第 1 步：创建您的共享账户电子邮件地址

如果你要用新的方式设置着陆区 AWS 账户，请参阅设置。

• 要使用新的共享账户设置您的着陆区，AWS Control Tower 需要两个尚未与之关联的唯一电子邮件地址 AWS 账户。这些电子邮件地址中的每一个都将用作协作收件箱（共享电子邮件账户），供企业中从事与 AWS Control Tower 相关的特定工作的不同用户使用。

• 如果您是首次设置 AWS Control Tower，并且要将现有安全账户和日志存档账户引入 AWS Control Tower，则可以输入现有 AWS 账户的当前电子邮件地址。

电子邮件地址是必填的：

• 审计账户 — 此账户适用于需要访问 AWS Control Tower 提供的审计信息的用户团队。您还可以将此账户用作第三方工具的访问点，这些工具将对您的环境执行程序化审计，以帮助您进行合规性审计。

• 日志存档账户 — 此账户适用于需要访问您的 landing zone 中已注册 OU 中所有已注册账户的所有日志信息的用户团队。

这些账户是在您创建 landing zone 时在安全 OU 中设置的。作为最佳实践，我们建议您在这些账户中执行操作时，应使用具有适当范围权限的 IAM Identity Center 用户。

注意

如果您指定现有 AWS 账户作为您的审计和日志存档账户，则现有账户必须通过一些启动前检查，以确保没有资源与 AWS Control Tower 的要求发生冲突。如果这些检查不成功，则可能无法成功设置 landing zone。特别是，账户不得有现有 AWS Config 资源。有关更多信息，请参阅 引入现有安全账户或日志账户的注意事项。

为清楚起见，本用户指南始终使用默认名称来指代共享帐户：日志存档和审计。阅读本文档时，如果您选择对其进行自定义，请记住替换您最初为这些账户提供的自定义名称。您可以在账户详情页面上查看带有自定义名称的账户。

注意

为了与 AWS 多账户策略保持一致，我们正在更改有关某些 AWS Control Tower 组织单位 (OU) 默认名称的术语。在我们进行过渡以提高这些名称的清晰度时，您可能会注意到一些不一致之处。安全 OU 以前被称为核心 OU。沙盒 OU 以前被称为自定义 OU。