本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 規劃您的 AWS Control Tower 登陸區域
<a name="planning-your-deployment"></a>

當您完成設定程序時，AWS Control Tower 會啟動與您的帳戶相關聯的金鑰資源，稱為*登陸區域*，做為您組織及其帳戶的首頁。

**注意**  
每個組織可以有一個登陸區域。

如需規劃和設定登陸區域時應遵循的一些最佳實務的相關資訊，請參閱 [AWS AWS Control Tower 登陸區域的多帳戶策略](aws-multi-account-landing-zone.md)。

**設定 AWS Control Tower 的方法**

您可以在現有組織中設定 AWS Control Tower 登陸區域，也可以從建立包含 AWS Control Tower 登陸區域的新組織開始。
+ [在現有組織中啟動 AWS Control Tower](#deploy-with-existing-orgs)：本節適用於已經 AWS Organizations 準備好讓 AWS Control Tower 進行控管的客戶。
+ [在新組織中啟動 AWS Control Tower](#fresh-deployment-no-existing-orgs)：本節適用於沒有現有 AWS Organizations、OUs 和帳戶的客戶。

**注意**  
如果您已有 AWS Organizations 登陸區域，您可以將 AWS Control Tower 管控從現有登陸區域擴展到組織內的部分或全部現有 OUs 和帳戶。請參閱[管理現有的組織和帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/importing-existing.html)。

## 比較功能
<a name="functionality-comparison"></a>

以下是將 AWS Control Tower 新增至現有組織或將 AWS Control Tower 控管延伸至 OUs 和帳戶之間的差異的簡短比較。此外，如果您要從 AWS 登陸區域解決方案移至 AWS Control Tower，也會有一些特殊考量。

**關於將 新增至現有組織：**將 AWS Control Tower 新增至現有組織是您可以在 主控台中 AWS 完成的任務。在此情況下，您已經擁有已在 AWS Organizations 服務中建立的組織、該組織目前尚未向 AWS Control Tower 註冊，而且之後想要*新增登陸區域*。

當您*將*登陸區域新增至現有組織時，AWS Control Tower 會在 AWS Organizations 層級設定平行結構。它不會變更現有組織中OUs 和帳戶。

**關於擴展控管：**擴展控管適用於已向 AWS Control Tower *註冊的單一組織中*的特定 OUs 和帳戶，這表示該組織已存在登陸區域。擴展控管意味著擴展 AWS Control Tower 控制項，以便其限制條件適用於該註冊組織中的特定 OUs 和帳戶。在此情況下，您不會啟動新的登陸區域，只會擴展組織的目前登陸區域。

**重要**  
特殊考量：如果您目前使用適用於 的[AWS 登陸區域解決方案 (ALZ)](https://aws.amazon.com//solutions/implementations/aws-landing-zone/) AWS Organizations，請先向您的 AWS 解決方案架構師確認，再嘗試在組織中啟用 AWS Control Tower。AWS Control Tower 無法執行預先檢查，以判斷 AWS Control Tower 是否可能干擾您目前的登陸區域部署。如需詳細資訊，請參閱[逐步解說：從 ALZ 移至 AWS Control Tower](alz-to-control-tower.md)。此外，如需將帳戶從一個登陸區域移至另一個登陸區域的資訊，請參閱 [如果帳戶不符合先決條件](fulfill-prerequisites.md)

## 在現有組織中啟動 AWS Control Tower
<a name="deploy-with-existing-orgs"></a>

透過在現有組織中設定 AWS Control Tower 登陸區域，您可以立即開始與現有 AWS Organizations 環境平行運作。您在 中建立的其他 OUs AWS Organizations 保持不變，因為它們並未向 AWS Control Tower 註冊。您可以繼續依現狀使用該些 OU 和帳戶。

 AWS Control Tower 會使用現有組織的管理帳戶做為其管理帳戶來進行合併。不需要新的管理帳戶。您可以從現有的管理帳戶啟動 AWS Control Tower 登陸區域。

**注意**  
若要在現有組織上設定 AWS Control Tower，您的服務限制必須允許建立至少兩個額外的帳戶。

**將 AWS Control Tower 新增至現有組織的效果**

AWS Control Tower 會在您的組織中建立兩個帳戶：稽核帳戶和記錄帳戶。這些帳戶會記錄您的團隊在其個別最終使用者帳戶中所採取的動作。**稽核**和**日誌封存**帳戶會顯示在 AWS Control Tower 登陸區域內**的安全** OU 中。

當您設定登陸區域時，AWS Control Tower 新增的帳戶會成為您現有組織的一部分 AWS Organizations，因此會成為現有組織帳單的一部分。

### 功能摘要
<a name="comparison-existing-and-not-existing-orgs"></a>

在現有 AWS Organizations 組織上啟用 AWS Control Tower 可為組織提供數個主要增強功能。
+ 它允許跨組織的群組統一計費，因為 AWS Control Tower 新增的帳戶將成為現有組織的一部分。
+ 它可讓您從 OU 中的一個管理帳戶管理所有帳戶。
+ 它簡化了如何套用和強制執行控制，以涵蓋現有和新帳戶的安全性和合規性。

**重要**  
在現有 AWS Organizations 組織中啟動 AWS Control Tower 登陸區域，無法讓您將 AWS Control Tower 管控從該組織擴展到未向 AWS Control Tower 註冊的其他 OUs 或帳戶。

若要在現有組織中啟動 AWS Control Tower，請遵循中所述的程序[AWS Control Tower 入門](getting-started-with-control-tower.md)。

如需 AWS Control Tower 如何與現有 AWS Organizations 組織互動的詳細資訊，請參閱 [使用 AWS Control Tower 管理組織和帳戶](existing-orgs.md)。

## 在新組織中啟動 AWS Control Tower
<a name="fresh-deployment-no-existing-orgs"></a>

如果您是初次使用 AWS Control Tower 且尚未使用 AWS Organizations，最好的起點是使用 [設定](setting-up.md) 文件。

當您沒有設定組織時，AWS Control Tower 會自動為您設定組織。