As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Sobre Contas da AWS na AWS Control Tower
<a name="accounts"></a>

An Conta da AWS é o contêiner para todos os seus recursos próprios. Esses recursos incluem as identidades AWS Identity and Access Management (IAM) aceitas pela conta, que determinam quem tem acesso a essa conta. As identidades do IAM podem incluir usuários, grupos, perfis e muito mais. Consulte mais informações sobre como trabalhar com perfis, políticas e usuários do IAM no AWS Control Tower em [Identity and access management in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/auth-access.html).

**Recursos e tempo de criação da conta**

Quando o AWS Control Tower cria ou inscreve uma conta, ele implanta a configuração mínima necessária de recursos para a conta. Por exemplo, pode incluir recursos na forma de [modelos do Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-considerations.html) e outros recursos em sua landing zone, como funções do IAM, AWS CloudTrail trilhas, [produtos provisionados pelo Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/userguide/enduser-dashboard.html) e usuários do IAM Identity Center. O AWS Control Tower também implanta recursos, conforme exigido pela configuração de controle, para a unidade organizacional (UO) na qual a nova conta está destinada a se tornar uma conta-membro.

O AWS Control Tower orquestra a implantação desses recursos em seu nome. Pode ser necessário vários minutos por recurso para concluir a implantação, portanto, considere o tempo total antes de criar ou inscrever uma conta. Consulte mais informações sobre como gerenciar recursos nas contas em [Orientações para criar e modificar recursos do AWS Control Tower](getting-started-guidance.md).

## O que acontece quando o AWS Control Tower cria uma conta
<a name="what-happens-in-account-creation"></a>

Novas contas na AWS Control Tower são criadas e, em seguida, provisionadas por uma interação entre a AWS Control Tower AWS Organizations, e. AWS Service Catalog Você pode criar contas e inscrever contas existentes pelo console do AWS Control Tower. Para obter etapas detalhadas para inscrever um existente Conta da AWS usando o console do AWS Control Tower, consulte[Inscrever uma conta existente pelo console do AWS Control Tower](quick-account-provisioning.md).

**Nos bastidores da criação de contas**

1. Você inicia a solicitação, por exemplo, na página AWS Control Tower Account Factory, diretamente do AWS Service Catalog console ou chamando a `ProvisionProduct` API Service Catalog.

1. AWS Service Catalog chama o AWS Control Tower.

1. O AWS Control Tower inicia um fluxo de trabalho que, como primeira etapa, chama a AWS Organizations `CreateAccount` API.

1. Depois de AWS Organizations criar a conta, o AWS Control Tower conclui o processo de provisionamento aplicando esquemas e controles.

1. O Service Catalog continua a inspecionar o AWS Control Tower para verificar a conclusão do processo de provisionamento.

1. Quando o fluxo de trabalho no AWS Control Tower é concluído, o Service Catalog finaliza o estado da conta e informa você (o solicitante) sobre o resultado.

## Considerações sobre como trazer contas de segurança ou registro em log existentes
<a name="considerations-for-existing-shared-accounts"></a>

Antes de aceitar uma conta Conta da AWS como segurança (nome padrão: **Auditoria**) ou de registro (nome padrão: **arquivo de registros**), a AWS Control Tower verifica a conta em busca de recursos que estejam em conflito com os requisitos da AWS Control Tower. Por exemplo, é possível ter um bucket de registro em log com o mesmo nome exigido pelo AWS Control Tower. Além disso, o AWS Control Tower valida que a conta pode provisionar recursos; por exemplo, garantindo que AWS Security Token Service (AWS STS) esteja habilitado, que a conta não seja suspensa e que a AWS Control Tower tenha permissão para provisionar recursos dentro da conta.

O AWS Control Tower não remove nenhum recurso existente nas contas de registro em log e segurança que você fornece. No entanto, se você optar por habilitá-lo, o controle de negação do AWS Control Tower impedirá o acesso a recursos em regiões negadas.

**Segurança para contas**  
É possível encontrar orientações sobre as práticas recomendadas para proteger a segurança da conta de gerenciamento do AWS Control Tower e das contas-membros na documentação do AWS Organizations .  
[Best practices for the management account](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)
[Best practices for member accounts](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)