功能比較現有組織中的啟動 AWS Control Tower 在新組織中啟動 AWS Control Tower

規劃您的 AWS Control Tower landing zone

當您完成設定程序時，AWSControl Tower 會啟動與您帳號相關聯的關鍵資源，稱為「landing zone」，作為您組織及其帳戶的住所。

注意

每個組織可以有一個登陸區域。

如需有關規劃和設定 landing zone 域時應遵循的一些最佳作法的資訊，請參閱AWS AWSControl Tower landing zone 的多帳戶策略。

設置 Con AWS trol Tower 的方法

您可以在現有組織中設定 AWS Control Tower landing zone，也可以從建立包含 AWS Control Tower landing zone 的新組織開始。

現有組織中的啟動 AWS Control Tower：本節適用於已 AWS Organizations 準備好將 AWS Control Tower 納入治理的客戶。
在新組織中啟動 AWS Control Tower：此區段適用於沒有 AWS Organizations OUs、和帳戶的客戶。

注意

如果您已經有 AWS Organizations landing zone，您可以將 AWS Control Tower 的管理範圍從現有的 landing zone 擴展到組織內部分或全部現有OUs帳號。請參閱管理現有組織和帳戶。

功能比較

以下是將 Control Tower 新增至現有組織或將 AWS Control Tower 管理擴充AWS至OUs和帳戶之間的差異的簡短比較。此外，如果您要從「 AWS 著陸區」解決方案移至「AWSControl Tower」，也適用一些特殊考量。

關於新增至現有組織：將 Con AWS trol Tower 新增至現有組織是您可以在主控 AWS 台中完成的工作。在這種情況下，您已經有一個您在 AWS Organizations 服務中建立的組織，該組織目前尚未向 Con AWS trol Tower 註冊，而您之後想要新增 landing zone。

當您將 landing zone 加入至現有組織時，AWSControl Tower 會在樓 AWS Organizations 層設定 parallel 結構。它不會變更現有組織內的OUs和帳戶。

關於擴展治理：擴展管理適用於已向 AWS Control Tower 註冊的單一組織內的特定OUs和帳戶，這意味著該組織已經存在 landing zone 域。擴展治理意味著 AWS Control Tower 控制項已擴展，以便其限制適用於該註冊組織內的特定OUs和帳戶。在這種情況下，您不會啟動新的 landing zone，而只是擴充組織目前的 landing zone 域。

重要

特別注意事項：如果您目前正在使用 L AWS anding Zone 解決 AWS 方案 (ALZ) AWS Organizations，請先洽詢您的解決方案架構師，然後再嘗試在組織中啟用 AWS Control Tower。AWSControl Tower 無法執行預先檢查，以確定 AWS Control Tower 是否會干擾您目前的 landing zone 部署。如需詳細資訊，請參閱逐步解說：從 ALZ 移至 AWS Control Tower。此外，如需將帳戶從一個登陸區域移至另一個登陸區域的資訊，請參閱如果帳戶不符合先決條件怎麼辦？

現有組織中的啟動 AWS Control Tower

透過在現有組織中設定 AWS Control Tower 的平 landing zone，您可以立即開始工作，與現有 AWS Organizations 環境 parallel。您在其中OUs創建的 AWS Organizations 另一個不會改變，因為它們沒有在 AWS Control Tower 註冊。您可以繼續完全按原樣使用這些OUs和帳戶。

AWSControl Tower 使用現有組織的管理帳戶作為其管理帳戶來進行整合。不需要新的管理帳戶。您可以從現有的AWS管理帳戶啟動 Control Tower landing zone。

注意

若要在現有組織上設定 AWS Control Tower，您的服務限制必須允許建立至少兩個額外帳戶。

將 AWS Control Tower 新增至現有組織的影響

AWSControl Tower 會在您的組織中建立兩個帳戶：稽核帳戶和記錄帳戶。這些帳戶會在您的團隊個別使用者帳戶中記錄您的團隊所採取的動作。稽核與記錄封存帳戶會顯示在您 AWS Control Tower landing zone 內的安全性 OU 中。

當您設定 landing zone 時，AWSControl Tower 新增的帳號會成為您現有帳戶的一部分 AWS Organizations，因此它們會成為您現有組織帳單的一部分。

功能摘要

在現有 AWS Organizations 組織上啟用 AWS Control Tower 可為組織提供數個主要增強功能。

它允許整個組織的群組統一計費，因為 AWS Control Tower 新增的帳戶將成為您現有組織的一部分。
它可讓您從 OU 中的一個管理帳戶管理所有帳戶。
它簡化了您對現有和新帳戶的應用和強制執行涵蓋安全性和合規性的控制方式。

重要

在現有 AWS Organizations 組織中啟動 AWS Control Tower landing zone，無法讓您將 AWS Control Tower 的管理範圍從該組織擴展到其他OUs或未在AWS控制中心註冊的帳號。

若要在現有組織中啟動 AWS Control Tower，請遵循中所述的程序開始使用 AWS Control Tower。

如需「AWSControl Tower」如何與現有 AWS Organizations 組織互動的詳細資訊，請參閱使用 AWS Control Tower 管理組織和帳戶。

在新組織中啟動 AWS Control Tower

如果您是 AWS Control Tower 的新手，但尚未使用 AWS Organizations，最好的開始就是使用我們的設定文檔。

AWS當您沒有設定組織時，Control Tower 會自動為您設定組織。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

管理員的最佳做法

最佳做法：設定 AWS 多帳戶 landing zone