View a markdown version of this page

Ein Konto an eine andere Organisation übertragen - AWS Control Tower
VoraussetzungenSchritt 1: Das Konto bei AWS Control Tower abmeldenSchritt 2: Übertragen Sie das Konto an die ZielorganisationSchritt 3: Registrieren Sie das Konto bei der ZielorganisationWeitere Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ein Konto an eine andere Organisation übertragen

Sie können ein Mitgliedskonto, das bei AWS Control Tower registriert ist, auf eine andere AWS Organizations Organisation übertragen.

Voraussetzungen

  • Das Konto muss bei AWS Control Tower in der Quellorganisation registriert sein. Das heißt, auf das Konto wurden Basiswerte, proaktive Kontrollen oder detektivische Kontrollen angewendet.

  • Das Konto muss mindestens 4 Tage vor der Übertragung erstellt worden sein.

  • Sie müssen Zugriff auf das Verwaltungskonto sowohl der Quell- als auch der Zielorganisation haben.

Schritt 1: Das Konto bei AWS Control Tower abmelden

Bevor Sie das Konto übertragen, müssen Sie alle direkt darauf angewendeten AWS Control Tower Tower-Ressourcen deaktivieren. Das Konto kann weiterhin präventive Kontrollen übernehmen.

Wenn Sie Auto Enroll verwenden

Verschieben Sie das Konto an einen der folgenden Orte:

  • Die Wurzel der Organisation

  • Eine nicht verwaltete Organisationseinheit

  • Mit Landing Zone 4.0 oder höher, eine Organisationseinheit, für die nur präventive Kontrollen aktiviert sind

Wenn Sie Auto Enroll nicht verwenden

Die folgenden Methoden sind auch verfügbar, wenn Sie Auto Enroll verwenden.

  • Wählen Sie für Konten mit der AWS Control Tower- und Backup-Baseline in der AWS Control Tower Tower-Konsole die Option Unmanage aus. Sie können das bereitgestellte Produkt auch mit dem AWS Service Catalog APIs oder der Konsole beenden.

  • Deaktivieren Sie für Konten mit der AWS Config-Baseline die AWS Config-Baseline auf der OU, oder verschieben Sie das Konto in das Stammverzeichnis und verwenden Sie die DisableBaseline API.

Schritt 2: Übertragen Sie das Konto an die Zielorganisation

Nachdem alle AWS Control Tower Tower-Baselines und -Kontrollen, die auf das Konto angewendet wurden, außer präventiven Kontrollen, deaktiviert wurden, schließen Sie die Übertragung ab.

  1. Senden Sie vom Verwaltungskonto der Zielorganisation aus eine Einladung an das Mitgliedskonto.

  2. Nehmen Sie die Einladung vom Mitgliedskonto an.

  3. Verschieben Sie das Konto vom Verwaltungskonto der Zielorganisation in die gewünschte Organisationseinheit.

Anweisungen zum Migrationsprozess finden Sie im AWS Organizations Benutzerhandbuch unter Migrieren von AWS Konten zu einer anderen Organisation.

Schritt 3: Registrieren Sie das Konto bei der Zielorganisation

Nachdem sich das Konto in der Zielorganisation befindet, registrieren Sie es bei AWS Control Tower.

  • Wenn Auto Enroll in der AWS Control Tower-Landing landing zone aktiviert ist, die für die Zielorganisation zuständig ist, wendet AWS Control Tower automatisch Baselines und Kontrollen auf das Konto an.

  • Wenn Sie Auto Enroll in der Zielorganisation nicht verwenden, registrieren Sie das Konto manuell bei AWS Control Tower. Weitere Informationen finden Sie unter Über die Registrierung vorhandener Konten.

Weitere Überlegungen

Wartezeit

Konten, die über AWS Organizations Account Factory erstellt wurden, müssen mindestens 4 Tage alt sein, bevor Sie sie übertragen oder aus einer Organisation entfernen können. Weitere Informationen finden Sie im AWS Organizations Benutzerhandbuch unter Entfernen eines Mitgliedskontos aus einer Organisation.

AWS Aggregator-Grenzwerte konfigurieren

Wenn Sie mehrere Konten übertragen, erreichen Sie möglicherweise das AWS Config-Limit für die maximale Anzahl von Konten, die pro Woche für alle Aggregatoren hinzugefügt oder gelöscht werden (1.000). Informationen zur Beantragung einer Limiterhöhung finden Sie unter AWS Config Service Limits. Sie können auch auf landing zone Version 4.0 aktualisieren, die einen serviceverknüpften Config-Aggregator verwendet. Weitere Informationen finden Sie unter AWS Konfigurationsupdates in landing zone Version 4.0.

Zugriff auf das Mitgliedskonto

Nicht registrierte Konten haben keine AWSControlTowerExecution Rolle. Wenn Sie die Config- oder AWS Control Tower-Baseline deaktivieren, löscht AWS Control Tower ihre Ausführungsrolle und fügt die OrganizationsAccountAccessRole hinzu. Sie können diese Rolle verwenden, um eine Einladung für die Zielorganisation anzunehmen.

Wenn das Konto in der Zielorganisation registriert ist, wird die AWSControlTowerExecution Rolle erstellt. Diese Rolle ersetzt das neue OrganizationsAccountAccessRole Verwaltungskonto und vertraut dem neuen Verwaltungskonto.

AWS Service Catalog und automatische Registrierung

Die automatische Registrierung wirkt sich nicht auf Ressourcen im AWS Service Catalog aus. Alle von Account Factory bereitgestellten Produkte verbleiben im Verwaltungskonto, auch wenn die Registrierung der zugrunde liegenden Konten aufgehoben wird. Informationen zur Kündigung dieser bereitgestellten Produkte im Verwaltungskonto finden Sie unter Löschen bereitgestellter Produkte im AWS Service Catalog-Benutzerhandbuch. Alle AFC-Blueprints (Account Factory Customization) verbleiben im Konto.