View a markdown version of this page

Transferir uma conta para outra organização - AWS Control Tower
Pré-requisitosEtapa 1: Cancelar a inscrição da conta no AWS Control TowerEtapa 2: Transferir a conta para a organização de destinoEtapa 3: inscrever a conta na organização de destinoConsiderações adicionais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Transferir uma conta para outra organização

Você pode transferir uma conta membro que está inscrita no AWS Control Tower para uma AWS Organizations organização diferente.

Pré-requisitos

  • A conta deve estar inscrita no AWS Control Tower na organização de origem. Ou seja, a conta tem linhas de base, controles proativos ou controles de detetive aplicados a ela.

  • A conta deve ter sido criada pelo menos 4 dias antes da transferência.

  • Você deve ter acesso à conta de gerenciamento das organizações de origem e de destino.

Etapa 1: Cancelar a inscrição da conta no AWS Control Tower

Antes de transferir a conta, você deve desativar todos os recursos do AWS Control Tower diretamente aplicados a ela. A conta pode continuar herdando controles preventivos.

Se você usa o Auto Enroll

Mova a conta para um dos seguintes locais:

  • A raiz da organização

  • Uma OU não gerenciada

  • Com o Landing Zone 4.0 ou posterior, uma OU que tem apenas controles preventivos ativados

Se você não usa o Auto Enroll

Os métodos abaixo também estão disponíveis se você usar o Registro Automático.

  • Para contas com a linha de base do AWS Control Tower and Backup, escolha Unmanage no console do AWS Control Tower. Você também pode encerrar o produto provisionado com o AWS Service Catalog ou o console. APIs

  • Para contas com a linha de base do AWS Config, desative a linha de base do AWS Config na OU ou mova a conta para a raiz e use a API. DisableBaseline

Etapa 2: Transferir a conta para a organização de destino

Depois que todas as linhas de base e controles do AWS Control Tower aplicados à conta, exceto os controles preventivos, forem desativados, conclua a transferência.

  1. Na conta de gerenciamento da organização de destino, envie um convite para a conta do membro.

  2. Aceite o convite da conta do membro.

  3. Na conta de gerenciamento da organização de destino, mova a conta para a OU desejada.

Para obter instruções sobre o processo de migração, consulte Migração de AWS contas para uma organização diferente no Guia do AWS Organizations usuário.

Etapa 3: inscrever a conta na organização de destino

Depois que a conta estiver na organização de destino, inscreva-a no AWS Control Tower.

  • Se a inscrição automática estiver habilitada na landing zone da AWS Control Tower que governa a organização de destino, a AWS Control Tower aplicará automaticamente as linhas de base e os controles à conta.

  • Se você não usa o Auto Enroll na organização de destino, inscreva manualmente a conta no AWS Control Tower. Para obter mais informações, consulte Sobre como inscrever contas existentes.

Considerações adicionais

Período de espera

As contas criadas por meio do AWS Organizations Account Factory devem ter pelo menos 4 dias para que você possa transferi-las ou removê-las de uma organização. Para obter mais informações, consulte Removendo uma conta de membro de uma organização no Guia AWS Organizations do usuário.

AWS Config os limites do agregador

Ao transferir várias contas, você pode atingir o limite de AWS Config para o número máximo de contas adicionadas ou excluídas por semana para todos os agregadores (1.000). Para solicitar um aumento de limite, consulte AWS Config service limits. Você também pode atualizar para a versão 4.0 do landing zone, que usa um agregador Config vinculado ao serviço. Para obter mais detalhes, consulte AWS Config updates in landing zone versão 4.0.

Acesso à conta do membro

Contas não inscritas não têm uma AWSControlTowerExecution função. Quando você desativa o Config ou a linha de base do AWS Control Tower, o AWS Control Tower exclui sua função de execução e adiciona o. OrganizationsAccountAccessRole Você pode usar essa função para aceitar um convite para a organização de destino.

Quando a conta é inscrita na organização de destino, a AWSControlTowerExecution função é criada. Essa função substitui OrganizationsAccountAccessRole e confia na nova conta de gerenciamento.

AWS Service Catalog e Auto Enroll

O Auto Enroll não atua nos recursos do AWS Service Catalog. Todos os produtos provisionados pela Account Factory permanecem na conta de gerenciamento, mesmo que as contas subjacentes tenham sido canceladas. Para encerrar esses produtos provisionados na conta de gerenciamento, consulte Excluindo produtos provisionados no Service Catalog User Guide.AWS Todos os esquemas do Account Factory Customization (AFC) permanecem na conta.