本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS Organizations 指导 AWS Control Tower 与之密切相关 AWS Organizations。以下是有关它们如何最好地协同工作以保护您的 AWS 环境的一些具体指导。 + 您可以在 AWS Organizations 文档中找到有关保护 AWS Control Tower 管理账户和成员账户安全的最佳实践指南。 + [管理账户的最佳实践](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) + [成员账户的最佳实践](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_member-acct.html) + 请勿更新已在 AWS Control Tower 注册的 OU 上附加的现有服务控制策略 (SCPs)。这样做可能会导致控件进入未知状态,这将要求您重置登录区或在 AWS Control Tower 中重新注册您的 OU。相反,您可以使用创建新内容 SCPs 并将其附加 AWS Organizations 到 AWS Control Tower 创建的 SCPs , OUs 而不是编辑 AWS Control Tower 创建的。 + 将已注册的个人账户从注册 OU 之外移入 AWS Control Tower 会导致偏移,必须加以解决。请参阅[监管偏移的类型](governance-drift.md)。 + 如果您使用 AWS Organizations 在向 AWS Control Tower 注册的组织内创建、邀请或转移账户,则这些账户不会由 AWS Control Tower 注册,也不会记录这些更改。如果您需要通过 SSO 访问这些账户,请参阅[成员账户访问权限](https://aws.amazon.com//premiumsupport/knowledge-center/organizations-member-account-access/)。 + 如果您使用将组织单位移 AWS Organizations 至由 AWS Control Tower 创建的组织,则外部 OU 不会由 AWS Control Tower 注册。 + AWS Control Tower 对权限筛选的处理方式与 AWS Organizations 以前不同。如果您的账户配置了 AWS Control Tower 账户工厂,则最终用户可以在 AWS Control Tower 控制台 OUs 中看到所有账户的姓名和父账户,即使他们无权直接从 AWS Organizations 中检索这些姓名和父项。 + AWS Control Tower 不支持对组织使用混合权限,例如查看 OU 的父项但不查看 OU 名称的权限。因此,AWS Control Tower 管理员需要拥有完全权限。 + 必须应用 AWS Organizations `FullAWSAccess` SCP,不应与其他 SCPs策略合并。对此 SCP 的更改不会被报告为偏移;但是,如果拒绝对某些资源的访问,某些更改可能会以不可预测的方式影响 AWS Control Tower 功能。例如,如果 SCP 被分离或修改,则帐户可能会失去对 AWS Config 录制器的访问权限或在 CloudTrail 日志中造成空白。 + 请勿使用 AWS Organizations `DisableAWSServiceAccess` API 关闭您设置着陆区的组织的 AWS Control Tower 服务访问权限。如果您这样做,某些 AWS Control Tower 偏移检测功能可能无法在没有 AWS Organizations提供的消息支持的情况下正常运行。这些偏移检测功能有助于确保 AWS Control Tower 能够准确报告组织中组织单元、账户和控件的合规状态。有关更多信息,请参阅 [AWS Organizations API 参考API\_DisableAWSServiceAccess中的](https://docs.aws.amazon.com//organizations/latest/APIReference/API_DisableAWSServiceAccess.html)。