从 AWS Control Tower 控制台进行自定义

要对登录区进行这些自定义，请按照 AWS Control Tower 控制台提供的步骤操作。

在设置过程中选择自定义名称

• 您可以在设置过程中选择顶级 OU 名称。你可以 OUs随时使用 AWS Organizations 主机重命名，但是对你的输入进行更改 AWS Organizations 可能会导致可修复 OUs 的漂移。

• 您可以选择共享的审计和日志存档账户的名称，但在设置后无法更改名称。（这是一次性选择）。

提示

请记住，在中重命名 OU AWS Organizations 并不能更新 Account Factory 中相应的预配置产品。要自动更新预配置的产品（并避免出现偏移），必须通过 AWS Control Tower 执行 OU 操作，包括创建、删除或重新注册 OU。

选择 AWS 区域

• 您可以通过选择特定的 AWS 区域进行治理来自定义您的着陆区。按照 AWS Control Tower 控制台中的步骤执行操作。

• 在更新 landing zone 时，你可以选择和取消选择 AWS 区域进行治理。

• 您可以将 “区域拒绝” 控件设置为 “已启用” 或 “未启用”，并控制用户对非治理 AWS 区域中大多数 AWS 服务的访问权限。

有关 cfCT AWS 区域 在哪些地方有部署限制的信息，请参阅控件限制。

通过添加可选控件进行自定义

• 强烈推荐的控件和可选控件都是可选择的，这意味着您可以通过选择要启用的控件，自定义登录区的实施级别。默认情况下，可选控件处于未启用状态。

• 利用可选的数据驻留控件，您可以自定义存储数据并允许访问数据的区域。

• 利用集成的 Security Hub 标准中的可选控件，您可以扫描 AWS Control Tower 环境以检查是否存在安全风险。

• 可选的主动控制允许您在 AWS CloudFormation 资源配置之前对其进行检查，以确保新资源符合您环境的控制目标。

自定义您的 AWS CloudTrail 路线

• 当您将着陆区更新到 3.0 或更高版本时，您可以选择加入或选择退出由 AWS Control Tower 管理的组织级 CloudTrail 路径。每次更新登录区时，您都可以更改这个选择。AWS Control Tower 会在您的管理账户中创建一个组织级跟踪，并且该跟踪会根据您的选择进入活动或非活动状态。着陆区 3.0 不支持账号级别的 CloudTrail 路径；但是，如果您需要这些路径，则可以配置和管理自己的路线。重复跟踪可能会产生额外费用。

在控制台中创建自定义成员账户

• 您可以从 AWS Control Tower 控制台创建自定义的 AWS Control Tower 成员账户，也可以更新现有的成员账户以添加自定义设置。有关更多信息，请参阅 使用 Account Factory Customization（AFC）功能自定义账户。