本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 关于共享账户
<a name="special-accounts"></a>

三个特殊 AWS 账户 账户与 AWS Control Tower 关联：管理账户、**审计**账户和**日志存档**账户。这些账户通常被称为*共享账户*，有时也被称为*核心账户*。
+  设置登录区时，您可以为审计账户和日志存档账户选择自定义名称。有关更改账户名称的信息，请参阅 [Externally changing AWS Control Tower resource names](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#changing-names)。
+ 在最初的着陆区设置过程中，您还可以将现有账户指定 AWS 账户 为 AWS Control Tower 安全账户或日志账户。此选项使得 AWS Control Tower 无需创建新的共享账户。（这是一次性选择。）

有关共享账户及其关联资源的更多信息，请参阅 [在共享账户中创建的资源](shared-account-resources.md)。

## 管理账户
<a name="mgmt-account"></a>

这将 AWS 账户 启动 AWS Control Tower。默认情况下，该账户的根用户和该账户的 IAM 用户或 IAM 管理员用户拥有对您的登录区内所有资源的完全访问权限。

**注意**  
作为最佳实践，我们建议在 AWS Control Tower 控制台中执行管理功能时以具有**管理员**权限的 IAM Identity Center 用户身份登录，而不是以该账户的根用户或 IAM 管理员用户身份登录。

有关管理账户中可用的角色和资源的更多信息，请参阅 [在共享账户中创建的资源](shared-account-resources.md)。

## 日志存档账户
<a name="log-archive-account"></a>

如果您没有特别携带其他 AWS 帐户，则日志存档共享帐户将在您创建 landing zone 时自动设置。

此账户包含一个中央 Amazon S3 存储桶，用于存储您的着陆区中所有其他账户的副本 AWS CloudTrail 和所有其他账户的 AWS Config 日志文件。作为最佳实践，我们建议限制负责合规和调查的团队及其相关安全或审计工具访问日志存档账户。此账户可用于自动安全审计，也可用于托管自定义 AWS Config 规则函数（例如 Lambda 函数）以执行补救操作。

**Amazon S3 存储桶策略**  
对于 AWS Control Tower 登录区版本 3.3 及更高版本，账户必须满足对审计存储桶的任何写入权限的 `aws:SourceOrgID` 条件。此条件可确保 CloudTrail 只有代表组织内的账户才能将日志写入您的 S3 存储桶；它可以防止组织外部的 CloudTrail 日志写入您的 AWS Control Tower S3 存储桶。有关更多信息，请参阅 [AWS Control Tower 登录区版本 3.3](2023-all.md#lz-3-3)。

有关日志存档账户中可用的角色和资源的更多信息，请参阅 [日志存档账户资源](shared-account-resources.md#log-archive-resources)

**注意**  
无法对这些日志进行更改。存储所有日志的目的都是为了进行与账户活动相关的审计和合规调查。

## 审计账户
<a name="audit-account"></a>

如果您没有专门引入另一个账户，该共享账户将在您创建登录区时自动设置。

审计账户应仅限于安全性与合规性团队，这些团队对登录区中的所有账户具有审计员（只读）和管理员（完全访问权限）跨账户角色。这些角色旨在供安全性与合规性团队用于：
+ 通过 AWS 机制（例如托管自定义 AWS Config 规则 Lambda 函数）执行审计。
+ 执行自动安全操作，例如修正操作。

审计账户还会通过 Amazon Simple Notification Service（Amazon SNS）服务接收通知。可以接收三类通知：
+ **所有配置事件** — 本主题汇总了您的 landing zone 中所有账户的所有 CloudTrail 和 AWS Config 通知。
+ **聚合安全通知**-此主题汇总了来自特定 CloudWatch 事件、合 AWS Config 规则 规性状态变更事件和 GuardDuty 发现的所有安全通知。
+ **偏移通知** - 此主题汇总在您登录区中的所有账户、用户、OU 和 SCP 中发现的所有偏移警告。有关偏移的更多信息，请参阅[在 AWS Control Tower 中检测并解决偏移问题](drift.md)。

在成员账户内触发的审计通知也可以向本地 Amazon SNS 主题发送提醒。此功能允许账户管理员订阅特定于个人成员账户的审计通知。因此，管理员可以解决影响个人账户的问题，同时仍可将所有账户通知汇总到您的集中审计账户。有关更多信息，请参阅 [Amazon Simple Notification Service 开发人员指南](https://docs.aws.amazon.com/sns/latest/dg/)。

有关审计账户中可用的角色和资源的更多信息，请参阅 [审计账户资源](shared-account-resources.md#audit-account-resources)。

有关编程审计的更多信息，请参阅 [Programmatic roles and trust relationships for the AWS Control Tower audit account](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#stacksets-and-roles)。

**重要**  
您为审计账户提供的电子邮件地址会收到来自 AWS Control Tower 支持的每个 AWS 区域 的 **AWS 通知 - 订阅确认**电子邮件。要在您的审计账户中接收合规电子邮件，您必须从 AWS Control Tower AWS 区域 支持的每封电子邮件中选择 “**确认订阅**” 链接。