本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 对登录区配置方面的期望 设置 AWS Control Tower 登录区的过程分为多个步骤。AWS Control Tower 登录区的某些方面是可以配置的。其他选项一经设置便无法更改。 **设置期间要配置的关键项目** + 您可以在设置期间选择您的顶级 OU 的名称,也可以在设置好登录区后更改 OU 名称。默认情况下,顶层名 OUs为 “**安全**” 和 **“沙盒”**。有关更多信息,请参阅 [设置架构完善的环境的指南](aws-multi-account-landing-zone.md#guidelines-for-multi-account-setup)。 + 设置期间,您可以为 AWS Control Tower 创建的共享账户选择自定义名称(默认情况下,该账户被称为**日志存档**和**审计**),但这些名称一经设置便无法更改。(这是一次性选择。) + 在设置过程中,您可以选择为 AWS Control Tower 指定现有 AWS 账户以用作审计和日志存档账户。如果您计划指定现有 AWS 账户,并且这些账户有现有资源,则必须先删除现有 AWS Config 资源,然后才能将这些账户注册到 AWS Control Tower。 AWS Config (这是一次性选择。) + 如果您是首次设置,或者要升级到着陆区版本 3.0,则可以选择是否允许 AWS Control Tower 为您的组织设置组织级别的 AWS CloudTrail 跟踪,或者您可以选择退出由 AWS Control Tower 管理的跟踪并管理自己的 CloudTrail 跟踪。更新登录区时,您可以随时选择加入或选择退出由 AWS Control Tower 管理的组织级跟踪。 + 在设置或更新登录区时,您可以选择为 Amazon S3 日志存储桶和日志访问存储桶设置自定义的保留策略。 + 您可以选择指定先前定义的*蓝图*,用于从 AWS Control Tower 控制台预置自定义的成员账户。如果您没有可用的蓝图,则可以稍后自定义账户。请参阅[使用 Account Factory Customization(AFC)功能自定义账户](af-customization-page.md)。 **无法撤消的配置选择** + 登录区设置完毕后,您将无法更改主区域。 + 如果您使用配置 Account Factory 账户 VPCs,则创建后 CIDRs 无法更改 VPC。