本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建置登陸區域
您有一些建立登陸區域的選項 AWS。您可以選擇受管服務來協調您的環境,或與合作夥伴合作來建置您自己的 AWS [AWS Control Tower](https://aws.amazon.com/controltower/)受管服務。我們建議所有使用者從 開始 AWS Control Tower。不過,請務必了解每種方法的差異和功能,以便為組織做出最佳決策。
登陸區域的選項 AWS:
+ AWS Control Tower
+ 自訂建置的登陸區域
交付機制:
![\[AWS Control Tower 與自訂登陸區域之間的差異。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/migration-aws-environment/images/landing-zone.png)
每種方法的優點和權衡:
| 解決方案 | 優勢 | 取捨 |
| --- | --- | --- |
| AWS Control Tower | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) |
| [AWS Organizations](https://aws.amazon.com/organizations/) 客戶或合作夥伴建置的自訂解決方案 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) |
所有多帳戶環境產品皆採用 技術 AWS Organizations。 AWS Organizations 提供基礎基礎設施和功能,供您建置和管理 AWS 環境。使用 AWS Organizations,您可以取得 提供的多帳戶策略指導 AWS ,並自行自訂您的環境,以最符合您的商業需求。如果您是現有客戶,且對目前的 AWS Organizations 實作感到滿意,您應該繼續操作目前的 AWS 環境。
## AWS Control Tower
AWS Control Tower 以 AWS 受管服務的形式執行。當您正在尋找立即可用的預先封裝環境解決方案時,您可以使用 AWS Control Tower 進行規範性指導和全受管環境。此服務會根據多帳戶最佳實務來設定登陸區域、集中身分和存取管理,以及建立預先設定的安全和合規控管規則。
![\[AWS AWS Control Tower 設定中包含的 服務。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/migration-aws-environment/images/aws-control-tower.png)
AWS Control Tower 會使用最佳實務、身分藍圖、聯合存取和帳戶結構,自動設定新的登陸區域。在 實作的一些藍圖 AWS Control Tower 包括:
+ 使用 的多帳戶環境 AWS Organizations
+ 使用 AWS Identity and Access Management (IAM) 和 的跨帳戶安全稽核 AWS IAM Identity Center
+ 使用 Identity Center 預設目錄進行身分管理
+ 從 AWS CloudTrail Amazon Simple Storage Service (Amazon S3) 中集中記錄和 AWS Config 存放
控制項是為整體 AWS 環境提供持續控管的高階規則。控制項可以是預防性或偵測性。預防性控制是使用服務控制政策 (SCPs) 實作,這是其中的一部分 AWS Organizations。使用 實作偵測控制 AWS Config。 AWS Control Tower 控制項的範例包括:
+ 不允許為根使用者建立存取金鑰
+ 不允許透過 RDP 進行網際網路連線
+ 不允許公開寫入存取 S3 儲存貯體
+ 不允許未連接到 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Elastic Block Store (Amazon EBS) 磁碟區
**注意**
AWS Control Tower 是登陸區域的起點。您需要在建置登陸區域時,根據獨特需求來決定聯網、存取管理和安全性的策略。
## 自訂建置的登陸區域
您可以選擇建置自己的自訂登陸區域解決方案。在此情況下,您會實作基準環境,以開始使用身分和存取管理、控管、資料安全、網路設計和記錄。如果您想要從頭開始建置所有環境元件,或者如果您有只有自訂解決方案可以支援的需求,建議您使用此方法。您必須在 部署解決方案後,擁有足夠的專業知識 AWS 來管理、升級、維護和操作解決方案。
## 建議的方法
建議您從 開始 AWS Control Tower 建置登陸區域。 AWS Control Tower 可協助您建置初始規範性登陸區域組態、使用out-of-the-box控制項和藍圖,以及使用 [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) 建立新帳戶。
在設定期間,您可以從 AWS Control Tower 主控台自訂登陸區域。如需詳細資訊,請參閱 [AWS Control Tower 文件](https://docs.aws.amazon.com/controltower/latest/userguide/customize-landing-zone.html#console-customize)。設定基礎登陸區域之後,請使用下列其中一個選項來進一步增強和自訂它:
+ 使用 Customizations for AWS Control Tower (CfCT),透過 CloudFormation 範本和服務控制政策 (SCPs) 提供廣泛的自訂選項。如需詳細資訊,請參閱 [AWS Control Tower 文件](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-overview.html)。
+ 使用登陸區域加速器 (LZA) 來增強您的登陸區域,以符合合規架構。如需詳細資訊,請參閱 [LZA 實作指南](https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-aws/solution-overview.html)。