本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 关于创建和修改 AWS Control Tower 资源的指南 我们建议您在 AWS Control Tower 中创建和修改资源时采用以下最佳实践。在更新服务时,本指南可能会发生变化。请记住,[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于您的 AWS Control Tower 环境。 **一般指南** + 请勿修改或删除 AWS Control Tower 创建的任何资源,包括管理账户、共享账户和成员账户中的资源。如果您修改这些资源,则可能需要更新登录区或重新注册 OU,而修改可能会导致合规性报告不准确。 **具体而言:** + 保持活跃的 AWS Config 录音机。如果您删除 Config 记录器,则检测性控件将无法检测和报告偏移。由于信息不足,不合规资源可能会被报告为**合规**。 + 请勿修改或删除在安全组织单位 AWS Identity and Access Management (OU) 的共享账户中创建的 (IAM) 角色。修改这些角色可能会要求您更新登录区。 + 请勿从您的成员账户中删除 `AWSControlTowerExecution` 角色,即使是未注册的账户。否则,您将无法向 AWS Control Tower 注册这些账户,也无法注册其直系父账户 OUs。 + 请勿禁止 AWS 区域 通过 SCPs 或 AWS Security Token Service (AWS STS) 使用任何一个。这样做会导致 AWS Control Tower 进入未定义状态。如果您不允许使用区域 AWS STS,则您在这些区域中的功能将失败,因为在这些区域中将无法进行身份验证。取而代之的是,依靠 AWS Control Tower 区域[拒绝功能(如控件所示) AWS 区域、“ AWS 根据请求拒绝访问](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html)”(适用于着陆[区域级别)或应用于 OU 的控制区域拒绝控制](https://docs.aws.amazon.com//controltower/latest/userguide/ou-region-deny.html)(在 OU 级别起作用以限制对区域的访问)。 + 必须应用 AWS Organizations `FullAWSAccess` SCP,不应与其他 SCPs策略合并。对此 SCP 的更改不会被报告为偏移;但是,如果拒绝对某些资源的访问,某些更改可能会以不可预测的方式影响 AWS Control Tower 功能。例如,如果 SCP 被分离或修改,则帐户可能会失去对 AWS Config 录制器的访问权限或在 CloudTrail 日志中造成空白。 + 请勿使用 AWS Organizations `DisableAWSServiceAccess` API 关闭您设置着陆区的组织的 AWS Control Tower 服务访问权限。如果您这样做,某些 AWS Control Tower 偏移检测功能可能无法在没有 AWS Organizations提供的消息支持的情况下正常运行。这些偏移检测功能有助于确保 AWS Control Tower 能够准确报告组织中组织单元、账户和控件的合规状态。有关更多信息,请参阅 [AWS Organizations API 参考API\$1DisableAWSServiceAccess中的](https://docs.aws.amazon.com//organizations/latest/APIReference/API_DisableAWSServiceAccess.html)。 + 通常,AWS Control Tower 一次执行一项操作,必须先完成该操作,然后另一项操作才会开始。例如,如果您在启用控件的过程中尝试预置账户,则账户预置将失败。 **例外:** + AWS Control Tower 允许并发操作部署可选控件。有关更多信息,请参阅[可选控件的并发部署](https://docs.aws.amazon.com//controltower/latest/userguide/enable-controls-on-ou.html#concurrent-optional-controls)。 + AWS Control Tower 允许使用 Account Factory 对账户执行多达十个并发创建、更新或注册操作。 **注意** 有关 AWS Control Tower 所创建资源的更多信息,请参阅 [什么是共享账户?](what-shared.md)。 **有关账户的提示和 OUs** + 建议将每个注册 OU 的账户数限制在 1000 个以内,以便在需要更新账户(如配置新的监管区域)时,使用**重新注册 OU** 功能更新这些账户。 + 为缩短注册 OU 所需的时间,我们建议将每个 OU 的账户数控制在 680 个左右,尽管每个 OU 的上限是 1000 个账户。一般来说,注册一个 OU 所需的时间会根据 OU 运行所在区域的数量乘以 OU 中账户的数量而增加。 + 据估计,一个拥有 680 个账户的 OU 可能需要长达 2 小时才能注册和启用控件,最多需要 1 小时才能重新注册。此外,具有多个控件的 OU 比控件较少的 OU 需要更长的注册时间。 + 允许在更长的时间内注册 OU 的一个问题是,此过程会阻止其他操作。有些客户愿意允许更长的时间来注册或重新注册 OU,因为他们更希望在每个 OU 中允许更多的账户。