在 AWS Control Tower 中预置和管理账户 - AWS Control Tower
AWS Control Tower 创建账户时会发生什么情况

在 AWS Control Tower 中预置和管理账户

本章包含在 AWS Control Tower 登录区中预置和管理成员账户的概述和步骤。

它还包含将现有 AWS 账户注册到 AWS Control Tower 的概述和步骤。

有关 AWS Control Tower 中账户的更多信息,请参阅 关于 AWS Control Tower 中的 AWS 账户。有关将多个账户注册到 AWS Control Tower 的信息,请参阅 向 AWS Control Tower 注册一个现有组织单位

注意

您最多可以同时执行五(5)项与账户相关的操作,包括预置、更新和注册。

AWS Control Tower 创建账户时会发生什么情况

在 AWS Control Tower 中创建新账户,然后通过 AWS Control Tower、AWS Organizations 和 AWS Service Catalog 之间的交互预置这些账户。有关使用 AWS Control Tower 控制台注册现有 AWS 账户的步骤,请参阅 注册现有账户

账户创建的后台操作

  1. 例如,从 AWS Control Tower Account Factory 页面或直接从 AWS Service Catalog 控制台或通过调用 Service Catalog ProvisionProduct API 发起请求。

  2. AWS Service Catalog 调用 AWS Control Tower。

  3. AWS Control Tower 启动一个工作流,第一步是调用 AWS Organizations CreateAccount API。

  4. AWS Organizations 创建账户后,AWS Control Tower 通过应用蓝图和控件来完成预置过程。

  5. Service Catalog 继续对 AWS Control Tower 进行轮询,以检查预置过程是否已完成。

  6. AWS Control Tower 中的工作流完成后,Service Catalog 最终确定账户的状态并将结果通知您(请求者)。

账户的安全性

您可以在 AWS Organizations 文档中找到有关保护 AWS Control Tower 管理账户和成员账户的安全性的最佳实践指南。