登陸區域組態的期望

設定 AWS Control Tower 登陸區域的程序有多個步驟。AWS Control Tower 登陸區域的某些層面是可設定的。其他選項無法在設定後變更。

設定期間要設定的關鍵項目

• 您可以在設定期間選取最上層的 OU 名稱，也可以在設定登陸區域之後變更 OU 名稱。根據預設，最上層OUs 會命名為 Security and Sandbox。如需詳細資訊，請參閱設定良好架構環境的指導方針。

• 在設定期間，您可以為 AWS Control Tower 建立的共用帳戶選取自訂名稱，預設稱為日誌封存和稽核，但您無法在設定後變更這些名稱。（這是一次性選擇。)

• 在設定期間，您可以選擇指定 AWS Control Tower 的現有 AWS 帳戶，以用作稽核和日誌封存帳戶。如果您打算指定現有 AWS 帳戶，而且這些帳戶有現有 AWS Config 資源，您必須先刪除現有 AWS Config 資源，才能將帳戶註冊到 AWS Control Tower。（這是一次性選擇。)

• 如果您是第一次設定 ，或者如果您要升級到登陸區域 3.0 版，您可以選擇是否允許 AWS Control Tower 為您的組織設定組織層級 AWS CloudTrail 追蹤，也可以選擇退出由 AWS Control Tower 管理的追蹤，以及管理您自己的 CloudTrail 追蹤。您可以隨時更新登陸區域，選擇加入或退出由 AWS Control Tower 管理的組織層級追蹤。

• 您可以在設定或更新登陸區域時，選擇性地為 Amazon S3 日誌儲存貯體和日誌存取儲存貯體設定自訂保留政策。

• 您可以選擇性地指定先前定義的藍圖，用於從 AWS Control Tower 主控台佈建自訂成員帳戶。如果您沒有可用的藍圖，您可以稍後自訂帳戶。請參閱 使用 Account Factory Customization (AFC) 自訂帳戶。

無法復原的組態選項

• 設定登陸區域後，就無法變更主區域。

• 如果您要使用 VPCs 佈建 Account Factory 帳戶，則無法在建立 VPC CIDRs 後進行變更。