本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 启用功能选项
AFT 根据最佳实践提供功能选项。在 AFT 部署期间,您可以通过功能标志来选择使用这些功能。有关 AFT 输入配置参数的更多信息,请参阅 [使用 AFT 预置新账户](aft-provision-account.md)。
默认情况下,这些功能未启用。您必须在您的环境中明确启用每项功能。
**Topics**
+ [
## AWS CloudTrail 数据事件
](#cloudtrail-data-event-option)
+ [
## AWS 企业 Support 计划
](#enterprise-support-option)
+ [
## 删除 AWS 默认 VPC
](#delete-default-vpc-option)
## AWS CloudTrail 数据事件
启用后, AWS CloudTrail 数据事件选项将配置这些功能。
+ 在 AWS Control Tower 管理账户中创建组织跟踪,用于 CloudTrail
+ 开启 Amazon S3 和 Lambda 数据事件的日志记录
+ 使用加密功能加密所有 CloudTrail 数据事件并将其导出到 AWS Control Tower 日志存档账户中的 `aws-aft-logs-*` S3 存储桶 AWS KMS
+ 启用**日志文件验证**设置
要启用此选项,请在 AFT 部署输入配置中将以下功能标志设置为 **true**。
```
aft_feature_cloudtrail_data_events
```
**先决条件**
在启用此功能选项之前,请确保在您的组织中 AWS CloudTrail 启用了的可信访问权限。
**要检查以下各项的可信访问状态 CloudTrail :**
1. 导航到 AWS Organizations 控制台。
1. 选择 “**服务” > CloudTrail**。
1. 然后根据需要选择右上角的**启用可信访问权限**。
您可能会收到一条警告消息,建议您使用 AWS CloudTrail 控制台,但在这种情况下,请忽略该警告。在您准许可信访问之后,AFT 会创建跟踪,作为启用此功能选项的一部分。如果未启用可信访问,则当 AFT 尝试为数据事件创建跟踪时,您将收到一条错误消息。
**注意**
此设置在组织级别起作用。启用此设置会影响中的所有账户 AWS Organizations,无论这些账户是否由 AFT 管理。启用此项设置时,AWS Control Tower 日志存档账户中的所有存储桶都将排除在 Amazon S3 数据事件之外。要了解更多信息,请参阅[AWS CloudTrail 用户指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) CloudTrail。
## AWS 企业 Support 计划
启用此选项后,AFT 管道将为由 AFT 配置的账户开启 AWS 企业支持计划。
AWS 默认情况下,账户已启用 B AWS asic Support 计划。对于 AFT 预置的账户,AFT 提供企业支持级别的自动注册功能。配置过程会为该账户打开支持请求,请求将其添加到 E AWS nterprise Support 计划中。
要启用 Enterprise Support 选项,请在 AFT 部署输入配置中将以下功能标志设置为 **true**。
```
aft_feature_enterprise_support=false
```
要了解有关[AWS 支持计划的更多信息,请参阅比较](https://aws.amazon.com/premiumsupport/plans/) AWS 支持计划。
**注意**
要使此功能正常运行,您必须将付款人账户注册到 Enterprise Support 计划。
## 删除 AWS 默认 VPC
启用此选项后,AFT 会删除 AFT 管理账户 VPCs 中的所有 AWS 默认值以及所有默认值 AWS 区域,即使尚未在这些账户中部署 AWS Control Tower 资源也是如此 AWS 区域。
AFT 不会 VPCs 自动删除 AFT 配置的任何 AWS Control Tower 账户或您通过 AFT 在 AWS Control Tower 中注册的现有 AWS 账户的 AWS 默认账户。
默认情况下,创建新 AWS 账户时每个 AWS 区域账户都设置了 VPC。您的企业可能有标准的创建惯例 VPCs,这要求您删除 AWS 默认 VPC,并避免启用默认 VPC,尤其是对于 AFT 管理账户。
要启用此选项,请在 AFT 部署输入配置中将以下功能标志设置为 **true**。
```
aft_feature_delete_default_vpcs_enabled
```
以下是 AFT 部署输入配置的示例。
```
module "aft" {
source = "github.com/aws-ia/terraform-aws-control_tower_account_factory"
ct_management_account_id = var.ct_management_account_id
log_archive_account_id = var.log_archive_account_id
audit_account_id = var.audit_account_id
aft_management_account_id = var.aft_management_account_id
ct_home_region = var.ct_home_region
tf_backend_secondary_region = var.tf_backend_secondary_region
vcs_provider = "github"
account_request_repo_name = "${var.github_username}/learn-terraform-aft-account-request"
account_provisioning_customizations_repo_name = "${var.github_username}/learn-terraform-aft-account-provisioning-customizations"
global_customizations_repo_name = "${var.github_username}/learn-terraform-aft-global-customizations"
account_customizations_repo_name = "${var.github_username}/learn-terraform-aft-account-customizations"
# Optional Feature Flags
aft_feature_delete_default_vpcs_enabled = true
aft_feature_cloudtrail_data_events = false
aft_feature_enterprise_support = false
}
```
要了解有关[默认的更多信息,请参阅默认 VPC 和默认 VPCs子网](https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html)。