本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Control Tower 的運作方式
本節在高階說明 AWS Control Tower 的運作方式。您的登陸區域是所有 AWS 資源的架構良好的多帳戶環境。您可以使用此環境,對所有 AWS 帳戶強制執行合規法規。
## AWS Control Tower 登陸區域的結構
AWS Control Tower 中登陸區域的結構如下:
+ **根** — 包含登陸區域中所有其他 OUs父系。
+ **安全性 OU** – 此 OU 包含日誌封存和稽核帳戶。這些帳戶通常稱為*共用帳戶*。當您啟動登陸區域時,您可以選擇這些共用帳戶的自訂名稱,而且您可以選擇將現有 AWS 帳戶帶入 AWS Control Tower 以進行安全性和記錄。不過,這些帳戶稍後無法重新命名,而且無法在初始啟動後為安全性和記錄新增現有帳戶。
+ **沙盒 OU** – 如果您啟用沙盒 OU,則會在您啟動登陸區域時建立沙盒 OU。此和其他已註冊OUs 包含您的使用者用來執行工作負載 AWS 的註冊帳戶。
+ **IAM Identity Center 目錄** – 根據預設,此目錄會存放您的 IAM Identity Center 使用者。它定義了每個 IAM Identity Center 使用者的許可範圍。或者,您可以選擇自行管理您的身分和存取控制。如需詳細資訊,請參閱[使用 AWS IAM Identity Center 和 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/sso.html)。
+ **IAM Identity Center 使用者** – 這些是使用者可以擔任的身分,以在登陸區域中執行 AWS 工作負載。
## 設定登陸區域時會發生什麼情況
當您設定登陸區域時,AWS Control Tower 會在您的管理帳戶中代表您執行下列動作:
+ 建立組織根結構中包含的兩個 AWS Organizations 組織單位 (OUs):安全性和沙盒 (選用)。
+ 在安全性 OU 中建立或新增兩個共用帳戶:日誌封存帳戶和稽核帳戶。
+ 如果您選擇預設 AWS Control Tower 組態,或允許您自行管理身分提供者,即可在 IAM Identity Center 中建立雲端原生目錄,其中包含預先設定的群組和單一登入存取。
+ 套用所有必要的預防性控制,以強制執行政策。
+ 套用所有必要的偵測性控制項來偵測組態違規。
+ *預防性控制不會套用至管理帳戶。*
+ 除了 管理帳戶之外,控制項會套用至整個組織。
**安全地管理 AWS Control Tower 登陸區域和帳戶中的資源**
+ 當您建立登陸區域時,會建立許多 AWS 資源。若要使用 AWS Control Tower,您不得在本指南所述的支援方法之外修改或刪除這些 AWS Control Tower 受管資源。刪除或修改這些資源會導致您的登陸區域進入未知狀態。如需詳細資訊,請參閱[建立和修改 AWS Control Tower 資源的指引](getting-started-guidance.md)
+ 當您啟用選用控制項 (具有*強烈建議或選擇性*指引的控制項) 時,AWS Control Tower 會建立它在帳戶中管理 AWS 的資源。請勿修改或刪除 AWS Control Tower 建立的資源。這樣做可能會導致控制項進入未知狀態。
# 什麼是共用帳戶?
在 AWS Control Tower 中,您登陸區域中的共用帳戶會在設定期間佈建:管理帳戶、日誌封存帳戶和稽核帳戶。
## 什麼是管理帳戶?
這是您專為登陸區域建立的帳戶。此帳戶用於支付登陸區域中所有項目的帳單。它也用於帳戶的帳戶工廠佈建,以及管理 OUs和控制項。
**注意**
不建議從 AWS Control Tower 管理帳戶執行任何類型的生產工作負載。建立個別的 AWS Control Tower 帳戶來執行工作負載。
如需詳細資訊,請參閱[管理帳戶](special-accounts.md#mgmt-account)。
## 什麼是日誌封存帳戶?
此帳戶可做為登陸區域中所有帳戶之 API 活動和資源組態日誌的儲存庫。
如需詳細資訊,請參閱[日誌封存帳戶](special-accounts.md#log-archive-account)。
## 什麼是稽核帳戶?
稽核帳戶是受限制的帳戶,旨在讓您的安全與合規團隊讀取和寫入您登陸區域中所有帳戶的存取權。您可以從稽核帳戶透過僅授與 Lambda 函數的角色,以程式設計方式存取審核帳戶。稽核帳戶不允許您手動登入其他帳戶。如需 Lambda 函數和角色的詳細資訊,請參閱[設定 Lambda 函數以擔任另一個函數的角色 AWS 帳戶](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-assume-iam-role)。
如需詳細資訊,請參閱[稽核帳戶](special-accounts.md#audit-account)。
# 控制的運作方式
控制項是為整體 AWS 環境提供持續控管的高階規則。每個控制項都會強制執行單一規則,並以純語言表示。您可以隨時從 AWS Control Tower 主控台或 AWS Control Tower APIs 變更有效選擇性或強烈建議使用的控制項。強制控制項一律會套用,而且無法變更。
預防性控制可防止動作發生。例如,名為**不允許對 Amazon S3 儲存貯體的儲存貯體政策進行變更的選擇性控制 **(先前稱為**不允許對日誌封存進行政策變更) **可防止日誌封存共用帳戶中的任何 IAM 政策變更。任何執行阻止動作的嘗試都會遭到拒絕,並記錄在 CloudTrail 中。資源也會登入 AWS Config。
Detective 控制項會在特定事件發生時偵測,並在 CloudTrail 中記錄動作。例如,針對**連接至 Amazon EC2 執行個體的 Amazon EBS 磁碟區啟用加密時**, 強烈建議的控制項會偵測未加密的 Amazon EBS 磁碟區是否連接至登陸區域中的 EC2 執行個體。
在帳戶中佈建資源之前,主動控制會檢查資源是否符合您的公司政策和目標。如果資源不合規,則不會佈建這些資源。主動控制會監控透過 CloudFormation 範本部署在帳戶中的資源。
*對於熟悉的人 AWS:*在 AWS Control Tower 中,預防性控制會使用服務控制政策 SCPs) 和資源控制政策 RCPs) 實作。Detective 控制項會使用 AWS Config 規則實作。主動控制會使用 CloudFormation 勾點實作。
## 相關主題
+ [在 AWS Control Tower 中偵測並解決偏離](drift.md)
## AWS Control Tower 如何與 StackSets 搭配使用
AWS Control Tower 預設會使用 CloudFormation StackSets 來設定您帳戶中的資源。每個堆疊集都有對應至帳戶和 AWS 區域 每個帳戶的 StackInstances。AWS Control Tower 會為每個帳戶和區域部署一個堆疊集執行個體。
AWS Control Tower 會根據 CloudFormation 參數, AWS 區域 選擇性地將更新套用至特定帳戶。當更新套用至某些堆疊執行個體時,其他堆疊執行個體可能會留在 **Outdated (過期)** 狀態。這種行為是預期之中,且是正常的。
當堆疊執行個體進入 **Outdated (過期)** 狀態時,這通常表示對應於該堆疊執行個體的堆疊與堆疊集中的最新範本不符。堆疊會保留在較舊的範本中,因此可能不會包含最新的資源或參數。堆疊仍然完全可用。
以下是根據 CloudFormation 更新期間指定的參數,預期行為的快速摘要:
如果堆疊集更新包含範本的變更 (即指定 `TemplateBody`或 `TemplateURL` 屬性),或者指定 `Parameters` 屬性,則在更新指定帳戶中的堆疊執行個體之前, 會 CloudFormation 標記狀態為**過期**的所有堆疊執行個體,以及 AWS 區域。如果堆疊集更新不包含範本或參數的變更, 會 CloudFormation 更新指定帳戶和區域中的堆疊執行個體,同時讓所有其他堆疊執行個體保持其現有的堆疊執行個體狀態。若要更新與堆疊集相關聯的所有堆疊執行個體,請勿指定 `Accounts` 或 `Regions` 屬性。
如需詳細資訊,請參閱 CloudFormation 《 使用者指南》中的[更新您的堆疊集](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-update.html)。