本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 根 OU 在 **V2 版本的清单文件(2021-03-15)**中,CfCT 支持将**根**作为 `organizational_units` 下组织单元(OU)的值。 + 如果您选择`scp`或的部署方法,则当您在下添加根时 `rcp``organizational_units`,AWS Control Tower 会将策略应用于根 OUs 下的所有策略。如果您选择的部署方法是 `stack_set`,则在 `organizational_units` 下添加根时,CfCT 会在该根下注册 AWS Control Tower 的所有账户中部署堆栈集,但管理账户除外。 + 根据 AWS Control Tower 最佳实践,管理账户仅用于管理成员账户和账单。请勿在 AWS Control Tower 管理账户中运行生产工作负载。 根据最佳实践指南,AWS Control Tower 部署将管理账户置于根 OU 下,这样它就具有完全访问权限并且不会运行其他资源。因此,该**AWSControlTowerExecution**角色未部署到管理账户。 + 我们建议您遵循这些管理账户的最佳实践。如果您有需要在管理账户中部署堆栈集的特定使用案例,请将**账户**添加为部署目标并指定管理账户。否则,请勿将**账户**添加为部署目标。您必须在管理账户中创建缺失的资源,包括所需的 IAM 角色。 要在管理账户中部署堆栈集,请将 `accounts` 添加为部署目标并指定管理账户。否则,请勿将账户添加为部署目标。 ``` --- region: your-home-region version: 2021-03-15 resources: …truncated… deployment_targets: organizational_units: - Root ``` **注意** 只有 V2 版本的清单文件(2021-03-15)支持根 OU 功能。如果您将 **Root** 添加为下的 OU`organizational_units`,请不要添加任何其他 OU OUs。