Erwartungen an die Konfiguration der landing zone - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erwartungen an die Konfiguration der landing zone

Die Einrichtung Ihrer AWS Control Tower Tower-Landezone landing zone aus mehreren Schritten. Bestimmte Aspekte Ihrer AWS Kontrollturm-Landezone sind konfigurierbar. Andere Optionen können nach der Einrichtung nicht geändert werden.

Wichtige Elemente, die während der Einrichtung konfiguriert werden müssen

  • Sie können Ihre OU-Namen der obersten Ebene während der Einrichtung auswählen und Sie können auch die OU-Namen ändern, nachdem Sie Ihre landing zone eingerichtet haben. Standardmäßig heißen die obersten Ebenen OUs Sicherheit und Sandbox. Weitere Informationen finden Sie unter Richtlinien für die Einrichtung einer gut strukturierten Umgebung.

  • Während der Einrichtung können Sie benutzerdefinierte Namen für die gemeinsamen Konten auswählen, die AWS Control Tower erstellt. Diese Namen werden standardmäßig als Log Archive und Audit bezeichnet. Sie können diese Namen jedoch nach der Einrichtung nicht mehr ändern. (Dies ist eine einmalige Auswahl.)

  • Während der Einrichtung können Sie optional vorhandene AWS Konten für AWS Control Tower angeben, die als Audit- und Protokollarchivkonten verwendet werden sollen. Wenn Sie beabsichtigen, bestehende AWS Konten anzugeben und diese Konten über vorhandene AWS Config Ressourcen verfügen, müssen Sie die vorhandenen AWS Config Ressourcen löschen, bevor Sie die Konten bei AWS Control Tower registrieren können. (Dies ist eine einmalige Auswahl.)

  • Wenn Sie das System zum ersten Mal einrichten oder auf landing zone Version 3.0 aktualisieren, können Sie wählen, ob Sie AWS Control Tower erlauben möchten, einen AWS CloudTrail Trail auf Organisationsebene für Ihre Organisation einzurichten, oder Sie können sich von Trails abmelden, die von AWS Control Tower verwaltet werden, und Ihre eigenen CloudTrail Trails verwalten. Sie können Trails auf Organisationsebene, die von AWS Control Tower verwaltet werden, jederzeit aktivieren oder deaktivieren, wenn Sie Ihre landing zone aktualisieren.

  • Sie können optional eine benutzerdefinierte Aufbewahrungsrichtlinie für Ihren Amazon S3 S3-Log-Bucket und Ihren Log-Zugriffs-Bucket festlegen, wenn Sie Ihre landing zone einrichten oder aktualisieren.

  • Sie können optional einen zuvor definierten Blueprint angeben, der für die Bereitstellung benutzerdefinierter Mitgliedskonten von der Control Tower Tower-Konsole aus verwendet werden soll. AWS Sie können Konten später anpassen, wenn Ihnen kein Blueprint zur Verfügung steht. Siehe Passen Sie Konten mit Account Factory Customization (AFC) an.

Konfigurationsoptionen, die nicht rückgängig gemacht werden können

  • Du kannst deine Heimatregion nicht ändern, nachdem du deine landing zone eingerichtet hast.

  • Wenn Sie Account Factory Factory-Konten bereitstellenVPCs, VPC CIDRs kann diese nach der Erstellung nicht mehr geändert werden.