先决条件:适用于您的管理账户的自动执行的预启动检查 - AWS Control Tower
AWS IAM Identity Center(IAM 身份中心)客户的注意事项

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

先决条件:适用于您的管理账户的自动执行的预启动检查

在 AWS Control Tower 设置登录区之前,它会在您的账户中自动运行一系列预启动检查。对于这些检查,您无需采取任何操作,这些检查用于确保您的管理账户已准备好做出更改来建立登录区。以下是设置登录区之前 AWS Control Tower 运行的检查:

  • 的现有服务限制AWS 账户必须足以让 AWS Control Tower 启动。有关更多信息,请参阅 AWS Control Tower 中的限制和配额

  • AWS 账户必须订阅以下AWS服务:

    • Amazon Simple Storage Service(Amazon S3)

    • 亚马逊弹性计算云(亚马逊 EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud(Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management(IAM)

    • AWS Lambda

    注意

    默认情况下,所有账户都订阅这些服务。

AWS IAM Identity Center(IAM 身份中心)客户的注意事项

  • 如果已经设置AWS IAM Identity Center(IAM 身份中心),则 AWS Control Tower 主区域必须与 IAM 身份中心区域相同。

  • IAM Identity Center 只能安装在组织的管理账户中。

  • 根据您选择的身份源,有三个选项适用于您的 IAM Identity Center 目录:

    • IAM Identity Center 用户存储功能:如果为 AWS Control Tower 设置了 IAM Identity Center,AWS Control Tower 会在 IAM Identity Center 目录中创建组,并为您选择的用户在成员账户中提供对这些组的访问权限。

    • Active Directory:如果为 AWS Control Tower 的 IAM Identity Center 设置了 Active Directory,则 AWS Control Tower 不会管理 IAM Identity Center 目录。它不会将用户或群组分配给新的AWS账户。

    • 外部身份提供商:如果为 AWS Control Tower 的 IAM Identity Center 设置了外部身份提供商(IdP),AWS Control Tower 会在 IAM Identity Center 目录中创建组,并为您选择的用户在成员账户中提供对这些组的访问权限。在创建账户期间,您可以在账户工厂中指定来自外部 IdP 的现有用户,当 AWS Control Tower 在 IAM Identity Center 和外部 IdP 之间同步同名用户时,AWS Control Tower 会允许该用户访问新创建的账户。您还可以在外部 IdP 中创建组,使其与 AWS Control Tower 中默认群组的名称保持一致。当您将用户分配到这些组时,这些用户将有权访问您注册的账户。

    有关使用 IAM Identity Center 和 AWS Control Tower 的更多信息,请参阅关于 IAM Identity Center 账户和 AWS Control Tower 的注意事项

AWS Config和AWS CloudTrail客户的注意事项

  • AWS 账户无法在组织管理账户中为启用可信访问权限AWS Config。有关如何禁用可信访问的信息,请参阅有关如何启用或禁用可信访问的AWS Organizations文档

  • 如果您计划在 AWS Control Tower 中注册的任何现有账户中已有AWS Config记录器、交付渠道或聚合设置,则在设置了着陆区之后,您必须在开始注册账户之前修改或删除这些配置。此预检查不适用于登录区启动期间的 AWS Control Tower 管理账户。有关更多信息,请参阅 注册拥有现有AWS Config资源的账户

  • 如果您在 AWS Control Tower 中使用账户运行临时工作负载,则可能会看到与 Config 相关的成本增加。AWS有关管理这些成本的更多具体信息,请联系您的AWS客户代表。

  • 当您向 AWS Control Tower 注册账户时,您的账户将受 AWS Control Tower 组织的AWS CloudTrail跟踪管理。如果您已在账户中部署了 CloudTrail 跟踪,则可能会看到重复的费用,除非您在将该账户注册到 AWS Control Tower 之前删除该账户的现有跟踪。有关组织级跟踪和 AWS Control Tower 的信息,请参阅定价

注意

启动时,必须在管理账户中为受 AWS Control Tower 管理的所有区域激活AWS安全令牌服务 (STS) 终端节点。否则,启动可能会在配置过程中半途而废。