使用 Amazon Virtual Private Cloud 设置配置 Account Factory - AWS Control Tower

使用 Amazon Virtual Private Cloud 设置配置 Account Factory

Account Factory 可让您为组织中的账户创建预先批准的基准和配置选项。您可以通过 AWS Service Catalog 配置和预置新账户。

在 Account Factory 页面上,您可以看到组织单元(OU)及其允许列表状态的列表。默认情况下,所有 OU 都在允许列表中,这意味着可以在 OU 下预置账户。您可以为通过 AWS Service Catalog 预置的账户禁用某些 OU。

您可以查看在最终用户预置新账户时可用的 Amazon VPC 配置选项。

在 Account Factory 中配置 Amazon VPC 设置

  1. 作为中央云管理员,使用管理账户中的管理员权限登录 AWS Control Tower 控制台。

  2. 从控制面板左侧,选择 Account Factory 以导航到 Account Factory 网络配置页面。在该页面中,您可以看到显示的默认网络设置。如需编辑,请选择编辑并查看 Account Factory 网络配置设置的可编辑版本。

  3. 您可以根据需要修改默认设置的每个字段。对于最终用户可能创建的所有新 Account Factory 账户,选择您要为其创建的 VPC 配置选项,然后在字段中输入您的设置。

  • 选择已禁用已启用,以在 Amazon VPC 中创建公有子网。默认情况下,禁止可通过 Internet 访问的子网。

    注意

    如果您将 Account Factory VPC 配置设置为在预置新账户时启用公有子网,则 Account Factory 会将 Amazon VPC 配置为创建 NAT 网关。Amazon VPC 将对您的用量计费。有关更多信息,请参阅 VPC 定价

  • 从列表中选择 Amazon VPC 中的最大私有子网数。默认情况下,将选择 1。允许的最大私有子网数为每个可用区 2 个。

  • 输入用于创建账户 VPC 的 IP 地址范围。该值必须采用无类型域间路由 (CIDR) 块的形式(例如默认为 172.31.0.0/16)。对于 Account Factory 为您的账户创建的 VPC,此 CIDR 块会提供子网 IP 地址的整体范围。在您的 VPC 中,将从您指定的范围中自动分配子网,并且这些子网的大小相等。默认情况下,您的 VPC 中的子网不会重叠。但是,在所有预置账户中的 VPC 中的子网 IP 地址范围可以重叠。

  • 在预置账户时,选择一个区域或所有区域来创建 VPC。默认情况下,将选中所有可用区域。

  • 从列表中,选择要在每个 VPC 中为其配置子网的可用区的数目。默认和推荐的数量为 3。

  • 选择保存

您可以设置这些配置选项以创建不包含 VPC 的新账户。请参阅演练