

**O método alternativo é alterar o nome de uma conta criada pelo AWS Control Tower**

1. Recupere a senha raiz da conta. Você pode seguir as etapas descritas neste artigo, [Como faço para recuperar uma AWS senha perdida ou esquecida?](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/)

1. Faça login na conta com a senha raiz.

1. No AWS Billing console, navegue até a página de **configurações da conta**.

1. Altere o nome nas **Configurações da conta**, como você faria com qualquer outra Conta da AWS.

1. O AWS Control Tower se atualiza automaticamente para refletir a alteração do nome. Essa atualização não será refletida no produto provisionado no AWS Service Catalog.

# Definir o Account Factory com as configurações da Amazon Virtual Private Cloud
<a name="configuring-account-factory-with-VPC-settings"></a>

O Account Factory permite que você crie linhas de base pré-aprovadas e opções de configuração para contas em sua organização. Você pode configurar e provisionar novas contas por meio do AWS Service Catalog.

Na página Account Factory, você pode ver uma lista de unidades organizacionais (OUs) e seu status **na lista de permissões**. Por padrão, todas OUs estão na lista de permissões, o que significa que as contas podem ser provisionadas sob elas. Você pode desativar alguns OUs para provisionamento de contas por meio de. AWS Service Catalog

É possível visualizar as opções de configuração da Amazon VPC disponíveis para os usuários finais quando eles provisionam novas contas. 

**Como definir as configurações da Amazon VPC no Account Factory**

1. Como administrador central da nuvem, faça login no console do AWS Control Tower com permissões de administrador na conta de gerenciamento.

1. No lado esquerdo do painel, selecione **Account Factory** para acessar a página de configuração de rede do Account Factory. Lá é possível ver as configurações de rede padrão exibidas. Para editar, selecione **Editar** e visualize a versão editável das definições de configuração de rede do Account Factory. 

1. Você pode modificar cada campo das configurações padrão conforme necessário. Escolha as opções de configuração da VPC que deseja estabelecer para todas as novas contas do Account Factory que os usuários finais possam criar e insira as configurações nos campos. 
+ Escolha **desabilitado** ou **habilitado** para criar uma sub-rede pública na Amazon VPC. Por padrão, a sub-rede com acesso à Internet não é permitida.
**nota**  
Se você definir a configuração da VPC da fábrica de contas para que as sub-redes públicas sejam **habilitadas** ao provisionar uma nova conta, a fábrica de contas configurará a Amazon VPC para criar um [gateway NAT](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-nat-gateway.html). Você será cobrado pelo uso da Amazon VPC. Consulte [Definição de preço da VPC](https://aws.amazon.com//vpc/pricing/) para obter mais informações. 
+ Escolha o número máximo de sub-redes privadas na Amazon VPC na lista. Por padrão, 1 está selecionado. O número máximo de sub-redes privadas permitidas é 2 por zona de disponibilidade.
+  Insira o intervalo de endereços IP para criar sua conta VPCs. O valor deve estar no formato de bloco de roteamento entre domínios sem classe (CIDR) (por exemplo, o padrão é `172.31.0.0/16`). Esse bloco CIDR fornece o intervalo geral de endereços IP de sub-rede para a VPC que o Account Factory cria para sua conta. Dentro da VPC, as sub-redes são atribuídas automaticamente do intervalo especificado, e são iguais em tamanho. Por padrão, as sub-redes dentro da VPC não se sobrepõem. No entanto, os intervalos de endereços IP VPCs da sub-rede em todas as suas contas provisionadas podem se sobrepor.
+ Escolha uma ou todas as regiões para a criação de uma VPC quando uma conta for provisionada. Por padrão, todas as regiões disponíveis estão selecionadas.
+ Na lista, escolha o número de zonas de disponibilidade para as quais configurar sub-redes em cada VPC. O número padrão e recomendado é 3.
+ Escolha **Salvar**.

 Você pode definir essas opções de configuração para criar contas que não incluam uma VPC. Veja a [demonstração](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html).

# Cancelar a inscrição de uma conta
<a name="unmanage-account"></a>

Se você criou uma conta no Account Factory ou inscreveu uma Conta da AWS e não quer mais que a conta seja gerenciada pela AWS Control Tower em uma landing zone, você pode *cancelar o registro da conta no console* do AWS Control Tower. 

Quando você cancela a inscrição de uma conta do AWS Control Tower, todos os recursos provisionados pelo AWS Control Tower são removidos, incluindo controles e esquemas. A conta é movida de qualquer UO do AWS Control Tower para a área **Raiz**. A conta não faz mais parte de uma OU registrada e não está mais sujeita ao AWS Control Tower SCPs. Você pode fechar a conta por meio de AWS Organizations.

**Para cancelar a inscrição de uma conta cadastrada pelo console do AWS Control Tower**

1. Abra o console do AWS Control Tower no navegador da web em [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower)

1. No painel de navegação à esquerda, escolha **Organização**.

1. Na página **Organização**, expanda a UO que contém a conta, selecionando o botão **\$1** próximo à UO.

1. Selecione a conta e, em seguida, escolha **Não gerenciar**.

**nota**  
Aguarde até que o status da conta apareça **Não cadastrado**.

Se não precisa mais da conta, encerre-a. Consulte mais informações sobre o encerramento de contas da AWS em [Closing an account](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) no *Guia do usuário do AWS Billing *.

**Cancele a inscrição de uma conta quando a inscrição automática estiver ativa**  
Se o recurso de inscrição automática estiver ativo na sua página de **configurações**, você também poderá cancelar o registro de uma conta movendo-a para uma UO que não esteja registrada no AWS Control Tower. Todos os recursos do AWS Control Tower são removidos. Esteja ciente de que você não cancela o registro da conta acidentalmente dessa maneira. No entanto, você pode reinscrever a conta devolvendo-a à UO.

Quando você cancela a inscrição de uma conta personalizada, o AWS Control Tower remove os recursos que a zona de pouso implantou, bem como quaisquer outros recursos que o AWS Control Tower criou na conta. O AWS Control Tower também remove a **AWSControlTowerExecution**função, mesmo que ela tenha sido adicionada manualmente. A remoção dessa função está alinhada ao princípio do privilégio mínimo, porque uma função de execução de serviço não deve permanecer em uma conta não gerenciada.

Depois de cancelar a inscrição da conta, você pode encerrar a conta por meio de. AWS Organizations

**nota**  
Uma conta não inscrita não é encerrada nem excluída. Quando a inscrição da conta é cancelada, o usuário do Centro de Identidade do IAM que você selecionou ao criar a conta no Account Factory ainda tem acesso administrativo à conta. Se não quiser que esse usuário tenha acesso administrativo, você deverá alterar essa configuração no Centro de Identidade do IAM atualizando a conta no Account Factory e alterando o endereço de e-mail do usuário do Centro de Identidade do IAM para a conta. Para obter mais informações, consulte [Atualizar e mover contas com o AWS Control Tower](updating-account-factory-accounts.md).

## Demonstração em vídeo
<a name="unmanage-account-video"></a>

Este vídeo (3:25) descreve como remover uma conta do AWS Control Tower, obter acesso raiz à conta e, por fim, encerrar a Conta da AWS. Você também pode encerrar uma conta com [uma API do AWS Organizations](https://docs.aws.amazon.com//controltower/latest/userguide/delete-account.html). Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.

[![AWS Videos](http://img.youtube.com/vi/n3eALEKZaHc/0.jpg)](http://www.youtube.com/watch?v=n3eALEKZaHc)


Você pode ver uma lista de AWS [YouTube vídeos](https://www.youtube.com/playlist?list=PLhr1KZpdzukdS9skEXbY0z67F-wrcpbjm) que explicam tarefas comuns no AWS Control Tower.

# Encerrar uma conta criada no Account Factory
<a name="delete-account"></a>

As contas criadas no Account Factory são Contas da AWS. Consulte informações sobre o encerramento de Contas da AWS em [Closing an account](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) no [https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html ](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html ).

**nota**  
 Fechar uma não Conta da AWS é o mesmo que cancelar a inscrição de uma conta no AWS Control Tower — essas são ações separadas. Você deve cancelar a inscrição da conta antes de encerrá-la.

## Feche uma conta de membro do AWS Control Tower por meio de AWS Organizations
<a name="close-account-with-orgs-api"></a>

Você pode fechar suas contas de membros do AWS Control Tower a partir da conta de gerenciamento da sua organização sem a necessidade de fazer login em cada conta membro individualmente com credenciais raiz, por meio de AWS Organizations. No entanto, você não pode encerrar a conta de gerenciamento dessa forma. 

Quando você chama a AWS Organizations [CloseAccountAPI](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html) ou fecha uma conta no AWS Organizations console, a conta do membro fica isolada por 90 dias, como qualquer outra Conta da AWS . A conta mostra o status **Suspenso** no AWS Control Tower e no AWS Organizations. Se você tentar trabalhar com a conta durante esses 90 dias, o AWS Control Tower emitirá uma mensagem de erro.

**nota**  
Se uma OU tiver contas suspensas, EnabledControl as operações falharão nos controles regionais do alvo.

Antes que os 90 dias expirem, você pode restaurar a conta do membro, como você pode fazer com qualquer outra Conta da AWS. Após esse período de 90 dias, os registros da conta são removidos.

Aconselhamos, como prática recomendada, a cancelar a inscrição de uma conta-membro antes de encerrar essa conta. Se você encerrar uma conta membro sem antes cancelar o gerenciamento dela, o AWS Control Tower mostrará o status da conta como **Suspensa**, mas também como **Inscrita**. Como resultado, se você tentar **Registrar novamente** a UO da conta durante esse período de 90 dias, o AWS Control Tower gerará uma mensagem de erro. A conta suspensa basicamente bloqueia as ações de novo registro com uma falha na pré-verificação. Se você remover a conta da OU, poderá **registrá-la novamente**, mas AWS poderá gerar um erro em relação à falta de um método de pagamento para a conta. Para contornar essa restrição, crie outra UO e mova a conta para essa UO antes de tentar registrar novamente. Recomendamos chamar essa UO de **Suspensa**.

**nota**  
Se você não cancelar o registro da conta antes de fechá-la, deverá excluir o produto provisionado da conta AWS Service Catalog após o término desses 90 dias.

Para obter mais informações, consulte a AWS Organizations documentação sobre a [CloseAccountAPI](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html).

# Considerações sobre recursos do Account Factory
<a name="account-factory-considerations"></a>

Quando uma conta é provisionada com o Account Factory, os seguintes AWS recursos são criados na conta.


| AWS serviço | Tipo de atributo | Nome do recurso | 
| --- | --- | --- | 
| AWS CloudFormation | Pilhas |  StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-\$1 StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 StackSet-AWSControlTowerBP-BASELINE-CONFIG-\$1 StackSet-AWSControlTowerBP-BASELINE-ROLES-\$1 StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-\$1  | 
| AWS CloudTrail | Trilha | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch Regras do evento | aws-controltower-ConfigComplianceChangeEventRule | 
| Amazon CloudWatch | CloudWatch Registros | aws-controltower/CloudTrailLogs /aws/lambda/aws-controltower-NotificationForwarder | 
| AWS Identity and Access Management | Perfis | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole  AWSControlTowerExecution | 
| AWS Identity and Access Management | Políticas | AWSControlTowerServiceRolePolicy  | 
| Amazon Simple Notification Service | Tópicos | aws-controltower-SecurityNotifications | 
| AWS Lambda | Aplicativos | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 | 
| AWS Lambda | Funções | aws-controltower-NotificationForwarder | 
| Amazon EventBridge | Regra | AWSControlTowerManagedRule | 
| Amazon EventBridge | Regra | aws-controltower-ConfigComplianceChangeEventRule |