步骤 1:创建您的共享账户电子邮件地址
如果您要用新的 AWS 账户 设置登录区,请参阅设置。
-
要使用新的共享账户设置登录区,AWS Control Tower 需要两个尚未与 AWS 账户 关联的唯一电子邮件地址。这些电子邮件地址中的每一个都将用作协作收件箱(即共享电子邮件账户),供企业中从事与 AWS Control Tower 相关的特定工作的不同用户使用。
-
如果您是首次设置 AWS Control Tower,并且要将现有安全账户和日志存档账户引入 AWS Control Tower,则可以输入现有 AWS 账户的当前电子邮件地址。
以下账户需要电子邮件地址:
-
审计账户:此账户适用于需要访问由 AWS Control Tower 提供的审计信息的用户团队。您还可以将此账户用作第三方工具的访问点,这些工具将对您的环境执行程序化审计,以帮助您进行合规性审计。
-
日志存档账户:此账户适用于需要访问您登录区中注册 OU 内所有已注册账户的所有日志记录信息的用户团队。
这些账户是在您创建登录区时在安全 OU 中设置的。作为最佳实践,我们建议您在这些账户中执行操作时,使用具有适当权限范围的 IAM Identity Center 用户。
注意
如果您指定现有 AWS 账户作为您的审计和日志存档账户,则现有账户必须通过一些启动前检查,以确保没有资源与 AWS Control Tower 的要求产生冲突。如果这些检查不成功,则可能无法成功设置登录区。尤其是,账户不得拥有现有的 AWS Config 资源。有关更多信息,请参阅引入现有安全账户或日志记录账户方面的注意事项。
为清楚起见,本用户指南始终使用默认名称来指代共享账户:日志存档和审计。阅读本文档时,如果您选择自定义账户名称,请记住替换您最初为这些账户自定义的名称。您可以在账户详情页面上查看具有自定义名称的账户。
注意
我们正在更改有关某些 AWS Control Tower 组织单元(OU)默认名称的术语,以便与 AWS 多账户策略保持一致。在我们进行过渡以提高这些名称的明确程度时,您可能会注意到一些不一致之处。安全 OU 以前称为核心 OU。沙盒 OU 以前称为自定义 OU。
