本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 登陸區域組態的期望 APIs
設定 AWS Control Tower 登陸區域的程序有多個步驟。AWS Control Tower 登陸區域的某些方面是可設定的。其他選項無法在設定後變更。
設定期間要設定的關鍵項目
-
您可以在設定期間選取基礎 OU 名稱,也可以在設定登陸區域之後變更 OU 名稱。依預設,基礎名稱OUs為 Security and Sandbox。如需詳細資訊,請參閱設定良好架構環境的指導方針。
-
在設定期間,您可以為 AWS Control Tower 建立的共用帳戶選取自訂名稱,預設稱為日誌封存和稽核,但您無法在設定後變更這些名稱。(這是一次性選擇。)
-
使用 設定期間APIs,您必須為 AWS Control Tower 指定現有 AWS 帳戶,以用作稽核和日誌封存帳戶。若要指定現有 AWS 帳戶,如果這些帳戶有現有 AWS Config 資源,您必須先刪除或修改現有 AWS Config 資源,才能將帳戶註冊到 AWS Control Tower。(這是一次性選擇。)
-
如果您是第一次設定 ,或是要升級至登陸區域 3.0 版,您可以選擇是否允許 AWS Control Tower 為您的組織設定組織層級 AWS CloudTrail 追蹤,或是選擇退出由 AWS Control Tower 管理的追蹤並管理您自己的 CloudTrail 追蹤。您可以隨時更新登陸區域,選擇加入或退出由 AWS Control Tower 管理的組織層級追蹤。
-
您可以在設定或更新登陸區域時,選擇性地為 Amazon S3 日誌儲存貯體和日誌存取儲存貯體設定自訂保留政策。
無法復原的組態選項
-
設定登陸區域後,就無法變更主區域。
-
如果您使用 佈建帳戶VPCs,則VPCCIDRs無法在建立帳戶後進行變更。
下一節會詳細說明設定先決條件和步驟,並附上說明和注意事項。如需其他程式碼範例,請參閱 範例:僅使用 API 設定 AWS Control Tower landing zone。
