本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如果您要在新的 中設定登陸區域 AWS 帳戶,請參閱 設定。
-
若要使用新的共用帳戶設定登陸區域,AWSControl Tower 需要兩個尚未與 建立關聯的唯一電子郵件地址 AWS 帳戶。這些電子郵件地址將做為協作收件匣 -- 共用電子郵件帳戶 -- 適用於您企業中將執行與 AWS Control Tower 相關特定工作的各種使用者。
-
如果您是第一次設定 AWS Control Tower,而且要將現有的安全和日誌封存帳戶帶入 AWS Control Tower,則可以輸入現有 AWS 帳戶的目前電子郵件地址。
以下項目需要電子郵件地址:
-
稽核帳戶 – 此帳戶適用於需要存取 AWS Control Tower 提供之稽核資訊的使用者群組。您也可以使用此帳戶做為第三方工具的存取點,執行環境的程式設計稽核,協助您針對合規稽核。
-
日誌封存帳戶 – 此帳戶適用於您的使用者團隊,他們需要存取OUs在您的登陸區域中註冊的所有已註冊帳戶的所有記錄資訊。
當您建立登陸區域時,這些帳戶會在安全 OU 中設定。最佳實務是,建議您在這些帳戶中執行動作時,應使用具有適當範圍許可的 IAM Identity Center 使用者。
注意
如果您將現有 AWS 帳戶指定為稽核和日誌封存帳戶,則現有帳戶必須通過一些啟動前檢查,以確保沒有任何資源與 AWS Control Tower 要求衝突。如果這些檢查未成功,您的登陸區域設定可能無法成功。特別是,帳戶不得有現有的 AWS Config 資源。如需詳細資訊,請參閱引進現有安全或記錄帳戶的考量事項。
為了清楚起見,本使用者指南一律以共用帳戶的預設名稱來表示共用帳戶:日誌封存和稽核。當您閱讀本文件時,如果您選擇自訂名稱,請記得取代您最初提供給這些帳戶的自訂名稱。您可以在帳戶詳細資訊頁面上檢視具有其自訂名稱的帳戶。
注意
我們正在變更一些 AWS Control Tower 組織單位 (OUs) 預設名稱的術語,以符合 AWS 多帳戶策略。在我們進行轉換以改善這些名稱的清晰度時,您可能會注意到一些不一致。安全 OU 先前稱為 Core OU。沙盒 OU 先前稱為自訂 OU。
