本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 什么是 AWS Control Tower?
AWS Control Tower 提供了一种按照规范性最佳实践设置和管理AWS多账户环境的简单方法。AWS Control *Tower 协调*了其他几项[AWS服务的](https://docs.aws.amazon.com//controltower/latest/userguide/integrated-services.html)能力AWS Organizations,包括AWS Service CatalogAWS IAM Identity Center、和,在不到一小时的时间内建立着陆区。资源是代表您设置和管理的。
AWS Control Tower 编排扩展了的功能。AWS Organizations为了帮助确保您的组织和账户不会出现偏移**(即偏离最佳实践),AWS Control Tower 应用控件(有时称为防护机制**)。例如,您可以使用控件来帮助确保创建安全日志和必要的跨账户访问权限,且不会对其进行更改。
如果您要托管多个账户,那么拥有一个便于账户部署和账户管理的编排层会很有帮助。您可以采用 AWS Control Tower 作为预置账户和基础设施的主要方式。借助 AWS Control Tower,您可以更轻松地遵守公司标准、满足监管要求和遵循最佳实践。
AWS Control Tower 使分布式团队中的最终用户能够通过 Account Factory 中的可配置账户模板快速配置新AWS账户。同时,您的中央云管理员可以进行监控,了解是否所有账户都与制定的公司范围内的合规性政策保持一致。
简而言之,AWS Control Tower 基于与数千家企业合作建立的最佳实践,提供了设置和管理安全、合规的多账户AWS环境的最简单方法。有关使用 AWS Control Tower 的更多信息以及AWS多账户策略中概述的最佳实践,请参阅[AWS 多账户策略:最佳实践指南](aws-multi-account-landing-zone.md#multi-account-guidance)。
## 功能
AWS Control Tower 具有以下功能:
+ **登录区**:登录区是一个架构完善的[多账户环境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html#example-workloads-flat-structure),它基于安全性和合规性最佳实践。它是企业范围的容器,用于存放您想要遵守合规性监管的所有组织单位 (OUs)、账户、用户和其他资源。登录区可以扩展以满足任何规模的企业的需求。
+ **控制 — 控件**(有时称为*护栏*)是一条高级规则,可为您的整体AWS环境提供持续的治理。它以简明的语言表达。存在三种控件:预防性控件、检测性控件和主动性控件。******针对各个控件,有以下三类指导:必需、强烈推荐或可选。******有关控件的详细信息,请参阅 [控件的工作原理](how-controls-work.md)。
+ **Account Factory**:Account Factory 是一种可配置的账户模板,有助于通过预先批准的账户配置对新账户进行标准化预置。AWS Control Tower 提供了一个内置的 Account Factory,可帮助您自动执行组织中的账户预置工作流。有关更多信息,请参阅 [使用 Account Factory 预置和管理账户](account-factory.md)。
+ **控制面板**:控制面板可以为中央云管理员团队提供对登录区的持续监督。使用控制面板查看企业中已配置的账户、为策略实施启用的控件、为持续检测策略不合规性而启用的控件,以及按账户和组织的不合规资源。 OUs
## AWS Control Tower 如何与其他AWS服务交互
AWS Control Tower 建立在值得信赖和可靠的AWS服务之上AWS Service Catalog,包括AWS IAM Identity Center、和AWS Organizations。有关更多信息,请参阅 [集成服务](integrated-services.md)。
您可以将 AWS Control Tower 与其他AWS服务整合到一个解决方案中,以帮助您将现有工作负载迁移到AWS。有关更多信息,请参阅[如何利用 AWS Control Tower 以及 CloudEndure 如何将工作负载迁移到AWS](https://aws.amazon.com//blogs/mt/how-to-take-advantage-of-aws-control-tower-and-cloudendure-to-migrate-workloads-to-aws/)。
**配置、治理和可扩展性**
+ *自动账户配置:*AWS Control Tower 通过 Account Factory(或“自动售货机”)自动部署和注册账户,Account Factory 是在AWS Service Catalog中预置产品的基础上作为抽象构建的。Account Factory 可以创建和注册AWS账户,并自动执行对这些账户应用控制和策略的过程。有关创建和预置账户的更多信息,请参阅[预置的方法](https://docs.aws.amazon.com//controltower/latest/userguide/methods-of-provisioning.html)。
+ *集中式治理:*通过利用的功能AWS Organizations,AWS Control Tower 建立了一个框架,确保您的多账户环境中的合规性和监管一致性。该AWS Organizations服务为管理多账户环境提供了基本功能,包括账户的中央治理和管理、账户创建AWS Organizations APIs、服务控制策略 (SCPs) 和资源控制策略 (RCPs)。
+ *可扩展性:*您可以直接在 AWS Control Tower 控制台中工作或在 AWS Control Tower 控制台中AWS Organizations工作来构建或扩展自己的 AWS Control Tower 环境。注册现有组织并将现有账户注册到 AWS Control Tower 后,您可以看到您所做的更改反映在 AWS Control Tower 中。您可以更新您的 AWS Control Tower 登录区,以反映您所做的更改。如果您的工作负载需要更多高级功能,则可以利用其他AWS合作伙伴解决方案以及 AWS Control Tower。
## 您是 AWS Control Tower 的新用户吗?
如果您是此服务的新用户,建议您阅读以下内容:
1. 如果您需要有关如何规划和组织登录区的更多信息,请参阅[规划您的 AWS Control Tower 登录区](planning-your-deployment.md)和[AWS AWS Control Tower 着陆区的多账户策略](aws-multi-account-landing-zone.md)。
1. 如果您已准备好创建您的第一个登录区,请参阅 [开始使用 AWS Control Tower](getting-started-with-control-tower.md)。
1. 有关偏移检测和预防的信息,请参阅 [在 AWS Control Tower 中检测并解决偏移问题](drift.md)。
1. 有关安全性详细信息,请参阅 [AWS Control Tower 中的安全性](security.md)。
1. 有关更新登录区和成员账户的信息,请参阅 [AWS Control Tower 中的配置更新管理](configuration-updates.md)。