本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将监管范围扩展到现有组织
<a name="about-extending-governance"></a>

您可以按照《AWS Control Tower 用户指南》中 [Getting Started, Step 2](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two) 所述设置登录区（LZ），为现有组织添加 AWS Control Tower 监管。

以下是在现有组织中设置 AWS Control Tower 登录区时的预期情况。
+ 您可以为每个 AWS Organizations 组织设置一个着陆区。
+ AWS Control Tower 使用您现有 AWS Organizations 组织的管理账户作为其管理账户。不需要新的管理账户。
+  AWS Control Tower 会在注册的 OU 中设置两个新账户：审计账户和日志记录账户。
+ 您组织的服务限制必须允许创建这两个附加账户。
+ 在您启动登录区或注册 OU 后，AWS Control Tower 控件将自动应用于该 OU 中的所有注册账户。
+ 您可以将其他现有 AWS 账户**注册**到受 AWS Control Tower 管理的 OU 中，以便控制适用于这些账户。
+  您可以 OUs 在 AWS Control Tower 中添加更多内容，也可以**注册**现有 OUs的。

要查看有关登记和注册的其他先决条件，请参阅 [Getting Started with AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-with-control-tower.html)。

以下详细介绍 AWS Control Tower 控制**如何不**适用于您在未设置 AWS Control Tower 着陆区的 AWS 组织 OUs 中：
+ 在 AWS Control Tower Account Factory 以外创建的新账户不受已注册 OU 的控件约束。
+ 在中创建的未在 OUs AWS Control Tower 注册的新账户不受控制约束，除非您专门将这些账户**注册**到 AWS Control Tower。有关注册账户的更多信息，请参阅 [关于注册现有账户](enroll-account.md)。
+ 其他现有组织、现有账户以及您在 AWS Control Tower 之外创建的任何新账户 OUs 或任何账户均不受 AWS Control Tower 控制的约束，除非您单独注册 OU 或注册账户。

有关如何将 AWS Control Tower 应用于现有账户 OUs 和账户的更多信息，请参阅[向 AWS Control Tower 注册现有组织单元](importing-existing.md)。

有关在现有组织中设置 AWS Control Tower 登录区的过程的概述，请观看下一节中的视频。

**注意**  
在设置过程中，AWS Control Tower 会进行预检查以避免出现常见问题。但是，如果您目前正在使用 AWS 着陆区解决方案 AWS Organizations，请在尝试在组织中启用 AWS Control Tower 之前，请咨询您的 AWS 解决方案架构师，以确定 AWS Control Tower 是否会干扰您当前的着陆区部署。另请参阅 [如果账户不符合先决条件](fulfill-prerequisites.md)，了解有关将账户从一个登录区转移到另一个登录区的信息。

## 视频：在现有区域中启用着陆区 AWS Organizations
<a name="existing-orgs-video"></a>

该视频 (7:48) 描述了如何在现有 AWS Organizations 结构中设置和启用 AWS Control Tower 着陆区。为了更好地观看，请选择视频右下角的图标以将其放大为全屏。可以使用字幕。

[![AWS Videos](http://img.youtube.com/vi/CwRy0t8nfgM/0.jpg)](http://www.youtube.com/watch?v=CwRy0t8nfgM)


## 关于 IAM Identity Center 和现有组织的注意事项
<a name="sso-and-existing-orgs"></a>
+ 如果已经设置 AWS IAM Identity Center （IAM 身份中心），则 AWS Control Tower 主区域必须与 IAM 身份中心区域相同。
+ AWS Control Tower 不会删除现有配置。
+  如果 IAM Identity Center 已启用，并且您正在使用 IAM Identity Center 目录，AWS Control Tower 会添加权限集、组等资源，然后照常进行后续操作。
+ 如果设置了另一个目录（外部、AD、托管 AD），AWS Control Tower 不会更改现有配置。有关更多详细信息，请参阅 [AWS IAM Identity Center （IAM 身份中心）客户的注意事项](getting-started-prereqs.md#sso-considerations)。

## 访问其他 AWS 服务
<a name="other-services"></a>

将您的组织引入 AWS Control Tower 监管后，您仍然可以通过 AWS Organizations AWS Organizations 控制台和访问任何可用的 AWS 服务 APIs。有关更多信息，请参阅 [相关 AWS 服务](related-information.md#related-aws-services)。