本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Account Factory 预置和管理账户
<a name="account-factory"></a>

**注意**  
单个账户的配置、更新和自定义必须针对 AWSControlTowerBaseline 已启用的组织单位 (OU)。如果 OU 未 AWSControlTowerBaseline 启用，则可以激活账户自动注册功能，也可以使用该 OU ResetEnabledControl APIs 上的 an ResetEnabledBaseline d on an EnabledBaselines d EnabledControls and and 来注册账户。有关详细信息 AWSControlTowerBaseline，请参阅：[适用于 OU 级别的基准类型](types-of-baselines.md#ou-baseline-types)。

 本章包含在 AWS Control Tower 登录区中使用 Account Factory 预置新成员账户的概述和步骤。

## 用于配置和预置账户的权限
<a name="configure-provision-new-account"></a>

AWS Control Tower Account Factory 允许云管理员和用户在 AWS IAM Identity Center 您的着陆区配置账户。默认情况下，预置账户的 IAM Identity Center 用户必须位于 `AWSAccountFactory` 组或管理组中。

**注意**  
使用管理账户时请务必谨慎，就像使用在整个组织中具有权限的任何账户一样。

AWS Control Tower 管理账户与 `AWSControlTowerExecution` 角色具有信任关系，这样可以从管理账户进行账户设置，包括一些自动化账户设置。有关 `AWSControlTowerExecution` 角色的更多信息，请参阅[角色和账户](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html)。

**注意**  
要 AWS 账户 将现有账户注册到 AWS Control Tower，该账户必须启用该`AWSControlTowerExecution`角色。有关如何注册现有账户的更多信息，请参阅[关于注册现有账户](enroll-account.md)。

有关权限的更多信息，请参阅 [预置账户所需的权限](provision-and-manage-accounts.md#permissions)。

## 在 Account Factory 中管理账户的注意事项
<a name="closing-and-repurposing"></a>

 您可以通过 Account Factory 更新、取消注册和关闭您创建和预置的账户。您可以通过更新想要重新调整用途的账户中的用户参数来回收利用账户。您也可以更改账户的组织单元（OU）。

**注意**  
 在更新与 Account Factory 出售的账户关联的预配置产品时，如果您为其指定新的用户电子邮件地址 AWS IAM Identity Center，AWS Control Tower 将在 IAM 身份中心创建一个新用户。之前创建的账户不会被删除。有关从 IAM Identity Center 中删除以前的 IAM Identity Center 用户电子邮件地址的信息，请参阅[禁用用户](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html)。

# 使用 AWS Control Tower 更新和移动账户
<a name="updating-account-factory-accounts"></a>

更新已注册账户的最简单方法是通过 AWS Control Tower 控制台完成该操作。单独的账户更新对于解决偏移问题很有用，例如[移动的成员账户](governance-drift.md#drift-account-moved)。此外，作为完整的登录区更新的一部分，也需要更新账户。

## 在控制台中更新账户
<a name="update-account-in-console"></a>

**在 AWS Control Tower 控制台中更新账户**

1. 登录 AWS Control Tower 后，导航到**组织**页面。

1. 在 OUs 和账户列表中，选择要更新的账户名称。可供更新的账户将显示**更新可用**状态。

1. 接下来，您将看到所选账户的**账户详细信息**页面。

1. 在右上角，选择**更新账户**。

如果您将账户从一个组织单元（OU）移动到另一个 OU，请记住，新 OU 所应用的控件可能与原 OU 中的控件不同。请确保新 OU 中的控件符合账户的策略要求。

AWS Control Tower 账户的修改方式有所不同，具体取决于您是否选择了自动注册账户。有关自动注册的更多信息，请参阅[（可选）为账户配置自动注册](configure-auto-enroll.md)。

**控制在账户之间移动时的行为 OUs，启用自动注册**

当您将账户移动到新 OU 时，AWS Control Tower 会将该 OU 启用的基准和控件应用于此账户。系统将移除先前 OU 中的控件和基准。如果您将账户移动到已注册的 OU 之外，则 AWS Control Tower 会删除所有已部署的基准和控件。

**控制在账户之间移动时的行为 OUs，不使用自动注册**

当您在账户之间移动时 OUs，目标 OU 的控件将应用于 账户。但是，系统不会删除已应用于账户的前 OU 中的控件。控件的确切行为取决于前 OU 和目标 OU 上处于活动状态的控件的实施情况。
+  *对于使用 AWS Config 规则实现的控件：*来自先前 OU 的控件 未删除。必须手动删除这些控件。
+ *对于使用以下方法实现的控件 SCPs：*以前的 OU 中基于 SCP 的控件是 已移除。目标 OU 中基于 SCP 的控件将对此账户生效。
+ *对于使用 CloudFormation 钩子实施的控件：*此行为取决于新 OU 中的控件的状态。
  + *如果目标 OU 中没有基于钩子的活跃控件：*除非您手动删除控件，否则已移动账户的旧控件将仍然保持活动状态。
  + *如果目标 OU 中存在活跃的钩子控件：*系统将删除旧控件，并将目标 OU 中的控件应用于账户。

# 更改已注册账户的电子邮件地址
<a name="change-account-email"></a>

 要在 AWS Control Tower 中更改已注册成员账户的电子邮件地址，请按照本节中的步骤操作。

**注意**  
 以下过程无法更改**管理账户**、**日志存档账户**或**审计账户**的电子邮件地址。有关这方面的更多信息，请参阅[如何更改与我的 AWS 账户关联的电子邮件地址？](https://aws.amazon.com//premiumsupport/knowledge-center/change-email-address/) 或者联系 Supp AWS ort。

**更改 AWS Control Tower 创建的账户的电子邮件地址**

1.  找回账户的根用户密码。您可以按照文章中的步骤[操作如何恢复丢失或忘记的 AWS 密码？](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/) 

1.  使用根用户密码登录账户。

1.  像更改其他电子邮件地址一样更改电子邮件地址 AWS 账户，然后等待更改反映出来 AWS Organizations。在电子邮件地址更改完成更新时，您可能会遇到延迟。

1.  使用先前属于该账户的电子邮件地址在 Service Catalog 中更新预置产品。在更新预置产品的过程中，需要将新的电子邮件地址与预置产品相关联。这样一来，电子邮件地址更改就会在 AWS Control Tower 中生效。使用新的电子邮件地址更新随后的预置产品。

要更改您使用 AWS Organizations创建的成员账户的密码或电子邮件地址，请参阅《AWS Organizations 指南》**中的[以根用户身份访问成员账户](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root)。

或者，您可以从 AWS Organizations 控制台更新 Account Factory 或其他成员账户的电子邮件地址，而无需以 root 用户身份登录。有关更多信息，请参阅《AWS Organizations 用户指南》**中的[使用 AWS Organizations更新成员账户的根用户电子邮件地址](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)。

# 更改已注册账户的名称
<a name="change-account-name"></a>

请按照本节中的步骤更改已注册的 AWS Control Tower 账户的名称。

**注意**  
要更改 AWS *管理员帐户的名称，您必须具有管理员*权限并以该帐户的 root 用户身份登录。

**要更改由 AWS Control Tower 创建的账户的名称，请使用 AWS Organizations 控制台或 APIs**
+ 按照《AWS 账户管理参考指南》**中[提供的说明](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs)进行操作。

**AWS Control Tower 创建的账户的名称更改替代方法**

1. 找回账户的根密码。您可以按照本文 “[如何恢复丢失或忘记的 AWS 密码？” 中概述的步骤进行操作](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/)

1. 使用根密码登录账户。

1. 在 AWS Billing 控制台中，导航到**账户设置**页面。

1. 在**账户设置**中更改名称，就像更改任何其他 AWS 账户的名称一样。

1. AWS Control Tower 会自动更新以反映名称的更改。此更新不会反映在 AWS Service Catalog中的预置产品中。

# 使用 Amazon Virtual Private Cloud 设置配置 Account Factory
<a name="configuring-account-factory-with-VPC-settings"></a>

Account Factory 可让您为组织中的账户创建预先批准的基准和配置选项。您可以通过 AWS Service Catalog配置和预置新账户。

在 Account Factory 页面上，您可以看到组织单位列表 (OUs) 及其**允许列表**状态。默认情况下，所有账户 OUs 都在允许列表中，这意味着可以在允许列表下配置账户。您可以通过禁 OUs 用某些账户配置 AWS Service Catalog。

您可以查看在最终用户预置新账户时可用的 Amazon VPC 配置选项。

**在 Account Factory 中配置 Amazon VPC 设置**

1. 作为中央云管理员，使用管理账户中的管理员权限登录 AWS Control Tower 控制台。

1. 从控制面板左侧，选择 **Account Factory** 以导航到 Account Factory 网络配置页面。在该页面中，您可以看到显示的默认网络设置。如需编辑，请选择**编辑**并查看 Account Factory 网络配置设置的可编辑版本。

1. 您可以根据需要修改默认设置的每个字段。对于最终用户可能创建的所有新 Account Factory 账户，选择您要为其创建的 VPC 配置选项，然后在字段中输入您的设置。
+ 选择**已禁用**或**已启用**，以在 Amazon VPC 中创建公有子网。默认情况下，禁止可通过 Internet 访问的子网。
**注意**  
如果您将 Account Factory VPC 配置设置为在预置新账户时**启用**公有子网，则 Account Factory 会将 Amazon VPC 配置为创建 [NAT 网关](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-nat-gateway.html)。Amazon VPC 将对您的用量计费。有关更多信息，请参阅 [VPC 定价](https://aws.amazon.com//vpc/pricing/)。
+ 从列表中选择 Amazon VPC 中的最大私有子网数。默认情况下，将选择 1。允许的最大私有子网数为每个可用区 2 个。
+  输入用于创建账户的 IP 地址范围 VPCs。该值必须采用无类型域间路由 (CIDR) 块的形式（例如默认为 `172.31.0.0/16`）。对于 Account Factory 为您的账户创建的 VPC，此 CIDR 块会提供子网 IP 地址的整体范围。在您的 VPC 中，将从您指定的范围中自动分配子网，并且这些子网的大小相等。默认情况下，您的 VPC 中的子网不会重叠。但是，所有已配置账户中的 VPCs 子网 IP 地址范围可能会重叠。
+ 在预置账户时，选择一个区域或所有区域来创建 VPC。默认情况下，将选中所有可用区域。
+ 从列表中，选择要在每个 VPC 中为其配置子网的可用区的数目。默认和推荐的数量为 3。
+ 选择**保存**。

 您可以设置这些配置选项以创建不包含 VPC 的新账户。请参阅[演练](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)。

# 取消注册账户
<a name="unmanage-account"></a>

如果您在 Account Factory 中创建了一个账户或注册了一个账户 AWS 账户，但又不希望该账户在着陆区由 AWS Control Tower 管理，则可以从 AWS Control Tower 控制台*取消该账户的注册*。

当您取消注册 AWS Control Tower 账户时，由 AWS Control Tower 预置的所有资源都将被删除，包括所有控件和蓝图。系统会将该账户移出任何 AWS Control Tower OU，移入**根**区域。该账户不再是已注册 OU 的一部分，也不再受 AWS Control Tower 的约束 SCPs。您可以通过关闭账户 AWS Organizations。

**从 AWS Control Tower 控制台取消注册已注册的账户**

1. 通过以下网址在 Web 浏览器中打开 AWS Control Tower 控制台：[https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower)

1. 在左侧导航窗格中，选择**组织**。

1. 在**组织**页面中，选择 OU 旁边的 **\$1** 按钮，展开包含相应账户的 OU。

1. 选择该账户，然后选择**取消管理**。

**注意**  
等待该账户状态显示为**未注册**。

如果您不再需要该账户，请将其关闭。有关关闭 AWS 账户的更多信息，请参阅《AWS Billing 用户指南》**中的[关闭账户](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)。

**自动注册处于活动状态时取消注册账户**  
如果您的**设置**页面中启用了自动注册功能，则您也可以通过将账户移动至未在 AWS Control Tower 中注册的 OU，取消注册账户。所有 AWS Control Tower 资源将被删除。请注意，您不会以这种方式意外取消注册账户。但是，您可以通过将账户返还给 OU 来重新注册账户。

当您取消注册自定义账户时，AWS Control Tower 会删除登录区已部署的资源，以及 AWS Control Tower 在该账户中创建的任何其他资源。即使该**AWSControlTowerExecution**角色是手动添加的，AWS Control Tower 也会将其删除。删除此角色符合最低权限原则，因为服务执行角色不应留在非托管账户中。

取消注册账户后，您可以通过 AWS Organizations关闭账户。

**注意**  
未注册的账户不会被关闭或删除。如果取消注册账户，则您在 Account Factory 中创建账户时选择的 IAM Identity Center 用户仍具有该账户的管理访问权限。如果您不希望此用户具有管理访问权限，则必须在 IAM Identity Center 中更改此设置，方式是在 Account Factory 中更新账户并更改账户的 IAM Identity Center 用户电子邮件地址。有关更多信息，请参阅[使用 AWS Control Tower 更新和移动账户](updating-account-factory-accounts.md)。

## 视频演练
<a name="unmanage-account-video"></a>

此视频（3:25）介绍了如何从 AWS Control Tower 中删除账户、获得账户的根访问权限，以及最终关闭 AWS 账户。您也可以使用 [AWS Organizations API](https://docs.aws.amazon.com//controltower/latest/userguide/delete-account.html) 关闭账户。为了更好地观看，请选择视频右下角的图标以将其放大为全屏。可以使用字幕。

[![AWS Videos](http://img.youtube.com/vi/n3eALEKZaHc/0.jpg)](http://www.youtube.com/watch?v=n3eALEKZaHc)


您可以在 AWS Control Tower 中观看解释常见任务的 AWS [YouTube 视频](https://www.youtube.com/playlist?list=PLhr1KZpdzukdS9skEXbY0z67F-wrcpbjm)列表。

# 关闭在 Account Factory 中创建的账户
<a name="delete-account"></a>

在 Account Factory 中创建的账户是 AWS 账户。有关关闭 AWS 账户的信息，请参阅[《AWS 账户管理参考指南》](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html )**中的[关闭账户](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)。

**注意**  
 关闭与从 AWS AWS 账户 Control Tower 取消注册账户的操作不同，这些操作是分开的。必须先取消注册账户，然后才能将其关闭。

## 通过关闭 AWS Control Tower 成员账户 AWS Organizations
<a name="close-account-with-orgs-api"></a>

您可以通过以下方式从组织的管理账户中关闭您的 AWS Control Tower 成员账户，无需使用根证书单独登录每个成员账户 AWS Organizations。但是，您不能通过这种方式关闭管理账户。

当您调用 AWS Organizations [CloseAccountAPI](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html) 或在 AWS Organizations 控制台中关闭账户时，成员账户 AWS 账户 将像任何账户一样被隔离 90 天。该账户将在 AWS Control Tower 和 AWS Organizations中显示为**已暂停**状态。如果您在这 90 天内尝试使用该账户，AWS Control Tower 将显示一条错误消息。

**注意**  
如果 OU 暂停了账户，则 EnabledControl 操作将失败，无法对目标进行区域控制。

在 90 天到期之前，您可以恢复成员帐户，就像恢复任何成员帐户一样 AWS 账户。90 天过后，该账户的记录将被删除。

作为最佳实践，我们建议您在关闭成员账户之前取消注册该账户。如果您在未事先取消管理成员账户的情况下关闭该账户，AWS Control Tower 会将该账户的状态显示为**已暂停**，但也会显示为**已注册**。这样做的结果是，如果您在这 90 天内尝试**重新注册**该账户的 OU，AWS Control Tower 会生成一条错误消息。由于预检查失败，被暂停的账户基本上会阻止重新注册的操作。如果您从 OU 中删除该账户，则可以**重新注册** OU，但 AWS 可能会出现有关该账户缺少付款方式的错误。要解决此限制，需要创建另一个 OU，然后在尝试重新注册之前将该账户移至该 OU。我们建议将此 OU 命名为 **Suspended**（已暂停）OU。

**注意**  
如果您在关闭账户之前未取消注册，则必须在 90 天 AWS Service Catalog 结束后删除该账户的预配置产品。

有关更多信息，请参阅有关 [CloseAccountAPI](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html) 的 AWS Organizations 文档。

# Account Factory 的资源注意事项
<a name="account-factory-considerations"></a>

使用 Account Factory 为账户配置时，将在该账户中创建以下 AWS 资源。


| AWS 服务 | 资源类型 | 资源名称 | 
| --- | --- | --- | 
| AWS CloudFormation | 堆栈 |  StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-\$1 StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 StackSet-AWSControlTowerBP-BASELINE-CONFIG-\$1 StackSet-AWSControlTowerBP-BASELINE-ROLES-\$1 StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-\$1  | 
| AWS CloudTrail | 试用 | aws-controltower-BaselineCloudTrail | 
| 亚马逊 CloudWatch | CloudWatch 赛事规则 | aws-controltower-ConfigComplianceChangeEventRule | 
| 亚马逊 CloudWatch | CloudWatch 日志 | aws-controltower/CloudTrailLogs /aws/lambda/aws-controltower-NotificationForwarder | 
| AWS Identity and Access Management | 角色 | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole  AWSControlTowerExecution | 
| AWS Identity and Access Management | 策略 | AWSControlTowerServiceRolePolicy  | 
| Amazon Simple Notification Service | 主题 | aws-controltower-SecurityNotifications | 
| AWS Lambda | 应用程序 | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 | 
| AWS Lambda | 函数 | aws-controltower-NotificationForwarder | 
| 亚马逊 EventBridge | 规则 | AWSControlTowerManagedRule | 
| 亚马逊 EventBridge | 规则 | aws-controltower-ConfigComplianceChangeEventRule |