先決條件:為您的管理帳戶自動化啟動前檢查 - AWS Control Tower
AWS IAM Identity Center (IAM 身分中心) 客戶的注意事項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

先決條件:為您的管理帳戶自動化啟動前檢查

AWS Control Tower 設定 landing zone 之前,它會自動在您的帳戶中執行一系列啟動前檢查。對於這些檢查,您不需要採取任何動作,因此可確保您的管理帳戶已準備好應付建立 landing zone 域的變更。以下是 AWS Control Tower 在設定 landing zone 之前執行的檢查:

  • 現有的服務限制 AWS 帳戶 必須足以啟動 AWS Control Tower。如需詳細資訊,請參閱 AWS Control Tower 的限制和配額

  • 必 AWS 帳戶 須訂閱以下 AWS 服務:

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    注意

    根據預設,所有帳戶都會訂閱這些服務。

AWS IAM Identity Center (IAM 身分中心) 客戶的注意事項

  • 如果已設定 AWS IAM Identity Center (IAM 身分中心),則 AWS Control Tower 的本地區域必須與 IAM 身分中心區域相同。

  • IAM 身分中心只能安裝在組織的管理帳戶中。

  • 根據您選擇的身分識別來源,將三個選項套用至 IAM 身分中心目錄:

    • IAM 身分中心使用者存放區:如果使用 IAM 身分中心設定 AWS Control Tower,則 AWS Control Tower 會在 IAM 身分中心目錄中建立群組,並為您選取的使用者為成員帳戶佈建這些群組的存取權限。

    • 作用中目錄:如果 AWS Control Tower 的 IAM 身分中心是透過使用中目錄設定的,則 AWS Control Tower 不會管理 IAM 身分中心目錄。它不會將使用者或群組指派給新 AWS 帳戶。

    • 外部身分供應商:如果 AWS Control 塔的 IAM 身分中心是透過外部身分供應商 (IdP) 設定的,則 AWS Control Tower 會在 IAM 身分中心目錄中建立群組,並為您為成員帳戶選取的使用者佈建這些群組的存取權限。您可以在帳戶建立期間從 Account Factory 的外部 IdP 指定現有使用者,而當該使用者在 IAM 身分中心和外部 IdP 之間同步處理相同名稱的使用者時,AWS Control Tower 可讓此使用者存取新付款帳戶。您也可以在外部 IdP 中建立群組,以符合 AWS Control Tower 中預設群組的名稱。當您將使用者指派給這些群組時,這些使用者將擁有您註冊帳戶的存取權。

    如需使用 IAM 身分中心和 AWS Control Tower 的詳細資訊,請參閱 IAM 身分中心帳戶和 AWS Control Tower 的注意事項

AWS Config 與 AWS CloudTrail 客戶的注意事項

  • AWS 帳戶 無法在或的組織管理帳戶中啟用受信任的存 AWS Config 取 CloudTrail。如需如何停用受信任存取權的相關資訊,請參閱有關如何啟用或停用受信任存取的 AWS Organizations 文件。

  • 如果您計劃在 AWS Control Tower 中註冊的任何現有帳戶中有現有的 AWS Config 記錄器、交付通道或彙總設定,則在設定 landing zone 之後,您必須在開始註冊帳戶之前修改或移除這些組態。此預先檢查不適用於 landing zone 啟動期間的 AWS Control Tower 管理帳戶。如需詳細資訊,請參閱 註冊具有現有 AWS Config 資源的帳號

  • 如果您從 AWS Control Tower 的帳戶執行臨時工作負載,您可能會看到與 Config 相關的成本增加。 AWS 如需管理這些成本的詳細資訊,請連絡您的 AWS 客戶代表。

  • 當您在 AWS Control Tower 註冊帳戶時,您的帳戶受 AWS Control Tower 組織的 AWS CloudTrail 追蹤管理。如果帳戶中現有的 CloudTrail 追蹤部署,您可能會看到重複的費用,除非您在 AWS Control Tower 註冊帳戶之前刪除該帳戶的現有追蹤。如需組織層級追蹤和 AWS Control Tower 的相關資訊,請參閱。定價

注意

啟動時,必須針對受 AWS Control Tower 管理的所有區域,在管理帳戶中啟用 AWS 安全性權杖服務 (STS) 端點。否則,啟動可能會在組態過程中途發生失敗。