建立和修改 AWS Control Tower 資源的指南

當您在 AWS Control Tower 中建立和修改資源時，建議您採用下列最佳實務。這個指導可能會隨服務更新而變更。請記住，共同責任模型適用於您的 AWS Control Tower 環境。

一般指導

• 請勿修改或刪除 AWS Control Tower 建立的任何資源，包括管理帳戶中、共用帳戶中和成員帳戶中的資源。如果您修改這些資源，您可能需要更新登陸區域或重新註冊 OU，並且修改可能會導致合規報告不準確。

  特別是：

  • 保留作用中 AWS Config 記錄器。如果您刪除 Config 記錄器，偵測控制項將無法偵測和報告偏離。由於資訊不足，不合規資源可能會報告為合規。

  • 請勿修改或刪除在安全組織單位 AWS Identity and Access Management （OUIAM） 中共用帳戶內建立的 （） 角色。修改這些角色可能需要更新您的登陸區域。

  • 請勿從您的成員帳戶中刪除AWSControlTowerExecution角色，即使是在未註冊的帳戶中。如果您這樣做，您將無法向 AWS Control Tower 註冊這些帳戶，或註冊其直接父系 OUs。

• 請勿禁止 AWS 區域 透過 SCPs或 AWS Security Token Service （AWS STS） 使用任何 。這樣做會導致 AWS Control Tower 進入未定義狀態。如果您不允許使用 的區域 AWS STS，您的功能會在這些區域中失敗，因為驗證在這些區域中無法使用。相反地，依賴 AWS Control Tower 區域拒絕功能，如控制項所示，AWS 根據請求的 拒絕對 的存取 AWS 區域，其在登陸區域層級運作，或控制區域拒絕套用至 OU 的控制，其在 OU 層級運作以限制對 區域的存取。

• SCP 必須套用 AWS Organizations FullAWSAccess，且不應與其他 合併SCPs。對此的變更SCP不會報告為偏離；不過，如果拒絕存取某些資源，某些變更可能會以無法預測的方式影響 AWS Control Tower 功能。例如，如果分離或修改 SCP ，帳戶可能會失去對記錄器的 AWS Config 存取權或在 CloudTrail 日誌中建立間隙。

• 請勿使用 AWS Organizations DisableAWSServiceAccessAPI來關閉 AWS Control Tower 服務對已設定登陸區域之組織的存取權。如果您這樣做，某些 AWS Control Tower 漂移偵測功能可能會在沒有 的訊息支援的情況下正常運作 AWS Organizations。這些偏離偵測功能有助於確保 AWS Control Tower 可以準確地報告組織中組織單位、帳戶和控制項的合規狀態。如需詳細資訊，請參閱 API_DisableAWSServiceAccess 在 AWS Organizations API參考 中。

• 一般而言，AWSControl Tower 會一次執行單一動作，這必須先完成，才能開始其他動作。例如，如果您嘗試在啟用控制項的程序已在運作時佈建帳戶，則帳戶佈建將會失敗。

  例外狀況：

  • AWS Control Tower 允許並行動作部署選用控制項。如需詳細資訊，請參閱 選用控制項的並行部署。

  • AWS Control Tower 最多允許 10 個帳戶與 Account Factory 同時建立、更新或註冊動作。

注意

如需 AWS Control Tower 所建立資源的詳細資訊，請參閱 什麼是共享帳戶？。

有關帳戶和 的提示 OUs

• 我們建議您將每個已註冊的 OU 保留在最多 1000 個帳戶，以便您隨時可以使用重新註冊 OU 功能來更新這些帳戶，例如當您設定新的區域進行管理時。

• 若要減少註冊 OU 所需的時間，建議您將每個 OU 的帳戶數目保留在大約 680 個，即使限制為每個 OU 1000 個帳戶。一般而言，註冊 OU 所需的時間會根據您的 OU 運作的區域數量增加，乘以 OU 中的帳戶數量。

• 根據估計，擁有 680 個帳戶的 OU 可能需要最多 2 小時才能註冊和啟用控制項，最多可能需要 1 小時才能重新註冊。此外，具有許多控制項的 OU 比具有很少控制項的 OU 需要更長的時間進行註冊。

• 對於允許更長的 OU 註冊時間範圍的一個問題是，此程序會封鎖其他動作。有些客戶可以放心地允許更長的時間註冊或重新註冊 OU，因為他們偏好在每個 OU 中允許更多帳戶。