比較功能在現有組織中啟動 AWS Control Tower 在新組織中啟動 AWS Control Tower

規劃您的 AWS Control Tower 登陸區域

當您完成設定程序時，AWSControl Tower 會啟動與您的帳戶相關聯的金鑰資源，稱為登陸區域，做為您組織及其帳戶的首頁。

注意

每個組織可以有一個登陸區域。

如需規劃和設定登陸區域時應遵循的一些最佳實務的相關資訊，請參閱 AWS AWS Control Tower 登陸區域的多帳戶策略。

設定 AWS Control Tower 的方法

您可以在現有組織中設定 AWS Control Tower 登陸區域，也可以從建立包含 AWS Control Tower 登陸區域的新組織開始。

在現有組織中啟動 AWS Control Tower：本節適用於已有 AWS Organizations 準備好由 AWS Control Tower 導入控管的客戶。
在新組織中啟動 AWS Control Tower：本節適用於沒有現有 AWS Organizations、 OUs和帳戶的客戶。

注意

如果您已經有 AWS Organizations 登陸區域，您可以將 AWS Control Tower 管理從現有登陸區域擴展到組織中的部分或全部現有 OUs 和帳戶。請參閱管理現有的組織和帳戶。

比較功能

以下是將 AWS Control Tower 新增至現有組織或將 AWS Control Tower 管理擴展至 OUs和帳戶之間的差異的簡短比較。此外，如果您要從 AWS 登陸區域解決方案移至 AWS Control Tower，也需考量一些特殊考量。

關於新增至現有組織：將 AWS Control Tower 新增至現有組織是您可以在主控台中 AWS 完成的任務。在此情況下，您已經擁有已在 AWS Organizations 服務中建立的組織、該組織目前尚未向 AWS Control Tower 註冊，而且之後想要新增登陸區域。

當您將登陸區域新增至現有組織時，AWSControl Tower 會在 AWS Organizations 層級設定平行結構。它不會變更現有組織中的 OUs和帳戶。

關於擴展治理：擴展治理適用於已在 AWS Control Tower 註冊的單一組織中的特定 OUs和帳戶，這表示該組織已存在登陸區域。擴展控管意味著擴展 AWS Control Tower 控制項，以便其限制適用於該已註冊組織中的特定 OUs和帳戶。在此情況下，您不會啟動新的登陸區域，只會擴展組織的目前登陸區域。

重要

特殊考量：如果您目前使用適用於的AWS 登陸區域解決方案 (ALZ) AWS Organizations，請先向您的 AWS 解決方案架構師確認，再嘗試在組織中啟用 AWS Control Tower。 AWSControl Tower 無法執行預先檢查，以判斷 AWS Control Tower 是否可能干擾您目前的登陸區域部署。如需詳細資訊，請參閱逐步解說：從移至 ALZ AWS Control Tower。此外，如需將帳戶從一個登陸區域移至另一個登陸區域的資訊，請參閱如果帳戶不符合先決條件

在現有組織中啟動 AWS Control Tower

透過在現有組織中設定 AWS Control Tower 登陸區域，您可以立即開始與現有 AWS Organizations 環境平行運作。您在中OUs建立的另一個 AWS Organizations 保持不變，因為它們並未向 AWS Control Tower 註冊。您可以繼續完全使用這些 OUs和帳戶。

AWS Control Tower 會使用現有組織的管理帳戶做為其管理帳戶，來合併。不需要新的管理帳戶。您可以從現有的管理帳戶啟動 AWS Control Tower 登陸區域。

注意

若要在現有組織上設定 AWS Control Tower，您的服務限制必須允許建立至少兩個額外的帳戶。

將 AWS Control Tower 新增至現有組織的效果

AWS Control Tower 會在您的組織中建立兩個帳戶：稽核帳戶和記錄帳戶。這些帳戶會在其個別最終使用者帳戶中保留您團隊所採取動作的記錄。稽核和日誌封存帳戶會顯示在 AWS Control Tower 登陸區域內的安全 OU 中。

當您設定登陸區域時，AWSControl Tower 新增的帳戶會成為您現有組織的一部分 AWS Organizations，因此會成為現有組織帳單的一部分。

功能摘要

在現有 AWS Organizations 組織上啟用 AWS Control Tower 可為組織提供數個主要增強功能。

它允許跨組織的群組統一計費，因為 AWS Control Tower 新增的帳戶將成為現有組織的一部分。
它可讓您從 OU 中的一個管理帳戶管理所有帳戶。
它簡化了如何套用和強制執行控制，涵蓋現有和新帳戶的安全性和合規性。

重要

在現有 AWS Organizations 組織中啟動 AWS Control Tower 登陸區域，無法讓您將 AWS Control Tower 管理從該組織擴展到未向 AWS Control Tower 註冊的其他 OUs或帳戶。

若要在現有組織中啟動 AWS Control Tower，請遵循中概述的程序開始使用 AWS Control Tower。

如需 AWS Control Tower 如何與現有 AWS Organizations 組織互動的詳細資訊，請參閱使用 AWS Control Tower 管理組織和帳戶。

在新組織中啟動 AWS Control Tower

如果您是 AWS Control Tower 的新手，而且您尚未使用 AWS Organizations，最好的起點是使用設定文件。

AWS 當您沒有設定組織時，Control Tower 會自動為您設定組織。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

管理員的最佳實務

最佳實務：設定 AWS 多帳戶登陸區域