本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將 Amazon S3 設定為組態來源
<a name="cfct-s3-source"></a>

當您設定 *AWS Control Tower 的自訂*時，它會將名為 `_custom-control-tower-configuration.zip` 檔案的初始組態檔案存放在名為 的 Amazon Simple Storage Service (Amazon S3) 儲存貯體中`custom-control-tower-configuration-{{account-ID}}-{{region}}`。

**注意**  
如果您選擇下載和修改此檔案，請記得壓縮變更、儲存為名為 的新檔案`custom-control-tower-configuration.zip`，然後將其上傳回相同的 Amazon S3 儲存貯體。  
Amazon S3 儲存貯體是管道的預設來源。預設設定到位時，將檔案名稱中沒有底線字首的組態 zip 檔案上傳至 S3 儲存貯體時，會自動啟動管道。

zip 檔案受到[伺服器端加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html) (SSE) 與 AWS Key Management Service (AWS KMS) 的保護，並[拒絕使用](https://docs.aws.amazon.com/kms/latest/developerguide/determining-access.html) KMS 金鑰。若要存取 zip 檔案，您必須更新 KMS 金鑰政策，以指定應授予存取權的角色 （這些角色）。角色可以是管理員角色、使用者或兩者。請遵循下列程序：

1. 導覽至 [AWS Key Management Service 主控台](https://console.aws.amazon.com/kms/home)。

1. 在**客戶受管金鑰**中，選取 **CustomControlTowerKMSKey**。

1. 選取**金鑰政策**索引標籤。然後，選取**編輯**。

1. 在**編輯金鑰政策**頁面中，尋找程式碼中的**允許使用金鑰**區段，並新增下列其中一個許可：
   + 若要新增管理角色：

     `arn:aws:iam::{{<account-ID>}}:role/{{<administrator-role>}}`
   + 若要新增使用者：

     `arn:aws:iam::{{<account-ID>}}:user/{{<username>}}`

1. 選取 **Save Changes** (儲存變更)。

1. 導覽至 [Amazon S3 主控台](https://console.aws.amazon.com/s3/home)，尋找包含組態 zip 檔案的 S3 儲存貯體，然後選取下載。

1. 對資訊清單檔案和範本檔案進行必要的組態變更。如需自訂資訊清單和範本檔案的資訊，請參閱 [CfCT 自訂指南](cfct-customizations-dev-guide.md)。

1. 上傳您的變更：

   1. 壓縮修改後的組態檔案，並將檔案命名為：`custom-control-tower-configuration.zip`。

   1. 使用主 AWS KMS 金鑰 SSE 將檔案上傳至 Amazon S3：`CustomControlTowerKMSKey`。