本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWSControlTowerExecution 角色解释
<a name="awscontroltowerexecution"></a>

`AWSControlTowerExecution` 角色必须存在于所有注册的账户中。它允许 AWS Control Tower 管理您的各个账户，并向审计和日志存档账户报告有关这些账户的信息。

可以通过多种方式将 `AWSControlTowerExecution` 角色添加到账户中，如下所示：
+ 对于安全 OU 中的账户（有时称为*核心账户*），AWS Control Tower 会在初始设置 AWS Control Tower 时创建角色。
+ 对于通过 AWS Control Tower 控制台创建的 Account Factory 账户，AWS Control Tower 会在创建账户时创建此角色。
+ 对于单一账户注册，我们要求客户手动创建角色，然后在 AWS Control Tower 中注册账户。
+ 将监管范围扩展到 OU 时，AWS Control Tower 使用 **StackSet-AWSControl TowerExecutionRole** 在该组织单位的所有账户中创建角色。

**注意**  
当您取消注册账户时，AWS Control Tower 会删除 `AWSControlTowerExecution` 角色，无论该角色是手动创建的还是由 AWS Control Tower 自己创建的，都是如此。

`AWSControlTowerExecution` 角色的目的：
+ `AWSControlTowerExecution` 允许您使用脚本和 Lambda 函数自动创建和注册账户。
+ `AWSControlTowerExecution` 可帮助您配置组织的日志记录，以便每个账户的所有日志都发送到日志记录账户。
+ `AWSControlTowerExecution` 允许您在 AWS Control Tower 中注册个人账户。首先，您必须将 `AWSControlTowerExecution` 角色添加到该账户。有关如何添加角色的步骤，请参阅 [手动将所需的 IAM 角色添加到现有角色 AWS 账户 并进行注册](enroll-manually.md)。

该`AWSControlTowerExecution`角色的工作原理 OUs：

`AWSControlTowerExecution` 角色可确保您选择的 AWS Control Tower 控件自动应用于您组织内每个 OU 中的每个个人账户，以及您在 AWS Control Tower 中创建的每个新账户。因此：
+ 根据 AWS Control Tower [控件](https://docs.aws.amazon.com//controltower/latest/userguide/guardrails.html)所包含的审计和日志记录功能，您可以更轻松地提供合规性和安全性报告。
+ 您的安全性和合规性团队可以验证是否满足所有要求，并且没有发生组织偏移。

有关偏移的更多信息，请参阅 [Detect and resolve drift in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html)。

总而言之，`AWSControlTowerExecution` 角色及其关联策略可让您灵活地控制整个组织的安全性和合规性。因此，发生安全漏洞或违反协议的可能性较小。