對 landing zone 配置的期望

設定 AWS Control Tower landing zone 的程序有多個步驟。AWS Control Tower landing zone 的某些方面是可設定的。其他選擇在設定後無法變更。

設定期間要設定的重要項目

• 您可以在設定期間選取頂層 OU 名稱，也可以在設定 landing zone 域後變更 OU 名稱。根據預設，最上層 OU 會命名為「安全性」和「沙箱」。如需詳細資訊，請參閱 建立架構良好環境的指引。

• 在設定期間，您可以為 AWS Control Tower 建立的共用帳戶選取自訂名稱，依預設稱為日誌存檔和稽核，但在設定之後無法變更這些名稱。（這是一次性的選擇。）

• 在設定期間，您可以選擇性地指定 AWS Control Tower 的現有 AWS 帳戶，以用作稽核和記錄存檔帳戶。如果您計劃指定現有 AWS 帳戶，而且這些帳戶有現有 AWS Config 資源，則必須先刪除現有 AWS Config 資源，然後才能將帳戶註冊到 AWS Control Tower。（這是一次性的選擇。）

• 如果您是第一次設定，或是要升級到 landing zone 3.0 版，您可以選擇是否允許 AWS Control Tower 為您的組織設定組織層級的 AWS CloudTrail 追蹤，或者您可以選擇退出由 AWS Control Tower 管理的追蹤並管理自己 CloudTrail 的軌跡。您可以在更新 landing zone 時選擇加入或退出由 AWS Control Tower 管理的組織層級追蹤。

• 您可以在設定或更新 landing zone 時，選擇性地為 Amazon S3 日誌儲存貯體和日誌存取儲存貯體設定自訂保留政策。

• 您可以選擇性地指定先前定義的藍圖，以便從 AWS Control Tower 主控台佈建自訂成員帳戶。如果您沒有可用的藍圖，您可以稍後自訂帳戶。請參閱使用 Account Factory 定制（AFC）自定義帳戶。

無法復原的組態選擇

• 設定 landing zone 後，就無法變更您的主地區域。

• 如果您使用 VPC 佈建帳 Account Factory 帳戶，則建立 VPC CIDR 後無法變更。