本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 从 AWS Control Tower 控制台进行自定义 要对登录区进行这些自定义,请按照 AWS Control Tower 控制台提供的步骤操作。 **在设置过程中选择自定义名称** + 您可以在设置过程中选择顶级 OU 名称。[你可以 OUs随时使用 AWS Organizations 主机重命名,但是对你的输入进行更改 AWS Organizations 可能会导致可修复 OUs 的漂移。](drift.md) + 您可以选择共享的**审计**和**日志存档**账户的名称,但在设置后无法更改名称。(这是一次性选择)。 **提示** 请记住,在中重命名 OU AWS Organizations 并不能更新 Account Factory 中相应的预配置产品。要自动更新预配置的产品(并避免出现偏移),必须通过 AWS Control Tower 执行 OU 操作,包括创建、删除或重新注册 OU。 **选择 AWS 区域** + 您可以通过选择特定的 AWS 区域进行治理来自定义您的着陆区。按照 AWS Control Tower 控制台中的步骤执行操作。 + 在更新 landing zone 时,你可以选择和取消选择 AWS 区域进行治理。 + 您可以将 “区域拒绝” 控件设置为 “**已启用**” 或 **“未启用”**,并控制用户对非治理 AWS 区域中大多数 AWS 服务的访问权限。 有关 cfCT AWS 区域 在哪些地方有部署限制的信息,请参阅[控件限制](control-limitations.md)。 **通过添加可选控件进行自定义** + 强烈推荐的控件和可选控件都是可选择的,这意味着您可以通过选择要启用的控件,自定义登录区的实施级别。默认情况下,[可选控件](https://docs.aws.amazon.com//controltower/latest/userguide/optional-controls.html)处于未启用状态。 + 利用可选的[数据驻留控件](https://docs.aws.amazon.com//controltower/latest/userguide/data-residency-controls.html),您可以自定义存储数据并允许访问数据的区域。 + 集成 Security Hub CSPM 标准中的可选控件允许您扫描 AWS Control Tower 环境以检查是否存在安全风险。 + 可选的主动控制允许您在 CloudFormation 资源配置之前对其进行检查,以确保新资源符合您环境的控制目标。 **自定义您的 AWS CloudTrail 路线** + 当您将着陆区更新到 3.0 或更高版本时,您可以选择加入或选择退出由 AWS Control Tower 管理的组织级 CloudTrail 路径。每次更新登录区时,您都可以更改这个选择。AWS Control Tower 会在您的管理账户中创建一个组织级跟踪,并且该跟踪会根据您的选择进入活动或非活动状态。着陆区 3.0 不支持账号级别的 CloudTrail 路径;但是,如果您需要这些路径,则可以配置和管理自己的路线。重复跟踪可能会产生额外费用。 **在控制台中创建自定义成员账户** + 您可以从 AWS Control Tower 控制台创建自定义的 AWS Control Tower 成员账户,也可以更新现有的成员账户以添加自定义设置。有关更多信息,请参阅 [使用 Account Factory Customization(AFC)功能自定义账户](af-customization-page.md)。