

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Account Factory 佈建和管理帳戶
<a name="account-factory"></a>

**注意**  
單一帳戶佈建、更新和自訂必須以啟用 AWSControlTowerBaseline 的組織單位 (OU) 為目標。如果 OU 未啟用 AWSControlTowerBaseline，您可以啟用帳戶自動註冊，或在 EnabledBaselines 上使用 ResetEnabledBaseline 和 ResetEnabledControl APIs並在該 OU 上使用 EnabledControls 來註冊帳戶。如需 AWSControlTowerBaseline 的詳細資訊，請參閱：[在 OU 層級套用的基準類型](types-of-baselines.md#ou-baseline-types)。

 本章包含使用 Account Factory 在 AWS Control Tower 登陸區域中佈建新成員帳戶的概觀和程序。

## 設定和佈建帳戶的許可
<a name="configure-provision-new-account"></a>

AWS Control Tower 帳戶工廠可讓 中的雲端管理員和使用者在您的登陸區域中 AWS IAM Identity Center 佈建帳戶。根據預設，佈建帳戶的 IAM Identity Center 使用者必須位於 `AWSAccountFactory`群組或 管理群組中。

**注意**  
從管理帳戶工作時，請小心謹慎，就像使用整個組織中具有許可的任何帳戶一樣。

AWS Control Tower 管理帳戶與 `AWSControlTowerExecution`角色具有信任關係，允許從管理帳戶設定帳戶，包括一些自動帳戶設定。如需`AWSControlTowerExecution`角色的詳細資訊，請參閱[角色和帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html)。

**注意**  
若要在 AWS Control Tower AWS 帳戶 中註冊現有的 ，該帳戶必須啟用 `AWSControlTowerExecution`角色。如需如何註冊現有帳戶的詳細資訊，請參閱[關於註冊現有帳戶](enroll-account.md)。

如需許可的詳細資訊，請參閱「[佈建帳戶所需的許可](provision-and-manage-accounts.md#permissions)」。

## 在 Account Factory 中管理帳戶的考量事項
<a name="closing-and-repurposing"></a>

 您可以更新、取消註冊和關閉透過 Account Factory 建立和佈建的帳戶。您可以透過更新要重新利用之帳戶中的使用者參數來回收帳戶。您也可以變更帳戶的組織單位 (OU)。

**注意**  
 更新與 Account Factory 提供的帳戶相關聯的佈建產品時，如果您指定新的使用者電子郵件地址 AWS IAM Identity Center，AWS Control Tower 會在 IAM Identity Center 中建立新的使用者。先前建立的帳戶不會移除。如需有關從 IAM Identity Center 移除先前 IAM Identity Center 使用者電子郵件地址的資訊，請參閱[停用使用者](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html)。