本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对 landing zone 配置的期望 APIs
设置 Contro AWS l Tower 着陆区的过程分为多个步骤。您的 Cont AWS rol Tower 着陆区的某些方面是可以配置的。其他选项一经设置便无法更改。
设置期间要配置的关键项目
-
您可以在设置期间选择您的基础 OU 的名称,也可以在设置好登录区后更改 OU 名称。默认情况下,基础被命名OUs为 “安全” 和 “沙盒”。有关更多信息,请参阅 设置架构完善的环境的指南。
-
在设置过程中,您可以为 Cont AWS rol Tower 创建的共享帐户选择自定义名称,默认情况下称为日志存档和审计,但在设置后无法更改这些名称。(这是一次性选择。)
-
在设置过程中APIs,必须为 Cont AWS rol Tower 指定现有 AWS 帐户以用作审计和日志存档帐户。要指定现有 AWS 账户,如果这些账户有现有 AWS Config 资源,则必须先删除或修改现有 AWS Config 资源,然后才能将这些账户注册到 Contro AWS l Tower。(这是一次性选择。)
-
如果您是首次进行设置,或者要升级到着陆区版本 3.0,则可以选择是否允许 Cont AWS rol Tower 为您的组织设置组织级别的 AWS CloudTrail 跟踪,也可以选择退出由 Cont AWS rol Tower 管理的路径并管理自己的 CloudTrail 路线。每当你更新着陆区时,你都可以选择加入或选择退出由 Cont AWS rol Tower 管理的组织级路线。
-
在设置或更新登录区时,您可以选择为 Amazon S3 日志存储桶和日志访问存储桶设置自定义的保留策略。
无法撤消的配置选择
-
登录区设置完毕后,您将无法更改主区域。
-
如果您使用配置账户VPCs,则在创建账户后VPCCIDRs无法进行更改。
后续部分详细介绍了设置先决条件和步骤,并附有说明和注意事项。有关其他代码示例,请参阅示例:仅使用 API 设置 AWS Control Tower 登录区。
