自定义您的 AWS Control Tower 着陆区

在安装过程中选择自定义名称

• 您可以在设置过程中选择您的顶级 OU 名称。您可以随时使用 AWS Organizations 控制台重命名 OU，但是在中更改 OU AWS Organizations 可能会导致可修复的偏差。

• 您可以选择共享的审核和日志存档帐户的名称，但在设置后无法更改名称。（这是一次性选择。）

选择 AWS 区域

• 您可以通过选择特定 AWS 区域进行治理来自定义您的着陆区。按照 AWS Control Tower 控制台中的步骤进行操作。

• 在更新 landing zone 时，你可以选择和取消选择 AWS 区域进行治理。

• 您可以将 “区域拒绝” 控件设置为 “已启用” 或 “未启用”，并控制用户对非治理 AWS 区域中大多数 AWS 服务的访问权限。

通过添加可选控件进行自定义

• 强烈推荐和选择性控制是可选的，这意味着您可以通过选择要启用的控制来自定义着陆区的执法级别。默认情况下，可选控件未启用。

• 可选的数据驻留控制允许您自定义存储区域并允许访问您的数据。

• 集成 Security Hub 标准中的可选控件允许您扫描 AWS Control Tower 环境以检查是否存在安全风险。

• 可选的主动控制允许您在 AWS CloudFormation 资源配置之前对其进行检查，以确保新资源符合您环境的控制目标。

自定义您的 AWS CloudTrail 路线

• 当您将着陆区更新到 3.0 或更高版本时，您可以选择加入或选择退出由 AWS Control Tower 管理的组织级 CloudTrail 路径。您可以随时更新着陆区（Landing zone）时更改此选择。AWS Control Tower 会在您的管理账户中创建组织级别的跟踪，并根据您的选择，该跟踪进入活动或非活动状态。着陆区 3.0 不支持账号级别的 CloudTrail 路径；但是，如果您需要这些路径，则可以配置和管理自己的路线。重复跟踪可能会产生额外费用。

在控制台中创建自定义成员账户

• 您可以从 AWS Control Tower 控制台创建自定义的 AWS Control Tower 成员账户，也可以更新现有成员账户以添加自定义设置。有关更多信息，请参阅 使用 Account Factory 自定义 (AFC) 自定义账户。

• 在配置过程中，你可以使用 Account F actory for Terraform (AFT) 以 GitOps风格的工作流程自定义帐户。

  AFT 与 Terraform 模块一起部署，该模块可在 A FT 存储库中找到。

• 您可以使用 AWS 控制塔 (cfcT) 的自定义功能来自定义 AWS Control Tower 着陆区，这是一套基于 AWS CloudFormation 模板和服务控制策略 (SCP) 构建的功能。您可以将自定义模板和策略部署到组织内的个人账户和组织单位 (OU)。

  cfCT 的源代码可在GitHub 存储库中找到。

优势

• 扩展自定义的安全 AWS 环境 — 您可以更快地扩展您的多账户 AWS Control Tower 环境，并将 AWS 最佳实践整合到可重复的自定义工作流程中。

• 实例化您的需求 — 您可以使用表达您的政策意图的 AWS CloudFormation 模板和服务控制策略根据您的业务需求自定义 AWS Control Tower 着陆区。

• 利@@ 用 AWS Control Tower 生命周期事件进一步实现自动化 — 生命周期事件允许您根据之前一系列事件的完成情况部署资源。您可以依靠生命周期事件来帮助您将资源自动部署到账户和 OU。

• 扩展您的网络架构-您可以部署自定义的网络架构，以改善和保护您的连接，例如传输网关。

• AWS 架构博客文章《使用服务目录和 AWS Control Tower 自定义项部署一致的 DNS》中给出了使用 AWS Control Tower 定制 (cfcT) 的网络用例示例。

• aws-samples存储库中提供了与 cfcT 和 GuardDuty Amazon 相关的具体示例。 GitHub

• 有关 cfCT 的其他代码示例可作为 AWS 安全参考架构的一部分在aws-samples存储库中找到。其中许多示例都包含名为的目录中的示例manifest.yaml文件customizations_for_aws_control_tower。