根 OU

如果您选择的部署方法是 scp，则在 organizational_units 下添加根时，AWS Control Tower 会将策略应用于该根下的所有 OU。如果您选择的部署方法是 stack_set，则在 organizational_units 下添加根时，CfCT 会在该根下注册 AWS Control Tower 的所有账户中部署堆栈集，但管理账户除外。

根据 AWS Control Tower 最佳实践，管理账户仅用于管理成员账户和账单。请勿在 AWS Control Tower 管理账户中运行生产工作负载。

根据最佳实践指南，AWS Control Tower 部署将管理账户置于根 OU 下，这样它就具有完全访问权限并且不会运行其他资源。因此，AWSControlTowerExecution 角色未部署到管理账户。

我们建议您遵循这些管理账户的最佳实践。如果您有需要在管理账户中部署堆栈集的特定使用案例，请将账户添加为部署目标并指定管理账户。否则，请勿将账户添加为部署目标。您必须在管理账户中创建缺失的资源，包括所需的 IAM 角色。