本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 先决条件：适用于您的管理账户的自动执行的预启动检查
<a name="getting-started-prereqs"></a>

在 AWS Control Tower 设置登录区之前，它会在您的账户中自动运行一系列预启动检查。对于这些检查，您无需采取任何操作，这些检查用于确保您的管理账户已准备好做出更改来建立登录区。以下是设置登录区之前 AWS Control Tower 运行的检查：
+ 的现有服务限制 AWS 账户 必须足以让 AWS Control Tower 启动。有关更多信息，请参阅 [AWS Control Tower 中的限制和配额](limits.md)。
+  AWS 账户 必须订阅以下 AWS 服务：
  + Amazon Simple Storage Service（Amazon S3）
  + Amazon Elastic Compute Cloud（Amazon EC2）
  + Amazon SNS
  + Amazon Virtual Private Cloud（Amazon VPC）
  + AWS CloudFormation
  + AWS CloudTrail
  + 亚马逊 CloudWatch
  + AWS Config
  + AWS Identity and Access Management (IAM)
  + AWS Lambda
**注意**  
默认情况下，所有账户都订阅这些服务。

## AWS IAM Identity Center （IAM 身份中心）客户的注意事项
<a name="sso-considerations"></a>
+ 如果已经设置 AWS IAM Identity Center （IAM 身份中心），则 AWS Control Tower 主区域必须与 IAM 身份中心区域相同。但是，如果在美国东部（弗吉尼亚北部）区域 (us-east-1) 中设置 IAM 身份中心，则无论您选择哪个主区域，AWS Control Tower 都会使用该实例。
+ IAM Identity Center 只能安装在组织的管理账户中。
+ 根据您选择的身份源，有三个选项适用于您的 IAM Identity Center 目录：
  + **IAM Identity Center 用户存储功能**：如果为 AWS Control Tower 设置了 IAM Identity Center，AWS Control Tower 会在 IAM Identity Center 目录中创建组，并为您选择的用户在成员账户中提供对这些组的访问权限。
  + **Active Directory**：如果为 AWS Control Tower 的 IAM Identity Center 设置了 Active Directory，则 AWS Control Tower 不会管理 IAM Identity Center 目录。它不会将用户或群组分配给新的 AWS 账户。
  + **外部身份提供商**：如果为 AWS Control Tower 的 IAM Identity Center 设置了外部身份提供商（IdP），AWS Control Tower 会在 IAM Identity Center 目录中创建组，并为您选择的用户在成员账户中提供对这些组的访问权限。在创建账户期间，您可以在账户工厂中指定来自外部 IdP 的现有用户，当 AWS Control Tower 在 IAM Identity Center 和外部 IdP 之间同步同名用户时，AWS Control Tower 会允许该用户访问新创建的账户。您还可以在外部 IdP 中创建组，使其与 AWS Control Tower 中默认群组的名称保持一致。当您将用户分配到这些组时，这些用户将有权访问您注册的账户。

   有关使用 IAM Identity Center 和 AWS Control Tower 的更多信息，请参阅[关于 IAM Identity Center 账户和 AWS Control Tower 的注意事项](sso.md#sso-good-to-know)

### AWS Config 和 AWS CloudTrail 客户的注意事项
<a name="config-and-cloudtrail-considerations"></a>
+  AWS 账户 无法在组织管理账户中为启用可信访问权限 AWS Config。有关如何禁用可信访问的信息，请参阅[有关如何启用或禁用可信访问的 AWS Organizations 文档](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_integrate_services.html#orgs_how-to-enable-disable-trusted-access)。
+ 如果您计划在 AWS Control Tower 中注册的任何现有账户中已有 AWS Config 记录器、交付渠道或聚合设置，则在设置了着陆区之后，您必须在开始注册账户之前修改或删除这些配置。此预检查不适用于登录区启动期间的 AWS Control Tower 管理账户。有关更多信息，请参阅 [注册拥有现有 AWS Config 资源的账户](existing-config-resources.md)。
+ 如果您在 AWS Control Tower 中使用账户运行临时工作负载，则可能会看到与 Config 相关的成本增加。 AWS 有关管理这些成本的更多具体信息，请联系您的 AWS 客户代表。
+ 当您向 AWS Control Tower 注册账户时，您的账户将受 AWS Control Tower 组织的 AWS CloudTrail 跟踪管理。如果您已在账户中部署了 CloudTrail 跟踪，则可能会看到重复的费用，除非您在将该账户注册到 AWS Control Tower 之前删除该账户的现有跟踪。有关组织级跟踪和 AWS Control Tower 的信息，请参阅[定价](pricing.md)。

**注意**  
启动时，必须在管理账户中为受 AWS Control Tower 管理的所有区域激活 AWS 安全令牌服务 (STS) 终端节点。否则，启动可能会在配置过程中半途而废。