本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立和修改 AWS Control Tower 資源的指引 當您在 AWS Control Tower 中建立和修改資源時,我們建議您採用下列最佳實務。這個指導可能會隨服務更新而變更。請記住,[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於您的 AWS Control Tower 環境。 **一般指導** + 請勿修改或刪除 AWS Control Tower 建立的任何資源,包括管理帳戶、共用帳戶和成員帳戶中的資源。如果您修改這些資源,您可能需要更新登陸區域或重新註冊 OU,而修改可能會導致不正確的合規報告。 **特別是:** + 保留作用中 AWS Config 的記錄器。如果您刪除 Config 記錄器,偵測控制項將無法偵測和報告偏離。由於資訊不足,不合規資源可能會報告為**合規**。 + 請勿修改或刪除在安全組織單位 AWS Identity and Access Management (OU) 中共用帳戶內建立的 (IAM) 角色。修改這些角色可能需要更新您的登陸區域。 + 請勿從您的成員帳戶刪除`AWSControlTowerExecution`角色,即使是在未註冊的帳戶中也一樣。如果您這麼做,您將無法向 AWS Control Tower 註冊這些帳戶,或註冊其直接父系 OUs。 + 請勿禁止 AWS 區域 透過 SCPs或 AWS Security Token Service () 使用任何AWS STS。這樣做會導致 AWS Control Tower 進入未定義狀態。如果您不允許使用 的區域 AWS STS,您的功能會在這些區域中失敗,因為在這些區域中無法使用身分驗證。相反地,依賴 AWS Control Tower 區域拒絕功能,如控制項所示,[AWS 根據請求拒絕對 的存取 AWS 區域](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html),其在登陸區域層級運作,或控制[區域拒絕套用至 OU 的控制](https://docs.aws.amazon.com//controltower/latest/userguide/ou-region-deny.html),其在 OU 層級運作以限制對區域的存取。 + 必須 AWS Organizations `FullAWSAccess`套用 SCP,且不應與其他 SCPs 合併。此 SCP 的變更不會報告為偏離;不過,如果拒絕存取特定資源,某些變更可能會以無法預測的方式影響 AWS Control Tower 功能。例如,如果 SCP 分離或修改,帳戶可能會失去對記錄器的 AWS Config 存取權,或在 CloudTrail 記錄中建立間隙。 + 請勿使用 AWS Organizations `DisableAWSServiceAccess` API 關閉您設定登陸區域之組織的 AWS Control Tower 服務存取權。如果您這樣做,某些 AWS Control Tower 偏離偵測功能可能無法正常運作,如果沒有來自 的訊息支援 AWS Organizations。這些偏離偵測功能有助於保證 AWS Control Tower 可以準確報告組織中組織單位、帳戶和控制項的合規狀態。如需詳細資訊,請參閱《 [API\_DisableAWSServiceAccessAWS Organizations API 參考》中的](https://docs.aws.amazon.com//organizations/latest/APIReference/API_DisableAWSServiceAccess.html) 。 + 一般而言,AWS Control Tower 會一次執行單一動作,必須先完成才能開始另一個動作。例如,如果您嘗試在啟用控制項的程序已在操作時佈建帳戶,帳戶佈建將會失敗。 **例外狀況:** + AWS Control Tower 允許並行動作來部署選用的控制項。如需詳細資訊,請參閱[選用控制項的並行部署](https://docs.aws.amazon.com//controltower/latest/userguide/enable-controls-on-ou.html#concurrent-optional-controls)。 + AWS Control Tower 允許在帳戶工廠中最多十個並行建立、更新或註冊動作。 **注意** 如需 AWS Control Tower 所建立資源的詳細資訊,請參閱 [什麼是共用帳戶?](what-shared.md)。 **有關帳戶和 OUs提示** + 我們建議您將每個已註冊的 OU 保留為最多 1000 個帳戶,以便在需要帳戶更新時,使用**重新註冊 OU **功能來更新這些帳戶,例如設定新的 區域進行控管時。 + 若要縮短註冊 OU 所需的時間,建議您將每個 OU 的帳戶數目保留在 680 左右,即使限制為每個 OU 1000 個帳戶。一般而言,註冊 OU 所需的時間會根據您 OU 操作的區域數量增加,乘以 OU 中的帳戶數量。 + 根據預估,擁有 680 個帳戶的 OU 最多可能需要 2 小時才能註冊和啟用控制項,最多可能需要 1 小時才能重新註冊。此外,具有許多控制項的 OU 比具有少量控制項的 OU 需要更長的時間進行註冊。 + 允許較長的註冊 OU 時間範圍的其中一個考量是此程序會封鎖其他動作。有些客戶可以放心允許更長的時間註冊或重新註冊 OU,因為他們偏好在每個 OU 中允許更多帳戶。