本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Account Factory 佈建和管理帳戶
<a name="account-factory"></a>

**注意**  
單一帳戶佈建、更新和自訂必須以啟用 AWSControlTowerBaseline 的組織單位 (OU) 為目標。如果 OU 未啟用 AWSControlTowerBaseline，您可以啟用帳戶自動註冊，或在 EnabledBaselines 上使用 ResetEnabledBaseline 和 ResetEnabledControl APIs並在該 OU 上使用 EnabledControls 來註冊帳戶。如需 AWSControlTowerBaseline 的詳細資訊，請參閱：[在 OU 層級套用的基準類型](types-of-baselines.md#ou-baseline-types)。

 本章包含使用 Account Factory 在 AWS Control Tower 登陸區域中佈建新成員帳戶的概觀和程序。

## 設定和佈建帳戶的許可
<a name="configure-provision-new-account"></a>

AWS Control Tower 帳戶工廠可讓 中的雲端管理員和使用者在您的登陸區域中 AWS IAM Identity Center 佈建帳戶。根據預設，佈建帳戶的 IAM Identity Center 使用者必須位於 `AWSAccountFactory`群組或 管理群組中。

**注意**  
從管理帳戶工作時，請小心謹慎，就像使用整個組織中具有許可的任何帳戶一樣。

AWS Control Tower 管理帳戶與 `AWSControlTowerExecution`角色具有信任關係，允許從管理帳戶設定帳戶，包括一些自動帳戶設定。如需`AWSControlTowerExecution`角色的詳細資訊，請參閱[角色和帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html)。

**注意**  
若要在 AWS Control Tower AWS 帳戶 中註冊現有的 ，該帳戶必須啟用 `AWSControlTowerExecution`角色。如需如何註冊現有帳戶的詳細資訊，請參閱[關於註冊現有帳戶](enroll-account.md)。

如需許可的詳細資訊，請參閱「[佈建帳戶所需的許可](provision-and-manage-accounts.md#permissions)」。

## 在 Account Factory 中管理帳戶的考量事項
<a name="closing-and-repurposing"></a>

 您可以更新、取消註冊和關閉透過 Account Factory 建立和佈建的帳戶。您可以透過更新要重新利用之帳戶中的使用者參數來回收帳戶。您也可以變更帳戶的組織單位 (OU)。

**注意**  
 更新與 Account Factory 提供的帳戶相關聯的佈建產品時，如果您指定新的使用者電子郵件地址 AWS IAM Identity Center，AWS Control Tower 會在 IAM Identity Center 中建立新的使用者。先前建立的帳戶不會移除。如需有關從 IAM Identity Center 移除先前 IAM Identity Center 使用者電子郵件地址的資訊，請參閱[停用使用者](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html)。

# 使用 AWS Control Tower 更新和移動帳戶
<a name="updating-account-factory-accounts"></a>

更新已註冊帳戶的最簡單方法是透過 AWS Control Tower 主控台。個別帳戶更新有助於解決偏離，例如 [已移動的成員帳戶](governance-drift.md#drift-account-moved)。帳戶更新也是完整登陸區域更新的一部分。

## 在 主控台中更新帳戶
<a name="update-account-in-console"></a>

**在 AWS Control Tower 主控台中更新帳戶**

1. 登入 AWS Control Tower 時，導覽至**組織**頁面。

1. 在 OUs和帳戶清單中，選取您要更新的帳戶名稱。可供更新的帳戶會顯示**可用的更新**狀態。

1. 接下來，您將看到所選**帳戶的帳戶詳細資訊**頁面。

1. 在右上角，選擇**更新帳戶**。

如果您將帳戶從一個組織單位 (OU) 移至另一個組織單位，請記住，新 OU 套用的控制項可能與先前 OU 中的控制項不同。請確定新 OU 中的控制項符合您帳戶的政策需求。

AWS Control Tower 帳戶修改方式不同，取決於您是否已選擇加入帳戶自動註冊。如需自動註冊的詳細資訊，請參閱 [選擇性地設定帳戶的自動註冊](configure-auto-enroll.md)。

**在帳戶之間移動時的控制行為
 OUs啟用自動註冊**

當您將帳戶移至新的 OU 時，AWS Control Tower 會將 OU 啟用的基準和控制項套用至帳戶。會移除先前 OU 的控制項和基準。如果您將帳戶移出已註冊的 OU，AWS Control Tower 會移除所有部署的基準和控制項。

**在帳戶之間移動時的控制行為
 OUs，不含自動註冊**

當您在 OUs 之間移動帳戶時，目的地 OU 的控制項會套用至
 帳戶。不過，從先前 OU 套用到帳戶的控制項不是
 已移除。控制項的確切行為專屬於 的實作
 控制項在先前的 OU 和目的地 OU 上處於作用中狀態。
+  *對於使用 AWS Config 規則實作的控制項：*先前 OU 的控制項
 不會移除。這些控制項必須手動移除。
+ *對於使用 SCPs控制項：*先前 OU 的 SCP 型控制項為
 已移除。目的地 OU 的 SCP 型控制項會在此帳戶上生效。
+ *對於使用 CloudFormation 勾點實作的控制項：*此行為
 取決於新 OU 中控制項的狀態。
  + *如果目的地 OU 沒有作用中的勾點型控制項：*舊的
 控制項會保持移動帳戶的作用中狀態，除非您移除它們
 手動。
  + *如果目的地 OU 已啟用勾點控制：*舊控制項為
 已移除，且目的地 OU 中的控制項會套用至
 帳戶。

# 變更已註冊帳戶的電子郵件地址
<a name="change-account-email"></a>

 若要變更 AWS Control Tower 中已註冊成員帳戶的電子郵件地址，請遵循本節中的程序。

**注意**  
 下列程序不允許您變更**管理帳戶**、**日誌封存帳戶**或**稽核帳戶**的電子郵件地址。如需詳細資訊，請參閱[如何變更與 AWS 帳戶相關聯的電子郵件地址？](https://aws.amazon.com//premiumsupport/knowledge-center/change-email-address/)或聯絡 AWS Support。

**變更 AWS Control Tower 建立之帳戶的電子郵件地址**

1.  復原帳戶的根使用者密碼。您可以遵循文章中的步驟[，如何復原遺失或忘記 AWS 的密碼？](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/) 

1.  使用根使用者密碼登入帳戶。

1.  像對任何其他地址一樣變更電子郵件地址 AWS 帳戶，並等待變更反映 AWS Organizations。當電子郵件地址變更完成更新時，您可能會遇到延遲。

1.  使用先前屬於帳戶的電子郵件地址，更新 Service Catalog 中的佈建產品。更新佈建產品的程序包括將新電子郵件地址與佈建產品建立關聯。如此一來，電子郵件地址變更就會在 AWS Control Tower 中生效。使用新的電子郵件地址更新後續佈建的產品。

若要變更您使用 建立之成員帳戶的密碼或電子郵件地址 AWS Organizations，請參閱*AWS Organizations 《 使用者指南*》中的[以根使用者的身分存取成員帳戶](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root)。

或者，您可以從 AWS Organizations 主控台更新 Account Factory 或其他成員帳戶的電子郵件地址，而無需以根使用者身分登入。如需詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[使用 更新成員帳戶的根使用者電子郵件地址 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)。

# 變更已註冊帳戶的名稱
<a name="change-account-name"></a>

請依照本節中的程序，變更已註冊 AWS Control Tower 帳戶的名稱。

**注意**  
若要變更 AWS *管理員*帳戶的名稱，您必須擁有管理員許可，並以帳戶的根使用者身分登入。

**使用 AWS Organizations 主控台或 APIs 變更 AWS Control Tower 建立的帳戶名稱**
+ 遵循 *AWS 帳戶管理參考指南*中[的指示](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs)。

**變更 AWS Control Tower 所建立帳戶名稱的替代方法**

1. 復原帳戶的根密碼。您可以遵循本文概述的步驟，[如何復原遺失或忘記 AWS 的密碼？](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/)

1. 使用根密碼登入 帳戶。

1. 在 AWS Billing 主控台中，導覽至**帳戶設定**頁面。

1. 變更**帳戶設定**中的名稱，就像對任何其他設定一樣 AWS 帳戶。

1. AWS Control Tower 會自動自我更新以反映名稱變更。此更新不會反映在 中的佈建產品中 AWS Service Catalog。

# 使用 Amazon Virtual Private Cloud 設定帳戶工廠
<a name="configuring-account-factory-with-VPC-settings"></a>

Account Factory 可讓您為組織中的帳戶建立預先核准的基準和組態選項。您可以透過 AWS Service Catalog設定和佈建新的帳戶。

在帳戶工廠頁面上，您可以看到組織單位 (OUs及其**允許清單**狀態的清單。根據預設，所有 OU 都在允許清單中，這表示帳戶可以在這些 OU 下佈建。您可以停用透過 進行帳戶佈建的特定 OUs AWS Service Catalog。

您可以檢視最終使用者在佈建新帳戶時可用的 Amazon VPC 組態選項。

**在 Account Factory 中設定 Amazon VPC 設定**

1. 身為中央雲端管理員，請使用管理帳戶中的管理員許可登入 AWS Control Tower 主控台。

1. 從儀表板左側，選取 **Account Factory** 以導覽至 Account Factory 網路組態頁面。您可以在該處看到顯示的預設網路設定。若要編輯，請選取**編輯**並檢視您 Account Factory 網路組態設定的可編輯版本。

1. 您可以視需要修改預設設定的每個欄位。選擇您要為最終使用者可能建立的所有新 Account Factory 帳戶建立的 VPC 組態選項，然後在欄位中輸入您的設定。
+ 選擇**停用**或**啟用**，以在 Amazon VPC 中建立公有子網路。根據預設，不允許可從網際網路存取的子網路。
**注意**  
如果您設定帳戶工廠 VPC 配置，以便在佈建新帳戶時**啟用**公用子網路，則帳戶工廠會設定 Amazon VPC 以建立 [NAT 閘道](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-nat-gateway.html)。Amazon VPC 將向您收取您的使用費用。如需詳細資訊，請參閱[VPC; 定價](https://aws.amazon.com//vpc/pricing/)。
+ 從清單中選擇 Amazon VPC 中的私有子網路數量上限。根據預設，選取 1。每個可用區域允許的私有子網路數量上限為 2。
+  輸入建立帳戶 VPC 的 IP 地址範圍。此值必須是無類別網域間路由 (CIDR) 區塊的格式 (例如，預設為 `172.31.0.0/16`)。此 CIDR 區塊提供 Account Factory 為您的帳戶建立之 VPC 的整體子網路 IP 地址範圍。在您的 VPC 中，子網路會從您指定的範圍自動指派 , 且大小相等。根據預設，VPC 中的子網路不會重疊。不過，在您所有已佈建帳戶的 VPC 中，子網路 IP 位址範圍可能會重疊。
+ 選擇佈建帳戶時，建立 VPC 的一個區域或所有區域。預設為選取所有可用的區域。
+ 從清單選擇可用區域數，以在每個 VPC 中設定子網路。預設及建議數字是三個。
+ 選擇**儲存**。

 您可以設定這些組態選項，以建立不包含 VPC 的新帳戶。請參閱[演練](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)。

# 取消註冊 帳戶
<a name="unmanage-account"></a>

如果您在 Account Factory 中建立帳戶或註冊 AWS 帳戶，而且您不再希望帳戶由登陸區域中的 AWS Control Tower 管理，您可以從 AWS Control Tower 主控台*取消註冊*帳戶。

當您取消註冊 AWS Control Tower 帳戶時，會移除 AWS Control Tower 佈建的所有資源，包括任何控制項和藍圖。帳戶會從任何 AWS Control Tower OU 移至**根**區域。帳戶不再是已註冊 OU 的一部分，也不再受 AWS Control Tower SCPs的約束。您可以透過 關閉帳戶 AWS Organizations。

**從 AWS Control Tower 主控台取消註冊已註冊的帳戶**

1. 在 的網頁瀏覽器中開啟 AWS Control Tower 主控台 [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower)

1. 在左側導覽窗格中，選擇**組織**。

1. 在**組織**頁面中，選取 OU 附近的 **\$1** 按鈕，展開包含帳戶的 OU。

1. 選取帳戶，然後選擇**取消管理**。

**注意**  
等待帳戶的狀態顯示**未註冊**。

如果您不再需要該帳戶，請將其關閉。如需關閉 AWS 帳戶的詳細資訊，請參閱*AWS Billing 《 使用者指南*》中的[關閉帳戶](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) 

**自動註冊處於作用中狀態時取消註冊帳戶**  
如果您的**設定**頁面中的自動註冊功能處於作用中狀態，您也可以將帳戶移至未在 AWS Control Tower 中註冊的 OU 來取消註冊帳戶。所有 AWS Control Tower 資源都會移除。請注意，您不會以這種方式意外取消註冊帳戶。不過，您可以透過將其傳回 OU 來重新註冊帳戶。

當您取消註冊自訂帳戶時，AWS Control Tower 會移除登陸區域已部署的資源，以及 AWS Control Tower 在帳戶中建立的任何其他資源。AWS Control Tower 也會移除 **AWSControlTowerExecution** 角色，即使已手動新增。移除此角色符合最低權限原則，因為服務執行角色不應保留在未受管帳戶中。

取消註冊帳戶後，您可以透過 關閉帳戶 AWS Organizations。

**注意**  
未註冊的帳戶不會關閉或刪除。取消註冊帳戶後，您在 Account Factory 中建立帳戶時選取的 IAM Identity Center 使用者仍然具有帳戶的管理存取權。如果您不希望此使用者具有管理存取權，則必須更新帳戶工廠中的帳戶並變更帳戶的 IAM Identity Center 使用者電子郵件地址，以在 IAM Identity Center 中變更此設定。如需詳細資訊，請參閱[使用 AWS Control Tower 更新和移動帳戶](updating-account-factory-accounts.md)。

## 影片演練
<a name="unmanage-account-video"></a>

此影片 (3：25) 說明如何從 AWS Control Tower 移除帳戶、取得帳戶的根存取權，最後關閉 AWS 帳戶。您也可以使用 [AWS Organizations API](https://docs.aws.amazon.com//controltower/latest/userguide/delete-account.html) 關閉帳戶。若要獲得更佳的觀賞效果，請選取影片右下角的圖示，將影片放大至全螢幕。並提供字幕。

[![AWS Videos](http://img.youtube.com/vi/n3eALEKZaHc/0.jpg)](http://www.youtube.com/watch?v=n3eALEKZaHc)


您可以檢視說明 AWS Control Tower 中常見任務的 AWS [YouTube 影片](https://www.youtube.com/playlist?list=PLhr1KZpdzukdS9skEXbY0z67F-wrcpbjm)清單。

# 關閉在 Account Factory 中建立的帳戶
<a name="delete-account"></a>

在 Account Factory 中建立的帳戶為 AWS 帳戶。如需關閉 的詳細資訊 AWS 帳戶，請參閱《[帳戶管理參考指南》中的關閉](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)[https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html ](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html )。

**注意**  
 關閉 AWS 帳戶 與從 AWS Control Tower 取消註冊帳戶不同，這些是個別的動作。您必須先取消註冊帳戶，才能將其關閉。

## 透過 關閉 AWS Control Tower 成員帳戶 AWS Organizations
<a name="close-account-with-orgs-api"></a>

您可以從組織的管理帳戶關閉 AWS Control Tower 成員帳戶，而無需使用根登入資料個別登入每個成員帳戶 AWS Organizations。不過，您無法以這種方式關閉管理帳戶。

當您呼叫 AWS Organizations [CloseAccount API](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html) 或在 AWS Organizations 主控台中關閉帳戶時，成員帳戶會隔離 90 天，如同任何 AWS 帳戶 一樣。帳戶會在 AWS Control Tower 和 中顯示**暫停**狀態 AWS Organizations。如果您在該 90 天內嘗試使用帳戶，AWS Control Tower 會提供錯誤訊息。

**注意**  
如果 OU 已暫停帳戶，則目標上的區域控制項的 EnabledControl 操作將會失敗。

在 90 天過期之前，您可以還原成員帳戶，就像使用任何 一樣 AWS 帳戶。在 90 天之後，會移除帳戶的記錄。

根據最佳實務，建議您先取消註冊成員帳戶，再關閉該帳戶。如果您在未先取消管理的情況下關閉成員帳戶，AWS Control Tower 會將帳戶的狀態顯示為**已暫停**，但也顯示為**已註冊**。因此，如果您嘗試在該 90 天時間內**重新註冊**帳戶的 OU，AWS Control Tower 會產生錯誤訊息。暫停的帳戶基本上會封鎖重新註冊動作並發生預先檢查失敗。如果您從 OU 移除帳戶，您可以**重新註冊** OU，但 AWS 可能會產生帳戶缺少付款方式的錯誤。若要解決此限制，請先建立另一個 OU，然後將帳戶移至該 OU，然後再嘗試重新註冊。我們建議將此 OU 命名為**暫停的** OU。

**注意**  
如果您在關閉帳戶之前未取消註冊帳戶，您必須在 AWS Service Catalog 這 90 天完成後刪除 中的帳戶佈建產品。

如需詳細資訊，請參閱 [CloseAccount API](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html) AWS Organizations 的文件。

# Account Factory 的資源考量事項
<a name="account-factory-considerations"></a>

使用 Account Factory 佈建帳戶時，會在帳戶內建立下列 AWS 資源。


| AWS 服務 | Resource Type (資源類型) | 資源名稱 | 
| --- | --- | --- | 
| AWS CloudFormation | 堆疊 |  StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-\$1 StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 StackSet-AWSControlTowerBP-BASELINE-CONFIG-\$1 StackSet-AWSControlTowerBP-BASELINE-ROLES-\$1 StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-\$1  | 
| AWS CloudTrail | 追蹤 | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch 事件規則 | aws-controltower-ConfigComplianceChangeEventRule | 
| Amazon CloudWatch | CloudWatch Logs | aws-controltower/CloudTrailLogs /aws/lambda/aws-controltower-NotificationForwarder | 
| AWS Identity and Access Management | 角色 | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole  AWSControlTowerExecution | 
| AWS Identity and Access Management | 政策 | AWSControlTowerServiceRolePolicy  | 
| Amazon Simple Notification Service | 主題 | aws-controltower-SecurityNotifications | 
| AWS Lambda | 應用程式 | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 | 
| AWS Lambda | 函數 | aws-controltower-NotificationForwarder | 
| Amazon EventBridge | 規則 | AWSControlTowerManagedRule | 
| Amazon EventBridge | 規則 | aws-controltower-ConfigComplianceChangeEventRule |