Erwartungen an die Konfiguration der landing zone - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erwartungen an die Konfiguration der landing zone

Die Einrichtung Ihrer AWS Control Tower Tower-Landezone landing zone aus mehreren Schritten. Bestimmte Aspekte Ihrer AWS Control Tower Tower-Landezone sind konfigurierbar. Andere Optionen können nach der Einrichtung nicht geändert werden.

Wichtige Elemente, die während der Einrichtung konfiguriert werden müssen

  • Sie können Ihre OU-Namen der obersten Ebene während der Einrichtung auswählen und Sie können auch die OU-Namen ändern, nachdem Sie Ihre landing zone eingerichtet haben. Standardmäßig heißen die Organisationseinheiten der obersten Ebene Security und Sandbox. Weitere Informationen finden Sie unter Richtlinien für die Einrichtung einer gut strukturierten Umgebung.

  • Während der Einrichtung können Sie benutzerdefinierte Namen für die gemeinsamen Konten auswählen, die AWS Control Tower erstellt. Diese Namen werden standardmäßig als Log Archive und Audit bezeichnet, aber Sie können diese Namen nach der Einrichtung nicht mehr ändern. (Dies ist eine einmalige Auswahl.)

  • Während der Einrichtung können Sie optional vorhandene AWS Konten für AWS Control Tower angeben, die als Audit- und Protokollarchivkonten verwendet werden sollen. Wenn Sie beabsichtigen, bestehende AWS Konten anzugeben, und wenn diese Konten über vorhandene AWS Config Ressourcen verfügen, müssen Sie die vorhandenen AWS Config Ressourcen löschen, bevor Sie die Konten bei AWS Control Tower registrieren können. (Dies ist eine einmalige Auswahl.)

  • Wenn Sie das System zum ersten Mal einrichten oder ein Upgrade auf landing zone Version 3.0 durchführen, können Sie wählen, ob Sie AWS Control Tower erlauben möchten, einen AWS CloudTrail Trail auf Organisationsebene für Ihr Unternehmen einzurichten, oder Sie können sich von Trails abmelden, die von AWS Control Tower verwaltet werden, und Ihre eigenen CloudTrail Trails verwalten. Sie können Trails auf Organisationsebene, die von AWS Control Tower verwaltet werden, jederzeit aktivieren oder deaktivieren, wenn Sie Ihre landing zone aktualisieren.

  • Sie können optional eine benutzerdefinierte Aufbewahrungsrichtlinie für Ihren Amazon S3 S3-Log-Bucket und Ihren Log-Zugriffs-Bucket festlegen, wenn Sie Ihre landing zone einrichten oder aktualisieren.

  • Sie können optional einen zuvor definierten Blueprint angeben, der für die Bereitstellung benutzerdefinierter Mitgliedskonten von der AWS Control Tower Tower-Konsole aus verwendet werden soll. Sie können Konten später anpassen, wenn Ihnen kein Blueprint zur Verfügung steht. Siehe Passen Sie Konten mit Account Factory Customization (AFC) an.

Konfigurationsoptionen, die nicht rückgängig gemacht werden können

  • Du kannst deine Heimatregion nicht ändern, nachdem du deine landing zone eingerichtet hast.

  • Wenn Sie Account Factory Factory-Konten mit VPCs bereitstellen, können VPC-CIDRs nach ihrer Erstellung nicht mehr geändert werden.