

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 AWS Control Tower 中预置和管理账户
<a name="provision-and-manage-accounts"></a>

本章涵盖：
+ 在 AWS Control Tower 中预置和管理新成员账户的概述与步骤。
+ 将现有 AWS 账户注册到 AWS Control Tower 的概述和程序。

有关 AWS Control Tower 中账户的常规信息，请参阅[关于 AWS 账户 在 AWS Control Tower 中](accounts.md)。有关将多个账户注册到 AWS Control Tower 的信息，请参阅 [向 AWS Control Tower 注册现有组织单元](importing-existing.md)。

**注意**  
单个账户的配置、更新和自定义必须针对 AWSControlTowerBaseline 已启用的组织单位 (OU)。如果 OU 未 AWSControlTowerBaseline 启用，则可以激活账户自动注册功能，也可以使用该 OU ResetEnabledControl APIs 上的 an ResetEnabledBaseline d on an EnabledBaselines d EnabledControls and and 来注册账户。有关详细信息 AWSControlTowerBaseline，请参阅：[适用于 OU 级别的基准类型](types-of-baselines.md#ou-baseline-types)。

**注意**  
您最多可以同时执行五（5）项与账户相关的操作，包括预置、更新和注册。

## 预置账户所需的权限
<a name="permissions"></a>

使用适当的用户组权限，预置者可以为其组织中的所有账户指定标准化基准和网络配置。

使用 Account Factory 从 AWS Control Tower 控制台创建账户时，您必须使用已启用 `AWSServiceCatalogEndUserFullAccess` 策略的 IAM 用户身份登录账户，并获得使用 AWS Control Tower 控制台的权限，且不能以**根**用户身份登录。

**注意**  
预置账户时，账户请求者必须始终拥有 `CreateAccount` 和 `DescribeCreateAccountStatus` 权限。此权限集是**管理员**角色的一部分，当请求者代入**管理员**角色时会自动获得这些权限。如果您将预置账户的权限委派给他人，则可能需要直接为账户请求者添加这些权限。

有关 AWS Control Tower 中所需权限的一般信息，请参阅 [在 AWS Control Tower 中使用基于身份的策略（IAM 策略）](access-control-managing-permissions.md)。有关 AWS Control Tower 中角色和账户的信息，请参阅[角色和账户](https://docs.aws.amazon.com//controltower/latest/userguide/roles.html)。