從 AWS Control Tower 主控台自訂在 AWS Control Tower 主控台外自動化自訂 Control AWS Tower (CfCT) 自訂的優點其他 CfCT 範例

自訂您的 AWS Control Tower 登陸區域

AWS 控制塔登陸區域的某些方面可在主控台中設定，例如選擇區域和選用控制項。其他變更可能會在主控台外部進行，並搭配自動化。

例如，您可以使用適用於 AWS Control Tower 的 Customizations 功能，為登陸區域建立更廣泛的自訂，此 GitOps樣式自訂架構可與 AWS CloudFormation 範本和 AWS Control Tower 生命週期事件搭配使用。

從 AWS Control Tower 主控台自訂

若要對登陸區域進行這些自訂，請遵循 AWS Control Tower 主控台提供的步驟。

在設定期間選取自訂名稱

您可以在設定期間選取最上層的 OU 名稱。OUs 您可以隨時使用 AWS Organizations 主控台重新命名您的，但變更 OUs中的 AWS Organizations 可能會導致可修復的偏離。
您可以選取共用的 Audit and Log Archive 帳戶的名稱，但您無法在設定後變更名稱。（這是一次性選擇。)

秘訣

請記住，在中重新命名 OU AWS Organizations 不會更新 Account Factory 中對應的佈建產品。若要自動更新佈建的產品（並避免偏離），您必須透過 AWS Control Tower 執行 OU 操作，包括建立、刪除或重新註冊 OU。

選取 AWS 區域

您可以透過選取特定區域進行控管來自訂登陸 AWS 區域。請遵循 AWS Control Tower 主控台中的步驟。
您可以在更新登陸 AWS 區域時，選取和取消選取區域以進行控管。
您可以設定區域拒絕控制為已啟用或未啟用，並控制使用者對未覆寫 AWS 區域中大多數 AWS 服務的存取。

如需 CfCT 具有部署限制 AWS 區域之處的詳細資訊，請參閱控制限制。

新增選用控制項來自訂

強烈建議且選擇性的控制是選用的，這表示您可以透過選擇要啟用哪些控制來自訂登陸區域的強制執行層級。預設不會啟用選用控制項。
選用的資料駐留控制可讓您自訂存放區域，並允許存取您的資料。
屬於整合式 Security Hub 標準的選用控制項可讓您掃描 AWS Control Tower 環境，以檢查安全風險。
選用的主動控制可讓您在資源佈建 AWS CloudFormation 之前先檢查資源，以確保新資源符合您環境的控制目標。

自訂您的 AWS CloudTrail 追蹤

當您將登陸區域更新至 3.0 版或更新版本時，您可以選擇加入或選擇退出 AWS Control Tower 管理的組織層級 CloudTrail 追蹤。您可以隨時更新登陸區域來變更此選項。 AWSControl Tower 會在您的管理帳戶中建立組織層級追蹤，該追蹤會根據您的選擇進入作用中或非作用中狀態。登陸區域 3.0 不支援帳戶層級 CloudTrail 追蹤；不過，如果您需要這些追蹤，您可以設定和管理自己的追蹤。重複追蹤可能會產生額外費用。

在主控台中建立自訂成員帳戶

您可以建立自訂的 AWS Control Tower 成員帳戶，也可以從 AWS Control Tower 主控台更新現有的成員帳戶以新增自訂。如需詳細資訊，請參閱使用 Account Factory Customization (AFC) 自訂帳戶。

在 AWS Control Tower 主控台外自動化自訂

有些自訂無法透過 AWS Control Tower 主控台使用，但可以透過其他方式實作。例如：

您可以在佈建期間使用 Account Factory for Terraform ()，在 GitOps風格工作流程中自訂帳戶。 AFT

AFT 已使用 Terraform 模組部署，可在 AFT 儲存庫中取得。
您可以使用 AWS 控制塔的自訂 (CfCT) 自訂AWS控制塔登陸區域，這是以 AWS CloudFormation 範本和服務控制政策 () 建置的功能套件SCPs。 CfCT 您可以將自訂範本和政策部署到組織中的個別帳戶和組織單位 (OUs)。

CfCT 的原始碼可在GitHub 儲存庫中使用。
您可以在開啟登陸區域加速器 (LZA) 的情況下自訂 AWS Control Tower 登陸區域 AWS。LZA 解決方案的架構符合 AWS 最佳實務，並符合多個全球合規架構。我們建議您部署 AWS Control Tower 做為基礎登陸區域，然後LZA視需要使用增強登陸區域功能。如需詳細資訊，請參閱AWS控制塔和登陸區域加速器。

Control AWS Tower (CfCT) 自訂的優點

我們稱為 AWS 控制塔自訂 (CfCT) 的功能套件可協助您為登陸區域建立比在AWS控制塔主控台中建立更廣泛的自訂。它提供 GitOps一種樣式的自動化程序。您可以重塑登陸區域，以符合您的業務需求。

此infrastructure-as-code自訂程序整合 AWS CloudFormation 範本 AWS 與服務控制政策 (SCPs) 和 AWS Control Tower 生命週期事件，讓您的資源部署與您的登陸區域保持同步。例如，當您使用 Account Factory 建立新帳戶時，可自動部署連接至帳戶和 OU 的資源。

注意

與 Account Factory 和不同AFT，CfCT 並非專門用來建立新帳戶，而是透過部署您指定的資源來自訂OUs登陸區域中的帳戶和。

優勢

擴展自訂且安全 AWS 的環境 – 您可以更快速地擴展多帳戶 AWS Control Tower 環境，並將 AWS 最佳實務納入可重複的自訂工作流程。
現化您的需求 – 您可以使用範本 AWS CloudFormation 和服務控制政策來表達您的政策意圖，為您的業務需求自訂 AWS Control Tower 登陸區域。
使用 AWS Control Tower 生命週期事件進一步自動化 – 生命週期事件可讓您根據先前一系列事件的完成情況部署資源。您可以依賴生命週期事件來協助您OUs自動將資源部署到帳戶和。
擴展您的網路架構 – 您可以部署自訂網路架構，以改善和保護您的連線，例如傳輸閘道。

其他 CfCT 範例

AWS 架構部落格文章提供使用 Customizations for AWS Control Tower (CfCT) 的範例聯網使用案例，DNS部署與服務目錄和 AWS Control Tower 自訂一致。
與 CfCT 和 Amazon 相關的 GuardDuty特定範例可在儲存aws-samples庫 GitHub 中的取得。
有關 CfCT 的其他程式碼範例可在 aws-samples儲存庫中做為安全參考架構的一部分 AWS 。其中許多範例包含名為的目錄中的範例manifest.yaml檔案customizations_for_aws_control_tower。

如需 AWS 安全參考架構的詳細資訊，請參閱 AWS 規範指南頁面。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

AWS CloudFormation 資源

Control AWS Tower (CfCT) 的自訂概觀