View a markdown version of this page

Trasferire un account a un'altra organizzazione - AWS Control Tower
PrerequisitiFase 1: Annullare la registrazione dell'account da AWS Control TowerFase 2: Trasferire l'account all'organizzazione di destinazioneFase 3: Registrare l'account nell'organizzazione di destinazioneUlteriori considerazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Trasferire un account a un'altra organizzazione

Puoi trasferire un account membro registrato in AWS Control Tower a un'altra AWS Organizations organizzazione.

Prerequisiti

  • L'account deve essere registrato in AWS Control Tower nell'organizzazione di origine. Cioè, all'account vengono applicate linee di base, controlli proattivi o controlli investigativi.

  • L'account deve essere stato creato almeno 4 giorni prima del trasferimento.

  • È necessario avere accesso all'account di gestione dell'organizzazione di origine e di destinazione.

Fase 1: Annullare la registrazione dell'account da AWS Control Tower

Prima di trasferire l'account, devi disabilitare tutte le risorse AWS Control Tower applicate direttamente all'account. L'account può continuare a ereditare i controlli preventivi.

Se si utilizza la registrazione automatica

Sposta l'account in una delle seguenti posizioni:

  • La radice dell'organizzazione

  • Un'unità organizzativa non gestita

  • Con Landing Zone 4.0 o versione successiva, un'unità organizzativa con solo controlli preventivi abilitati

Se non utilizzi la registrazione automatica

I metodi seguenti sono disponibili anche se utilizzi la registrazione automatica.

  • Per gli account con la linea di base AWS Control Tower and Backup, scegli Unmanage dalla console AWS Control Tower. È inoltre possibile interrompere il prodotto fornito tramite il AWS Service Catalog APIs o la console.

  • Per gli account con la linea di base AWS Config, disabilita la linea di base AWS Config sull'unità organizzativa oppure sposta l'account su root e utilizza l'API. DisableBaseline

Fase 2: Trasferire l'account all'organizzazione di destinazione

Dopo che tutte le linee di base e i controlli di AWS Control Tower applicati all'account diversi dai controlli preventivi sono stati disabilitati, completa il trasferimento.

  1. Dall'account di gestione dell'organizzazione di destinazione, invia un invito all'account membro.

  2. Accetta l'invito dall'account del membro.

  3. Dall'account di gestione dell'organizzazione di destinazione, sposta l'account nell'unità organizzativa desiderata.

Per istruzioni sul processo di migrazione, consulta Migrazione AWS degli account verso un'altra organizzazione nella Guida per l'AWS Organizations utente.

Fase 3: Registrare l'account nell'organizzazione di destinazione

Una volta che l'account è nell'organizzazione di destinazione, registralo in AWS Control Tower.

  • Se Auto Enroll è abilitato nella landing zone di AWS Control Tower che governa l'organizzazione di destinazione, AWS Control Tower applica automaticamente le linee di base e i controlli all'account.

  • Se non utilizzi Auto Enroll nell'organizzazione di destinazione, registra manualmente l'account in AWS Control Tower. Per ulteriori informazioni, consulta Informazioni sulla registrazione di account esistenti.

Ulteriori considerazioni

Periodo di attesa

Gli account creati AWS Organizations tramite Account Factory devono avere almeno 4 giorni prima di poterli trasferire o rimuovere da un'organizzazione. Per ulteriori informazioni, consulta Rimuovere un account membro da un'organizzazione nella Guida per l'AWS Organizations utente.

AWS Limiti dell'aggregatore Config

Quando trasferisci più account, potresti raggiungere il limite di AWS Config per il numero massimo di account aggiunti o eliminati a settimana per tutti gli aggregatori (1.000). Per richiedere un aumento del limite, consulta AWS Config service limits. Puoi anche eseguire l'aggiornamento alla versione 4.0 della landing zone, che utilizza un aggregatore Config collegato al servizio. Per maggiori dettagli, consulta AWS Config updates in landing zone versione 4.0.

Accesso all'account membro

Gli account non registrati non hanno alcun ruoloAWSControlTowerExecution. Quando disabiliti la baseline Config o AWS Control Tower, AWS Control Tower elimina il ruolo di esecuzione e aggiunge il. OrganizationsAccountAccessRole Puoi utilizzare questo ruolo per accettare un invito per l'organizzazione di destinazione.

Quando l'account è registrato nell'organizzazione di destinazione, il AWSControlTowerExecution ruolo viene creato. Questo ruolo sostituisce OrganizationsAccountAccessRole e considera attendibile il nuovo account di gestione.

AWS Service Catalog e registrazione automatica

La registrazione automatica non agisce sulle risorse in AWS Service Catalog. Tutti i prodotti forniti da Account Factory rimangono nell'account di gestione anche se i conti sottostanti non sono registrati. Per terminare questi prodotti forniti nell'account di gestione, vedere Eliminazione dei prodotti forniti nella Guida per l'utente del AWS Service Catalog. Tutti i blueprint di Account Factory Customization (AFC) rimangono nell'account.