本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 關於共用帳戶
<a name="special-accounts"></a>

三個特殊項目與 AWS Control Tower AWS 帳戶 相關聯；管理帳戶、**稽核**帳戶和**日誌封存**帳戶。這些帳戶通常稱為*共用帳戶*，有時稱為*核心帳戶*。
+  您可以在設定登陸區域時，選取稽核和日誌封存帳戶的自訂名稱。如需變更帳戶名稱的資訊，請參閱[外部變更 AWS Control Tower 資源名稱](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#changing-names)。
+ 您也可以在初始登陸區域設定程序期間，將現有的 指定 AWS 帳戶 為 AWS Control Tower 安全或記錄帳戶。此選項消除了 AWS Control Tower 建立新的共用帳戶的需求。（這是一次性選擇。)

如需共用帳戶及其相關資源的詳細資訊，請參閱 [在共用帳戶中建立的資源](shared-account-resources.md)。

## 管理帳戶
<a name="mgmt-account"></a>

這會 AWS 帳戶 啟動 AWS Control Tower。根據預設，此帳戶的根使用者和此帳戶的 IAM 使用者或 IAM 管理員使用者具有登陸區域內所有資源的完整存取權。

**注意**  
最佳實務是，我們建議在 AWS Control Tower 主控台內執行管理功能時，以具有**管理員**權限的 IAM Identity Center 使用者身分登入，而不是以此帳戶的根使用者或 IAM 管理員使用者身分登入。

如需 管理帳戶中可用角色和資源的詳細資訊，請參閱 [在共用帳戶中建立的資源](shared-account-resources.md)。

## 日誌封存帳戶
<a name="log-archive-account"></a>

如果您未特別攜帶另一個帳戶，日誌封存共用 AWS 帳戶會在您建立登陸區域時自動設定。

此帳戶包含中央 Amazon S3 儲存貯體，用於儲存登陸區域中所有其他帳戶的所有 AWS CloudTrail 和 AWS Config 日誌檔案副本。根據最佳實務，我們建議將日誌封存帳戶存取權限制在負責合規和調查的團隊，以及其相關的安全或稽核工具。此帳戶可用於自動化安全稽核，或託管自訂 AWS Config 規則，例如 Lambda 函數，以執行修復動作。

**Amazon S3 儲存貯體政策**  
對於 AWS Control Tower 登陸區域 3.3 版及更新版本，帳戶必須符合對稽核儲存貯體的任何寫入許可`aws:SourceOrgID`條件。此條件可確保 CloudTrail 只能代表您組織內的帳戶將日誌寫入 S3 儲存貯體；可防止組織外部的 CloudTrail 日誌寫入 AWS Control Tower S3 儲存貯體。如需詳細資訊，請參閱[AWS Control Tower 登陸區域 3.3 版](2023-all.md#lz-3-3)。

如需日誌封存帳戶中可用角色和資源的詳細資訊，請參閱 [日誌封存帳戶資源](shared-account-resources.md#log-archive-resources)

**注意**  
這些日誌無法變更。所有日誌都會儲存，以用於與帳戶活動相關的稽核和合規調查。

## 稽核帳戶
<a name="audit-account"></a>

如果您未特別攜帶另一個帳戶，則會在您建立登陸區域時自動設定此共用帳戶。

稽核帳戶應僅限於具有稽核員 （唯讀） 和管理員 （完整存取） 跨帳戶角色的安全和合規團隊，以及登陸區域中所有帳戶。這些角色旨在供安全與合規團隊使用，以：
+ 透過 AWS 機制執行稽核，例如託管自訂 AWS Config 規則 Lambda 函數。
+ 執行自動化安全操作，例如修復動作。

稽核帳戶也會透過 Amazon Simple Notification Service (Amazon SNS) 服務接收通知。可接收三種類型的通知：
+ **所有組態事件** – 此主題會彙總登陸區域中所有帳戶的所有 CloudTrail 和 AWS Config 通知。
+ **彙總安全性通知** – 本主題彙總來自特定 CloudWatch 事件、 AWS Config 規則 合規狀態變更事件和 GuardDuty 調查結果的所有安全性通知。
+ **偏離通知** – 此主題彙總了在您登陸區域中所有帳戶、使用者、OUs 和 SCPs 中發現的所有偏離警告。如需有關偏離的詳細資訊，請參閱[在 AWS Control Tower 中偵測並解決偏離](drift.md)。

在成員帳戶中觸發的稽核通知也可以傳送提醒到本機 Amazon SNS 主題。此功能可讓帳戶管理員訂閱個別成員帳戶特有的稽核通知。因此，管理員可以解決影響個別帳戶的問題，同時仍然將所有帳戶通知彙總到集中式稽核帳戶。如需詳細資訊，請參閱《[Amazon Simple Notification Service 開發人員指南](https://docs.aws.amazon.com/sns/latest/dg/)》。

如需稽核帳戶中可用角色和資源的詳細資訊，請參閱 [稽核帳戶資源](shared-account-resources.md#audit-account-resources)。

如需程式設計稽核的詳細資訊，請參閱 [AWS Control Tower 稽核帳戶的程式設計角色和信任關係](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#stacksets-and-roles)。

**重要**  
您為稽核帳戶提供的電子郵件地址會從 AWS Control Tower AWS 區域 支援的每個 接收**AWS 通知 - 訂閱確認**電子郵件。若要在您的稽核帳戶中接收合規電子郵件，您必須從 AWS Control Tower AWS 區域 支援的每個電子郵件中選擇**確認訂閱**連結。