本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Control Tower 在 AWS 登陸區域組織中部署
此案例詳細說明在目前正在執行 AWS 登陸區域解決方案的 AWS Control Tower 組織中 AWS Organizations 部署 所涉及的步驟。
1. 請確定您可以建立兩個新帳戶,而不會超過目前的服務配額。如有必要,[請求增加服務配額](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。除非您從用於 AWS 登陸區域的登陸區域使用[現有帳戶](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-control-tower-now-use-customer-provided-core-accounts/),否則新帳戶將部署為部署的一部分 AWS Control Tower 。
1. 如果您目前正在使用 AWS IAM Identity Center, AWS Control Tower 請在已設定 IAM Identity Center 的相同 AWS 區域中部署 。
1. 在 AWS Organizations 主控台上,如果啟用 AWS Config 和 AWS CloudTrail 服務的**受信任存取,請選擇停用**。如需詳細資訊,請參閱 [AWS 文件](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。
1. 部署 AWS Control Tower。如需詳細資訊,請參閱 [AWS 文件](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#getting-started-configure)。
以下是在現有組織中設定 AWS Control Tower 登陸區域時預期會發生的情況。
+ 您可以在每個 AWS Organizations 組織中有一個登陸區域。
+ AWS Control Tower 使用現有 AWS Organizations 組織的管理帳戶做為其管理帳戶。不需要新的管理帳戶。
+ AWS Control Tower 在已註冊的安全 OU 中設定兩個新帳戶:稽核帳戶和日誌封存帳戶,除非您在設定期間使用現有帳戶。如果您使用的是現有的帳戶, AWS Control Tower 會將稽核和日誌封存帳戶移至您在 AWS Control Tower 部署期間建立的 OU 下。
+ 您組織的服務配額必須足以建立這兩個額外的帳戶。
+ 啟動後, AWS Control Tower 護欄會自動套用到該 OU 中的帳戶。
+ 您可以在由 管理的 OU 中註冊其他現有 AWS 帳戶 AWS Control Tower,以便護欄適用於這些帳戶。
如果您想要在設定任何現有 AWS 帳戶或 OUs AWS Control Tower 之後註冊到 ,請參閱本指南[的現有組織區段中的使用 AWS Control Tower 註冊現有 AWS 帳戶](#enroll-to-existing)。
## 在現有組織中使用 註冊 AWS Control Tower 現有 AWS 帳戶
當您將其*註冊*到已受 管理的組織單位 (OU) 時,您可以將 AWS Control Tower 管控擴展到個別的現有 AWS 帳戶 AWS Control Tower。合格帳戶存在於*與 OUs 屬於相同組織的未註冊* OU AWS Control Tower 中。 AWS Organizations
您可以從 AWS Control Tower 主控台 AWS Control Tower 向 註冊 OU。當您註冊 OU 時, AWS Control Tower 會將 OU 下的所有帳戶註冊到 AWS Control Tower。
我們建議您註冊 OU,而不是註冊個別帳戶。這種方法的好處是 OU ID 不會變更。如果您有任何使用 OU ID 的政策或規則,則不需要進行任何變更。
向 註冊 AWS 帳戶之前 AWS Control Tower,請從名為 的 AWS CloudFormation 堆疊集刪除堆疊執行個體`AWS-Landing-Zone-Baseline-EnableConfig`。在您要註冊的每個帳戶中,在 AWS Control Tower 部署 的每個 AWS 區域中,您必須刪除`AWS-Landing-Zone-Baseline-EnableConfig`堆疊執行個體。由於刪除完整的堆疊集需要時間,因此我們建議您僅刪除您正在註冊的帳戶的堆疊執行個體。理想情況下,刪除特定帳戶的堆疊執行個體應該會導致刪除 AWS Config 記錄器和交付管道。您可以針對該帳戶執行下列命令來驗證刪除。
```
aws configservice describe-configuration-recorders --region
aws configservice describe-delivery-channels --region
```
### 從 AWS Control Tower 主控台使用 AWS Control Tower 註冊 OU 功能
註冊具有現有 AWS 帳戶的整個 OU 之前,請務必執行下列動作:
+ 從該 OU 下所有帳戶的所有區域刪除 AWS Config 記錄器和交付管道,如前所述。
如需詳細資訊,請參閱[使用 註冊現有的組織單位 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/importing-existing.html)。
註冊帳戶後 AWS Control Tower,您會在 Service Catalog 中看到所註冊帳戶的另一個佈建產品。佈建產品的名稱會加上 **Enroll-** 的字首。這表示您現在在單一帳戶的 Service Catalog 中有兩個佈建產品:
+ AWS 來自登陸區域帳戶販賣機的一個佈建產品
+ 從 註冊到 的一個佈建產品 AWS Control Tower
您可以選擇從 AWS 登陸區域終止帳戶的佈建產品,但建議您等到轉換完成後再等待 。
當您終止 AWS 在登陸區域環境中提供之帳戶的佈建產品時,`Terminate`操作會開始刪除您可能想要保留的相關聯基準 CloudFormation 堆疊集。請務必評估 manifest.yaml 中的基準堆疊集,並了解刪除堆疊集的影響。如果您在堆疊集中有任何要保留的資源,請避免刪除佈建的產品。部分刪除會在 Service Catalog 主控台中呈現已佈建產品處於 **Tainted** 狀態。
或者,您可以從 AWS 登陸區域保留帳戶販賣機建立的佈建產品。
## 從現有組織將 AWS 帳戶註冊到新組織中 AWS Control Tower 的
您可能想要 AWS Control Tower 在新的 AWS Organizations 組織中部署 。若要 AWS Control Tower 在新組織中設定 ,請完成下列步驟:
1. 建立新的 [AWS 帳戶](https://repost.aws/knowledge-center/create-and-activate-aws-account)。
1. 在新建立 AWS Control Tower 的帳戶中部署 。
1. 若要將 AWS 帳戶從現有組織遷移到您部署的新組織 AWS Control Tower,請參閱[說明](https://aws.amazon.com/premiumsupport/knowledge-center/organizations-move-accounts/)。請務必檢閱並了解涵蓋的所有帳戶存取、帳單、授權和稅務考量。
1. 若要了解在組織之間遷移 AWS 帳戶的程序,請參閱使用[AWS Organizations 合併帳單將帳戶遷移至所有功能](https://aws.amazon.com/blogs/mt/migrating-accounts-between-aws-organizations-with-consolidated-billing-to-all-features/)部落格文章。
1. 開始在 中註冊 AWS 帳戶 AWS Control Tower。若要執行註冊,請參閱在[現有組織中使用 註冊 AWS Control Tower 現有 AWS 帳戶](#enroll-to-existing)一節。