自訂您的 AWS Control Tower landing zone

AWS Control Tower landing zone 域的某些方面可在主控台中進行設定，例如選擇區域和選用控制項。其他變更可能會在主控台外部進行，並具有自動化功能。

例如，您可以使用 AWS Control Tower 的自訂功能建立更廣泛的 landing zone 自訂功能，這是一種可與 AWS CloudFormation 範本搭配使用的 GitOps風格自訂架構和 AWS Control Tower 生命週期事件。

從 AWS Control Tower 主控台進行自訂

若要對您的 landing zone 進行這些自訂，請按照 AWS Control 塔主控台提供的步驟進行。

在設定期間選取自訂名稱

• 您可以在安裝期間選取頂層 OU 名稱。您可以隨時使用 AWS Organizations 主控台重新命名 OU，但是在中變更 OU 可 AWS Organizations 能會導致修復偏移。

• 您可以選取共用稽核和記錄封存帳戶的名稱，但在設定之後就無法變更名稱。（這是一次性的選擇。）

秘訣

請記住，在中重新命名 OU AWS Organizations 並不會更新 Account Factory 中對應的佈建產品。若要自動更新佈建的產品 (並避免漂移)，您必須透過 AWS Control Tower Teck 執行 OU 操作，包括建立、刪除或重新註冊 OU。

選擇 AWS 地區

• 您可以選取要管理的特定區 AWS 域，以自訂您的登陸區域。按照 AWS Control Tower 主控台中的步驟操作。

• 您可以在更新 landing zone AWS 域時，選取和取消選取要控管的區域。

• 您可以將 [區域拒絕] 控制項設定為 [已啟用] 或 [未啟用]，並控制使用者對未受管理區 AWS 域中大部分 AWS 服務的存取。

如需 CcCT 具有部署限制之 AWS 區域 位置的相關資訊，請參閱控制限制。

透過新增選用控制項自訂

• 強烈建議您選擇性的控制功能是可選的，這表示您可以透過選擇啟用哪些控制來自訂 landing zone 的執法等級。依預設，不會啟用選擇性控制項。

• 選用的資料駐留控制項可讓您自訂儲存的區域，並允許存取資料。

• 整合式 Security Hub 標準的選用控制項可讓您掃描 AWS Control Tower 環境以檢查安全風險。

• 選用的主動式控制可讓您在佈建 AWS CloudFormation 資源之前檢查資源，以確保新資源符合您環境的控制目標。

自訂您的 AWS CloudTrail 路線

• 將 landing zone 域更新為 3.0 版或更新版本時，您可以選擇加入或選擇退出由 AWS Control Tower 管理的組織層級 CloudTrail 追蹤。您可以隨時更新 landing zone 域時變更此選項。AWS Control Tower 會在您的管理帳戶中建立組織層級的追蹤，該追蹤會根據您的選擇進入作用中或非作用中狀態。著陸區 3.0 不支援帳戶層級 CloudTrail 追蹤；不過，如果您需要這些追蹤，您可以設定和管理自己的追蹤。重複的軌跡可能會產生額外費用。

在控制台中創建自定義會員帳戶

• 您可以建立自訂的 AWS Control Tower 成員帳戶，也可以從 AWS Control Tower 台更新現有成員帳戶以新增自訂項目。如需詳細資訊，請參閱 使用 Account Factory 定制（AFC）自定義帳戶。

在 AWS Control Tower 主控台外部自動化自訂

某些自訂無法透過 AWS Control Tower 主控台使用，但可以透過其他方式實作。例如：

• 您可以使用 Terraform 的 Account Factory (AFT)，在佈建期間以 GitOps樣式工作流程自訂帳戶。

  AFT 與地形模塊一起部署，該模塊可在 AFT 存儲庫中使用。

• 您可以使用 AWS Control Tower (CFCT) 的自訂功能套件來自訂 AWS Control Tower landing zone，這是以 AWS CloudFormation 範本和服務控制政策 (SCP) 為基礎建置的功能套件。您可以將自訂範本和原則部署到組織內的個別帳戶和組織單位 (OU)。

  CcCT 的源代碼可在GitHub 存儲庫中找到。

AWS Control Tower (CFCT) 的自訂優勢

我們稱為 AWS Control Tower (CFCT) 的自訂功能套件可協助您為 landing zone 域建立比在 AWS Control Twer 主控台建立更廣泛的自訂項目。它提供了一種 GitOps風格的自動化過程。您可以重新塑造您的 landing zone 域，以滿足您的業務需求。

此infrastructure-as-code自訂程序將 AWS CloudFormation 範本與 AWS 服務控制政策 (SCP) 和 AWS Control Tower 生命週期事件整合在一起，讓您的資源部署與您的 landing zone 保持同步。例如，當您使用 Account Factory 建立新帳戶時，可以自動部署附加至該帳戶和 OU 的資源。

注意

與 Account Factory 和 AFT 不同，CFCT 並非專門用於建立新帳戶，而是透過部署您指定的資源，在 landing zone 域中自訂帳戶和 OU。

優勢

• 擴展自訂且安全的 AWS 環境 — 您可以更快速地擴展多帳戶 AWS Control Tower 環境，並將 AWS 最佳實務納入可重複的自訂工作流程中。

• 實例化您的需求 — 您可以使用表達政策意圖的 AWS CloudFormation 範本和服務控制政策，根據您的業務需求自訂 AWS Control Tower landing zone。

• 使用 AWS Control Tower 生命週期事件進一步自動化 — 生命週期事件可讓您根據先前一系列事件的完成情況部署資源。您可以仰賴生命週期事件來協助您將資源自動部署到帳戶和 OU。

• 擴充您的網路架構 — 您可以部署自訂的網路架構，以改善和保護您的連線能力，例如傳輸閘道。

其他 CFCT 例子

• AWS 架構部落格文章：使用 Service Catalog 和 AWS Control Tower 自訂部署一致的 DNS，提供 AWS Control Tower (CFCT) 自訂項目的範例聯網使用案例。

• aws-samples儲存庫 GitHub 中提供了與 CFCT 和 Amazon GuardDuty 相關的特定範例。

• 有關 CFCT 的其他代碼示例可作為 AWS 安全參考架構的一部分，在aws-samples存儲庫中使用。這些範例中有許多在名為的目錄中包含範例manifest.yaml檔案customizations_for_aws_control_tower。

如需有關 AWS 安全性參考架構的詳細資訊，請參閱AWS 規定指引頁面。