本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 术语 下面是您将在 AWS Control Tower 文档中看到的一些术语的简要回顾。 首先,很高兴知道 AWS Control Tower 与该AWS Organizations服务共享许多术语,包括本文档中出现的组织和*组织**单位 (OU)* 这两个术语。 + 有关组织和的更多信息 OUs,请参阅[AWS Organizations术语和概念](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_getting-started_concepts.html)。如果您不熟悉 AWS Control Tower,那么该术语是个不错的起点。 +  [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html)是一项AWS服务,可帮助您在扩展和扩展工作负载时集中管理您的环境AWS。AWS Control Tower 依AWS Organizations靠创建账户、在 OU 级别实施预防性控制以及提供集中账单。 + Ac [AWS count Factory AWS账户](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html)是使用 AWS Control Tower 中的账户工厂配置的账户。有时,大家将 Account Factory 非正式地称为账户的“售卖机”。 + 您的 AWS Control Tower [主AWS区域](https://docs.aws.amazon.com//controltower/latest/userguide/best-practices.html#tips-for-admin-setup)是部署您的 AWS Control Tower 着陆区的区域。您可以在登录区设置中查看您的主区域。 + 利用 [AWS Service Catalog](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/introduction.html),您可以集中管理通用部署的 IT 服务。在本文档中,Account Factor AWS Service Catalog y 用于配置新AWS账户,包括来自自定义蓝图的账户。 + [AWS CloudFormation StackSets](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-concepts.html)是一种扩展堆栈功能的资源,因此您可以通过单个操作和单个模板跨多个账户和地区创建、更新或删除堆栈。 CloudFormation + [堆栈实例](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-concepts.html#stacksets-concepts-stackinstances)是对区域内目标账户中的堆栈的引用。 + [堆栈](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html#w2ab1b5c15b)是您可以作为一个单元管理的AWS资源集合。 + [聚合器](https://docs.aws.amazon.com//config/latest/developerguide/aggregate-data.html)是一种AWS Config资源类型,它从组织内的多个账户和区域收集AWS Config配置和合规性数据,允许您在单个账户中查看和查询这些合规性数据。 + [一致性包](https://docs.aws.amazon.com//config/latest/developerguide/conformance-packs.html)是AWS Config规则和补救措施的集合,可以作为单个实体部署到一个账户和一个区域,也可以部署在整个组织中AWS Organizations。您可以使用一致性包来帮助自定义 AWS Control Tower 环境。有关提供更多详细信息的技术博客,请参阅[相关信息](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#working-existing-organizations)。 + AWS Control Tower 中的[基准](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html)是您可以应用于目标的一组资源和特定配置。最常见的基准目标可能是组织单位(OU)。例如,名为的基准可用于帮助您`AWSControlTowerBaseline`在 AWS Control Tower 上注册。 OUs 在登录区设置和更新期间,基准目标可能是共享账户,也可以是整个登录区的特定设置。 + **蓝图:**蓝图是一种封装了一些元数据的构件,这些元数据描述了在账户中部署的基础架构组件。例如,CloudFormation模板可以用作 AWS Control Tower 账户的蓝图。 + **偏移:**由 AWS Control Tower 安装和配置的资源发生变化。没有偏移的资源可确保 AWS Control Tower 能够正常运行。 + **不合规资源:**违反定义特定侦探控制的AWS Config规则的资源。 + **共享账户:**AWS Control Tower 在设置登录区时自动创建的三个账户之一:管理账户、日志存档账户和审计账户。在设置期间,您可以为日志存档账户和审计账户选择自定义名称。 + **成员账户:**成员账户归属于 AWS Control Tower 组织。您可以在 AWS Control Tower 中注册**或取消注册**该成员账户。当已注册的 OU 同时包含已注册账户和未注册账户时: + 在 OU 上启用(或继承)的预防性控件适用于其中的所有账户,包括未注册的账户。之所以如此 SCPs,是因为预防性控制是通过 RCPS 或声明式策略在 OU 级别而不是账户级别强制执行的。有关更多信息,请参阅AWS Organizations文档中的 [Inheritance for service control policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html)。 + OU 上启用的检测性控件不适用于未注册的账户。 + 主动控制是通过AWS CloudFormation挂钩实现的。这些控件不适用于 OU 中未注册的账户。 一个账户一次只能是一个组织的成员,它所产生的费用将记入该组织的管理账户名下。可以将成员账户移至组织的根容器。 + **AWS账户:**AWS账户充当资源容器和资源隔离边界。AWS账号可以与账单和付款关联。AWS账户与 AWS Control Tower 中的[用户账户(有时称为 IAM 用户账户](https://docs.aws.amazon.com//controltower/latest/userguide/setting-up.html#setting-up-iam))不同。通过 Account Factory 配置过程创建的AWS账户就是账户。AWS也可以通过账户注册或 OU 注册流程将账户添加到 AWS Control Tower。 + **控件:**控件(也称为防护机制**)是一项高级规则,可为您的整个 AWS Control Tower 环境提供持续的管理。每个控件都会强制执行一条规则。通过实施预防性控制 SCPs。Detective 控件是通过AWS Config规则实现的。主动控制是通过CloudFormation挂钩实现的。有关更多信息,请参阅 [控件的工作原理](how-controls-work.md)。 + **控制目录:**AWS Control Tower 控制目录汇总了通过 AWS Control Tower、控制台和 APIs。它以前称为“控件库”。我们将该术语与命名空间 *controlcatalog* 的名称保持一致。 + **登录区:**登录区是一种提供推荐起点的云环境,包括默认账户、账户结构、网络和安全布局等。在登录区中,您可以部署利用您的解决方案和应用程序的工作负载。 + **框架**:框架是特定的监管标准或行业要求。在 Control Catalog 本体中,框架由标准控件表示。有关更多信息,请参阅 Control Catalog [本体概述](https://docs.aws.amazon.com//controlcatalog/latest/userguide/ontology-overview.html)。 + **嵌套 OU:**AWS Control Tower 中的嵌套 OU 是包含在其他 OU 中的 OU。一个嵌套 OU 有且仅有一个父 OU,且每个账户只能是一个 OU 的成员。嵌套 OUs 创建层次结构。当您将策略附加到层次结构 OUs 中的一个时,它会向下流动,并影响其下的所有 OUs 和帐户。AWS Control Tower 中的嵌套 OU 层次结构最多有 5 个等级。 + **父 OU:**层次结构中直接位于当前 OU 上方的 OU。每个 OU 只能有一个父 OU。 + **子 OU:**层次结构中位于当前 OU 之下的任何 OU。一个 OU 可以生很多孩子 OUs。 + **OU 层次结构:**在 AWS Control Tower 中,嵌套层次结构最多 OUs 可以有五个级别。嵌套顺序称为**级别**。层次结构的顶部被指定为**级别 1**。 + **顶级 OU:**顶级 OU 是指直接位于根下的任何 OU,而不是根本身。不应将根视为 OU。 + **受管:**受管区域由 AWS Control Tower 在您的环境中根据您的组织制定的治理策略进行管理和控制。对AWS 区域这些措施进行监测,以遵守最佳做法和组织政策。启用 AWS Control Tower 控件后,您在这些区域中的资源就会受到保护。 + **非受管:**显示**非受管**状态的区域不受 AWS Control Tower 的控制或监控。这些AWS 区域通常不符合 AWS Control Tower 强制执行的相同治理策略。您可以在这些区域创建资源,但是这些资源不受 AWS Control Tower 控制的保护。 + **已拒绝:**被拒绝的区域由 AWS Control Tower 专门屏蔽。在您的 AWS Control Tower 环境中,您无法在这些AWS 区域中预置资源。