本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立登陸區域
<a name="create-landing-zone"></a>

*登陸區域*是架構良好的多帳戶 AWS 環境，是您可以從中部署工作負載和應用程式的起點。它會提供一種基準，以便開始使用多帳戶架構、身分管理和存取管理、控管、資料安全、網路設計和日誌。[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 是一項服務，它透過提供自動化防護機制來簡化多帳戶環境的維護和控管。一般而言，您會佈建單一 AWS Control Tower 登陸區域，透過在您的 AWS 服務 帳戶中協調其他 來管理您在 all AWS 區域. AWS Control Tower works 的環境。如需詳細資訊，請參閱[設定登陸區域 （文件） 時會發生的情況](https://docs.aws.amazon.com/controltower/latest/userguide/how-control-tower-works.html#how-it-works-setup)。AWS Control Tower 

當您使用 設定登陸區域時 AWS Control Tower，您可以識別三個共用帳戶：管理帳戶、日誌封存帳戶和稽核帳戶。如需詳細資訊，請參閱[什麼是共用帳戶 ](https://docs.aws.amazon.com/controltower/latest/userguide/how-control-tower-works.html#what-shared)(AWS Control Tower 文件）。對於管理帳戶，必須使用未託管任何工作負載的現有帳戶來設定登陸區域。對於日誌封存和稽核帳戶，您可以選擇重複使用現有帳戶 AWS 帳戶，也可以為您 AWS Control Tower 建立這些帳戶。

如需如何設定 AWS Control Tower 登陸區域的指示，請參閱[入門 ](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)(AWS Control Tower 文件）。

## 最佳實務
<a name="landing-zone-best-practices"></a>
+ 遵循[多帳戶策略的設計原則 ](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/design-principles-for-your-multi-account-strategy.html)(AWS 白皮書） 中的最佳實務。
+ 遵守[管理員的 AWS Control Tower 最佳實務 ](https://docs.aws.amazon.com/controltower/latest/userguide/best-practices.html)(AWS Control Tower 文件）。
+ 在 AWS 區域 託管大部分工作負載的 中建立登陸區域。
**重要**  
如果您決定在部署登陸區域之後變更此區域，則需要 的協助 AWS 支援，而且必須停用登陸區域。不建議採用這種做法。
+ 判斷 AWS Control Tower 要管理的區域時，請僅選取您預期立即部署工作負載的區域。可以變更這些區域或稍後新增更多區域。如果 AWS Control Tower 管理某個區域，它會將其偵測護欄部署到該區域中，做為 [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)。
+ 決定 AWS Control Tower 要管理哪些區域之後，請拒絕存取所有不受控管的區域。這有助於確保您的工作負載和開發人員只能使用已批准的 AWS 區域。這在組織中將實作為服務控制政策 (SCP)。如需詳細資訊，請參閱[設定 AWS 區域 拒絕控制 ](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html)(AWS Control Tower 文件）。
+ 在 中設定登陸區域時 AWS Control Tower，建議您重新命名下列 OUs和帳戶：
  + 建議您將 **Security** OU 重新命名為 **Security\$1Prod**，表明此 OU 將用於生產安全相關 AWS 帳戶。
  + 我們建議您允許 AWS Control Tower 建立額外的 OU，然後將其從**沙盒**重新命名為**工作負載**。在下一節中，您可以在**工作負載** OU 中建立其他 OU，用來組織您的 AWS 帳戶。
  + 建議您將 **Log Archive** AWS 帳戶 的集中式記錄重新命名為 **log-archive-prod**。
  + 建議將稽核帳戶從**稽核**重新命名為為 **security-tooling-prod**。
+ 為了協助防止詐騙， AWS 需要 AWS 帳戶 有使用歷史記錄，才能將其新增至 AWS Control Tower 登陸區域。如果您使用的是 AWS 帳戶 沒有任何使用歷史記錄的新 ，您可以在新帳戶中啟動不在 AWS 免費方案中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。讓執行個體執行幾分鐘，然後將其終止。