本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 规划您的 AWS Control Tower 登录区
<a name="planning-your-deployment"></a>

当您完成设置过程时，AWS Control Tower 会启动一个与您的账户关联的资源（称为*登录区*），该资源用作您的组织及其账户的主页。

**注意**  
每个 组织可以有一个登录区。

有关在规划和设置登录区时应遵循的一些最佳实践的信息，请参阅 [AWS AWS Control Tower 着陆区的多账户策略](aws-multi-account-landing-zone.md)。

**设置 AWS Control Tower 的方法**

您可以在现有组织中设置 AWS Control Tower 登录区，也可以先创建一个包含 AWS Control Tower 登录区的新组织。
+ [在现有组织中启动 AWS Control Tower](#deploy-with-existing-orgs)：本部分适用于已 AWS Organizations 准备好接受 AWS Control Tower 管理的客户。
+ [在新组织中启动 AWS Control Tower](#fresh-deployment-no-existing-orgs)：本部分适用于没有 AWS Organizations OUs、和账户的客户。

**注意**  
如果您已经有 AWS Organizations 着陆区，则可以将 AWS Control Tower 管理范围从现有着陆区扩展到组织中的部分或全部现有 OUs 和账户。请参阅 [Govern existing organizations and accounts](https://docs.aws.amazon.com//controltower/latest/userguide/importing-existing.html)。

## 比较功能
<a name="functionality-comparison"></a>

以下是将 AWS Control Tower 添加到现有组织或将 AWS Control Tower 管理扩展到 OUs 和账户之间的区别的简要比较。此外，如果您要从 AWS 着陆区解决方案迁移到 AWS Control Tower，则需要考虑一些特殊注意事项。

**关于添加到现有组织**：您可以在 AWS 控制台中完成将 AWS Control Tower 添加到现有组织中的操作。在本例中，您已经在 AWS Organizations 服务中创建了一个组织，该组织目前尚未在 AWS Control Tower 上注册，您想在*之后添加一个着陆区*。

当您向现有组织*添加*着陆区时，AWS Control Tower 会在该 AWS Organizations 级别上设置一个并行结构。它不会更改您现有组织中的 OUs 和帐户。

**关于扩展治理：**扩展治理适用于*已在 AWS Control Tower 注册的单个组织*中的特定 OUs 账户，这意味着该组织已经存在着陆区。扩展监管意味着扩展 AWS Control Tower 的控制范围，使其限制适用于该注册组织内的特定账户 OUs 和账户。在这种情况下，您不是在启动新的登录区，而只是在为组织扩展当前的登录区。

**重要**  
特别注意事项：如果您目前正在使用[AWS 着陆区解决方案 (ALZ)](https://aws.amazon.com//solutions/implementations/aws-landing-zone/) AWS Organizations，请在尝试在组织中启用 AWS Control Tower 之前，请咨询您的 AWS 解决方案架构师。AWS Control Tower 无法执行预检查来确定 AWS Control Tower 是否会干扰您当前的登录区部署。有关更多信息，请参阅 [演练：从 ALZ 迁移到 AWS Control Tower](alz-to-control-tower.md)。另外，有关将账户从一个登录区迁移到另一个登录区的信息，请参阅 [如果账户不符合先决条件](fulfill-prerequisites.md)

## 在现有组织中启动 AWS Control Tower
<a name="deploy-with-existing-orgs"></a>

通过在现有组织中设置 AWS Control Tower 着陆区，您可以立即开始与现有 AWS Organizations 环境并行工作。您在其中 OUs创建的另一个保持不变，因为它们未在 AWS Organizations AWS Control Tower 中注册。您可以继续完全按照原样使用这些 OUs 和帐户。

 AWS Control Tower 通过使用现有组织中的管理账户作为其管理账户进行整合。不需要新的管理账户。您可以从现有管理账户启动 AWS Control Tower 登录区。

**注意**  
要在现有组织上设置 AWS Control Tower，您的服务限制必须允许至少创建两个附加账户。

**将 AWS Control Tower 添加到现有组织的影响**

AWS Control Tower 将两个账户添加到您的组织：一个审计账户和一个日志记录账户。这些账户在其各个最终用户账户中记录您的团队采取的操作。**审计**和**日志存档**账户显示在您的 AWS Control Tower 登录区内的**安全** OU 中。

当您设置着陆区时，AWS Control Tower 添加的账户将成为您现有账户的一部分 AWS Organizations，因此它们将成为您现有组织账单的一部分。

### 功能摘要
<a name="comparison-existing-and-not-existing-orgs"></a>

在现有 AWS Organizations 组织中启用 AWS Control Tower 可以为该组织提供多项重大增强。
+ 它允许跨组织的各个组进行统一计费，因为 AWS Control Tower 添加的账户将成为现有组织的一部分。
+ 它使您能够从 OU 中的一个管理账户管理所有账户。
+ 它简化了您应用和实施控件的方式，这些控件涵盖现有账户和新账户的安全性和合规性。

**重要**  
在现有 AWS Organizations 组织中启动您的 AWS Control Tower 着陆区并不能将 AWS Control Tower 的管理范围从该组织扩展到其他 OUs或未在 AWS Control Tower 注册的账户。

要在现有组织中启动 AWS Control Tower，请按照 [开始使用 AWS Control Tower](getting-started-with-control-tower.md) 中概述的过程进行操作。

有关 AWS Control Tower 如何与现有 AWS Organizations 组织交互的更多信息，请参阅[使用 AWS Control Tower 监管组织和账户](existing-orgs.md)。

## 在新组织中启动 AWS Control Tower
<a name="fresh-deployment-no-existing-orgs"></a>

如果您是 AWS Control Tower 的新手并且还没有使用过 AWS Organizations，那么最好从我们的[设置](setting-up.md)文档开始。

当您没有设置组织时，AWS Control Tower 会自动为您设置一个。