先決條件:管理帳戶的自動啟動前檢查 - AWS Control Tower
AWS IAM Identity Center (IAM Identity Center) 客戶的考量事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

先決條件:管理帳戶的自動啟動前檢查

在 AWS Control Tower 設定登陸區域之前,它會自動在您的帳戶中執行一系列啟動前檢查。這些檢查不需要採取任何動作,可確保您的管理帳戶已準備好進行建立登陸區域的變更。以下是 AWS Control Tower 在設定登陸區域之前執行的檢查:

  • 的現有服務限制 AWS 帳戶 必須足以讓 AWS Control Tower 啟動。如需詳細資訊,請參閱AWS Control Tower 中的限制和配額

  • AWS 帳戶 必須訂閱下列 AWS 服務:

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    注意

    根據預設,所有帳戶都會訂閱這些服務。

AWS IAM Identity Center (IAM Identity Center) 客戶的考量事項

  • 如果 AWS IAM Identity Center (IAM Identity Center) 已設定,AWS Control Tower 主區域必須與 IAM Identity Center 區域相同。

  • IAM Identity Center 只能安裝在組織的管理帳戶中。

  • 根據您選擇的身分來源,三個選項適用於您的 IAM Identity Center 目錄:

    • IAM Identity Center 使用者商店:如果 AWS Control Tower 是使用 IAM Identity Center 設定,AWS Control Tower 會在 IAM Identity Center 目錄中建立群組,並為您選取的使用者佈建這些群組的存取權。

    • Active Directory:如果使用 Active Directory 設定 AWS Control Tower 的 IAM Identity Center,AWS Control Tower 不會管理 IAM Identity Center 目錄。它不會將使用者或群組指派給新 AWS 帳戶。

    • 外部身分提供者:如果使用外部身分提供者 (IdP) 設定 AWS Control Tower 的 IAM Identity Center,AWS Control Tower 會在 IAM Identity Center 目錄中建立群組,並為您為成員帳戶選取的使用者佈建這些群組的存取權。您可以在帳戶建立期間,從 Account Factory 的外部 IdP 指定現有使用者,而 AWS Control Tower 會在 IAM Identity Center 與外部 IdP 之間同步相同名稱的使用者時,讓此使用者存取新終止的帳戶。您也可以在外部 IdP 中建立群組,以符合 AWS Control Tower 中預設群組的名稱。當您將使用者指派給這些群組時,這些使用者將可存取您已註冊的帳戶。

    如需使用 IAM Identity Center 和 AWS Control Tower 的詳細資訊,請參閱 Identity IAM Center 帳戶和 AWS Control Tower 相關須知

和 AWS ConfigAWS CloudTrail 客戶的考量事項

  • AWS 帳戶 無法在組織管理帳戶中啟用信任存取 AWS Config。如需有關如何停用受信任存取的資訊,請參閱如何啟用或停用受信任存取 AWS Organizations 的文件

  • 如果您計劃在 AWS Control Tower 中註冊的任何現有帳戶中有現有的 AWS Config 記錄器、交付管道或彙總設定,您必須在設定登陸區域後,先修改或移除這些組態,才能開始註冊帳戶。此預先檢查不適用於登陸區域啟動期間的 AWS Control Tower 管理帳戶。如需詳細資訊,請參閱註冊具有現有 AWS Config 資源的帳戶

  • 如果您從 AWS Control Tower 中的帳戶執行暫時性工作負載,您可能會發現與 Config AWS 相關的成本增加。如需管理這些成本的詳細資訊,請聯絡您的 AWS 帳戶代表。

  • 當您在 AWS Control Tower 中註冊帳戶時,您的帳戶會受 AWS Control Tower 組織的 AWS CloudTrail 追蹤管理。如果您在帳戶中已有 CloudTrail 追蹤的現有部署,除非您在 AWS Control Tower 中註冊帳戶之前刪除該帳戶的現有追蹤,否則可能會看到重複費用。如需有關組織層級追蹤和 AWS Control Tower 的資訊,請參閱 定價

注意

啟動時,必須在管理帳戶中啟用 AWS Control Tower 管理的所有區域 AWS 的安全字符服務 (STS) 端點。否則,啟動可能會在組態過程中途發生失敗。