比较功能在现有组织中启动 AWS Control Tower 在新组织中启动 AWS Control Tower

规划你的 AWS Control Tower 着陆区

当您完成设置过程时，AWS Control Tower 会启动一个与您的账户关联的密钥资源，称为着陆区，它可以作为您的组织及其账户的主场。

注意

每个组织可以有一个登录区。

有关在规划和设置着陆区时应遵循的一些最佳做法的信息，请参阅AWS AWS Control Tower 着陆区的多账户策略。

设置 AWS Control Tower 的方法

您可以在现有组织中设置 AWS Control Tower 着陆区，也可以先创建一个包含您的 AWS Control Tower 着陆区的新组织。

在现有组织中启动 AWS Control Tower：本部分适用于已 AWS Organizations 准备好接受 AWS Control Tower 管理的客户。
在新组织中启动 AWS Control Tower：本部分适用于没有现 AWS Organizations有 OU 和账户的客户。

注意

如果您已经有 AWS Organizations 着陆区，则可以将 AWS Control Tower 管理范围从现有着陆区扩展到组织中的部分或全部现有 OU 和账户。请参阅管理现有组织和账户。

比较功能

以下是将 AWS Control Tower 添加到现有组织或将 AWS Control Tower 管理扩展到 OU 和账户之间的区别的简要比较。此外，如果您要从 AWS 着陆区解决方案迁移到 AWS Control Tower，则需要考虑一些特殊注意事项。

关于添加到现有组织：您可以在控制 AWS 台中完成将 AWS Control Tower 添加到现有组织中的操作。在本例中，您已经在 AWS Organizations 服务中创建了一个组织，该组织目前尚未在 AWS Control Tower 上注册，您想在之后添加一个着陆区。

当您向现有组织添加着陆区时，AWS Control Tower 会在该 AWS Organizations 级别上设置一个并行结构。它不会更改您现有组织内的 OU 和帐户。

关于扩展治理：扩展治理适用于已在 AWS Control Tower 注册的单个组织中的特定 OU 和账户，这意味着该组织已经存在着陆区。扩展监管意味着扩展 AWS Control Tower 的控制范围，使其限制适用于该注册组织内的特定 OU 和账户。在这种情况下，你不是在启动新的着陆区，而只是在为你的组织扩展当前的着陆区。

重要

特别注意事项：如果您目前正在使用AWS 着陆区解决方案 (ALZ) AWS Organizations，请在尝试在组织中启用 AWS Control Tower 之前，请咨询您的 AWS 解决方案架构师。AWS Control Tower 无法进行预检查来确定 AWS Control Tower 是否会干扰您当前的着陆区部署。有关更多信息，请参阅演练：从 ALZ 移动到 AWS Control Tower。另外，有关将账户从一个着陆区转移到另一个着陆区的信息，请参阅如果账户不符合先决条件怎么办？

在现有组织中启动 AWS Control Tower

通过在现有组织中设置 AWS Control Tower 着陆区，您可以立即开始与现有 AWS Organizations 环境并行工作。您在其中创建的其他 OU 保持不变，因为它们未在 AWS Organizations AWS Control Tower 中注册。您可以继续完全按原样使用这些 OU 和账户。

AWS Control Tower 使用您现有组织的管理账户作为其管理账户进行整合。无需新的管理账户。您可以从现有管理账户启动您的 AWS Control Tower 着陆区。

注意

要在现有组织上设置 AWS Control Tower，您的服务限制必须允许创建至少两个额外账户。

将 AWS Control Tower 添加到现有组织中的影响

AWS Control Tower 在您的组织中创建了两个账户：一个审计账户和一个日志账户。这些账户将你的团队采取的行动记录在他们的个人终端用户账户中。审计和日志存档账户显示在您的 AWS Control Tower 着陆区域内的安全 OU 中。

当您设置着陆区时，AWS Control Tower 添加的账户将成为您现有账户的一部分 AWS Organizations，因此它们将成为您现有组织账单的一部分。

能力摘要

在现有 AWS Organizations 组织中启用 AWS Control Tower 可以为该组织提供多项重大增强。

它允许您组织的各个组统一计费，因为 AWS Control Tower 添加的账户将成为您现有组织的一部分。
它使您能够通过组织单位中的一个管理账户管理所有账户。
它简化了您应用和实施控制措施的方式，这些控制措施涵盖现有账户和新账户的安全性和合规性。

重要

在现有 AWS Organizations 组织中启动 AWS Control Tower 着陆区并不能将该组织的 AWS Control Tower 管理扩展到其他未在 AWS Control Tower 注册的 OU 或账户。

要在您的现有组织中启动 AWS Control Tower，请按照中概述的流程进行操作AWS Control Tower 入门。

有关 AWS Control Tower 如何与现有 AWS Organizations 组织交互的更多信息，请参阅使用 AWS Control Tower 管理组织和账户。

在新组织中启动 AWS Control Tower

如果您是 AWS Control Tower 的新手并且还没有使用过 AWS Organizations，那么最好从我们的设置文档开始。

当你没有设置组织时，AWS Control Tower 会自动为你设置一个组织。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

管理员的最佳实践

最佳实践：设置 AWS 多账号 landing zone