規劃您的 AWS Control Tower landing zone - AWS Control Tower
功能比較在現有組織中啟動 AWS Control Tower在新組織中啟動 AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

規劃您的 AWS Control Tower landing zone

當您完成設定程序時,AWS Control Tower 會啟動與您帳戶相關聯的關鍵資源 (稱為 landing zone),作為組織及其帳戶的住所。

注意

每個組織可以有一個登陸區域。

如需有關規劃和設定 landing zone 域時應遵循的一些最佳作法的資訊,請參閱AWS 適用於 AWS Control Tower landing zone 的多帳戶策略

設定 AWS Control Tower 的方法

您可以在現有組織中設定 AWS Control Tower landing zone,也可以先建立包含 AWS Control Tower landing zone 的新組織。

注意

如果您已經有 AWS Organizations landing zone 域,則可以將 AWS Control Tower 管理從現有的 landing zone 擴展到部分或全部現有 OU 和組織內的帳戶。請參閱管理現有組織和帳戶

功能比較

以下是將 AWS Control Tower 新增至現有組織或將 AWS Control Tower 管理延伸至 OU 和帳戶之間的差異的簡短比較。此外,如果您要從 AWS 著陸區解決方案移至 AWS Control Tower,則需要一些特殊考量。

關於新增至現有組織:在現有組織中新增 AWS Control Tower 是您可以在主控 AWS 台中完成的工作。在這種情況下,您已經有一個在 AWS Organizations 服務中建立的組織,該組織目前尚未向 AWS Control Tower 註冊,而您之後想要新增 landing zone

將 landing zone 新增至現有組織時,AWS Control Tower 會在 AWS Organizations 層級設定 parallel 結構。它不會變更現有組織內的 OU 和帳戶。

關於擴展管理:擴展管理適用於已向 AWS Control Tower 註冊的單一組織內的特定 OU 和帳戶,這表示該組織已經存在 landing zone 域。擴展管理意味著 AWS Control Tower 控制已擴展,以便其限制適用於該註冊組織內的特定 OU 和帳戶。在這種情況下,您不會啟動新的 landing zone,而只是擴充組織目前的 landing zone 域。

重要

特別注意事項:如果您目前正在使用AWS 著陸區解決方案 (ALZ) AWS Organizations,請在嘗試在組織中啟用 AWS Control Tower 之前,先諮詢您的解 AWS 決方案架構師。AWS Control Tower 無法執行預先檢查,判斷 AWS Control Tower 是否會干擾您目前的 landing zone 部署。如需詳細資訊,請參閱 逐步解說:從 ALZ 移至 AWS Control Tower。此外,如需將帳戶從一個登陸區域移至另一個登陸區域的資訊,請參閱 如果帳戶不符合先決條件怎麼辦?

在現有組織中啟動 AWS Control Tower

透過在現有組織中設定 AWS Control Tower landing zone,您可以立即開始與現有 AWS Organizations 環境 parallel 工作。您在其中 AWS Organizations 建立的其他 OU 不會變更,因為它們並未在 AWS Control Tower 註冊。您可以繼續依現狀使用該些 OU 和帳戶。

AWS Control Tower 使用現有組織的管理帳戶作為其管理帳戶進行整合。不需要新的管理帳戶。您可以從現有的管理帳戶啟動 AWS Control Tower landing zone。

注意

若要在現有組織上設定 AWS Control Tower,您的服務限制必須允許建立至少兩個額外帳戶。

將 AWS Control Tower 新增至現有組織的影響

AWS Control Tower 會在您的組織中建立兩個帳戶:稽核帳戶和記錄帳戶。這些帳戶會在您的團隊個別使用者帳戶中記錄您的團隊所採取的動作。稽核日誌存檔帳戶會顯示在 AWS Control Tower landing zone 內的安全 OU 中。

當您設定 landing zone 域時,AWS Control Tower 新增的帳戶會成為現有帳戶的一部分 AWS Organizations,因此它們會成為現有組織帳單的一部分。

功能摘要

在現有 AWS Organizations 組織上啟用 AWS Control Tower 可為組織提供數個主要增強功能。

  • 由於 AWS Control Tower 新增的帳戶將成為您現有組織的一部分,因此允許整個組織的整個帳戶進行統一計費。

  • 它可讓您從 OU 中的一個管理帳戶管理所有帳戶。

  • 它簡化了您對現有和新帳戶的應用和強制執行涵蓋安全性和合規性的控制方式。

重要

在現有 AWS Organizations 組織中啟動 AWS Control Tower landing zone 無法讓您將 AWS Control Tower 管理從該組織延伸到其他 OU 或未在 AWS Control Tower 註冊的帳戶。

若要在現有組織中啟動 AWS Control Tower,請遵循中所述的程序開始使用 AWS Control Tower

如需 AWS Control Tower 如何與現有 AWS Organizations 組織互動的詳細資訊,請參閱使用 AWS Control Tower 管理組織和帳戶

在新組織中啟動 AWS Control Tower

如果您是 AWS Control Tower 的新手,但尚未使用 AWS Organizations,最好的開始就是閱讀我們的設定文件。

當您沒有設定組織時,AWS Control Tower 會自動為您設定組織。