对 landing zone 配置的期望

设置 AWS Control Tower 着陆区的过程分为多个步骤。您的 AWS Control Tower 着陆区的某些方面是可以配置的。其他选项在设置后无法更改。

安装过程中要配置的关键项目

• 你可以在设置过程中选择你的顶级 OU 名称，也可以在设置 landing zone 之后更改 OU 名称。默认情况下，顶级 OU 命名为 “安全” 和 “沙盒”。有关更多信息，请参阅 建立架构良好的环境的指导方针。

• 在设置过程中，您可以为 AWS Control Tower 创建的共享账户选择自定义名称，默认情况下称为日志存档和审计，但在设置后无法更改这些名称。（这是一次性选择。）

• 在设置过程中，您可以选择为 AWS Control Tower 指定现有 AWS 账户以用作审计和日志存档账户。如果您计划指定现有 AWS 账户，并且这些账户有现有资源，则必须先删除现有 AWS Config 资源，然后才能将这些账户注册到 AWS Control Tower。 AWS Config （这是一次性选择。）

• 如果您是首次设置，或者要升级到着陆区版本 3.0，则可以选择是否允许 AWS Control Tower 为您的组织设置组织级别的 AWS CloudTrail 跟踪，也可以选择退出由 AWS Control Tower 管理的跟踪并管理自己的 CloudTrail 跟踪。在更新着陆区时，您可以随时选择加入或选择退出由 AWS Control Tower 管理的组织级跟踪。

• 在设置或更新着陆区时，您可以选择为 Amazon S3 日志存储桶和日志访问存储桶设置自定义的保留政策。

• 您可以选择指定先前定义的蓝图，用于从 AWS Control Tower 控制台配置自定义的成员账户。如果您没有可用的蓝图，则可以稍后自定义帐户。请参阅 使用 Account Factory 自定义 (AFC) 自定义账户。

无法撤消的配置选项

• 设置了着陆区后，您就无法更改自己的主区域。

• 如果您使用 VPC 配置 Account Factory 账户，则在创建 VPC CIDR 后无法对其进行更改。