先决条件:自动对您的管理账户进行启动前检查 - AWS Control Tower
AWS IAM Identity Center (IAM 身份中心)客户的注意事项

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

先决条件:自动对您的管理账户进行启动前检查

在 AWS Control Tower 设置着陆区之前,它会自动对您的账户进行一系列启动前检查。您无需对这些检查采取任何行动,这些检查可确保您的管理账户已准备就绪,可以进行建立 landing zone 的更改。以下是 AWS Control Tower 在设置着陆区之前运行的检查:

  • 的现有服务限制 AWS 账户 必须足以让 AWS Control Tower 启动。有关更多信息,请参阅Cont AWS rol Tower 中的限制和配额

  • AWS 账户 必须订阅以下 AWS 服务:

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    注意

    默认情况下,所有账户都订阅这些服务。

AWS IAM Identity Center (IAM 身份中心)客户的注意事项

  • 如果已经设置 AWS IAM Identity Center (IAM 身份中心),则 AWS Control Tower 主区域必须与 IAM 身份中心区域相同。

  • IAM 身份中心只能安装在组织的管理账户中。

  • 根据您选择的身份源,三个选项适用于您的 IAM Identity Center 目录:

    • IAM 身份中心用户存储:如果 AWS Control Tower 设置了 IAM 身份中心,则 AWS Control Tower 会在 IAM 身份中心目录中创建群组,并为您选择的用户配置成员账户对这些群组的访问权限。

    • 活动目录:如果为 AWS Control Tower 的 IAM 身份中心设置了活动目录,则 AWS Control Tower 不会管理 IAM 身份中心目录。它不会将用户或组分配给新 AWS 帐户。

    • 外部身份提供商:如果为 AWS Control Tower 的 IAM 身份中心设置了外部身份提供商 (IdP),则 AWS Control Tower 会在 IAM 身份中心目录中创建群组,并为您为成员账户选择的用户配置对这些群组的访问权限。在创建账户期间,您可以在 Account Factory 中指定来自外部 IdP 的现有用户,当 AWS Control Tower 在 IAM Identity Center 和外部 IdP 之间同步同名用户时,AWS Control Tower 会允许该用户访问新出售的账户。您还可以在外部 IdP 中创建群组,使其与 AWS Control Tower 中默认群组的名称相匹配。当您将用户分配到这些群组时,这些用户将有权访问您注册的帐户。

    有关使用 IAM 身份中心和 AWS Control Tower 的更多信息,请参阅 关于 IAM 身份中心账户和 AWS Control Tower 的注意事项

AWS Config 和 AWS CloudTrail 客户的注意事项

  • AWS 账户 无法在组织管理账户中为 AWS Config 或启用可信访问权限 CloudTrail。有关如何禁用可信访问的信息,请参阅有关如何启用或禁用可信访问的 AWS Organizations 文档

  • 如果您计划在 AWS Control Tower 中注册的任何现有账户中已有 AWS Config 记录器、交付渠道或聚合设置,则在设置了着陆区之后,您必须在开始注册账户之前修改或删除这些配置。此预检查不适用于着陆区启动期间的 AWS Control Tower 管理账户。有关更多信息,请参阅注册拥有现有 AWS Config 资源的账户

  • 如果您在 AWS Control Tower 中使用账户运行临时工作负载,则可能会看到与 Config 相关的成本增加。 AWS 有关管理这些费用的更多具体信息,请联系您的 AWS 客户代表。

  • 当您向 AWS Control Tower 注册账户时,您的账户将受 AWS Control Tower 组织的 AWS CloudTrail 跟踪管理。如果您已在账户中部署了 CloudTrail 跟踪,则可能会看到重复的费用,除非您在将该账户注册到 AWS Control Tower 之前删除该账户的现有跟踪。有关组织级跟踪和 AWS Control Tower 的信息,请参阅。定价

注意

启动时,必须在管理账户中为受 AWS Control Tower 管理的所有区域激活 AWS 安全令牌服务 (STS) 终端节点。否则,启动可能会在配置过程中半途而废。