本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將控管延伸至現有的組織
您可以透過設定登陸區域 (LZ) 將 AWS Control Tower 控管新增至現有組織,如入門中的 AWS Control Tower 使用者指南步驟 2 所述。
以下是在現有組織中設定 AWS Control Tower 登陸區域時預期會發生的情況。
-
每個 AWS Organizations 組織可以有一個登陸區域。
-
AWS Control Tower 會使用現有 AWS Organizations 組織的管理帳戶作為其管理帳戶。不需要新的管理帳戶。
-
AWS Control Tower 在已註冊的 OU 中設定兩個新帳戶:稽核帳戶和記錄帳戶。
-
貴組織的 Service Limits 必須允許建立這兩個額外的帳戶。
-
在您啟動登陸區域或註冊 OU 之後,AWS Control Tower 控制項會自動套用至該 OU 中的所有註冊帳戶。
-
您可以將其他現有 AWS 帳戶註冊到由 AWS Control Tower 管理的 OU,以便控制適用於這些帳戶。
-
您可以在 AWS Control Tower 中新增更多 OUs,也可以註冊現有的 OUs。
若要檢查註冊和註冊的其他先決條件,請參閱 AWS Control Tower 入門。
以下是有關 AWS Control Tower 控制如何不適用於未設定 AWS Control Tower 登陸區域的 AWS 組織中 OUs 的詳細資訊:
-
在 AWS Control Tower Account Factory 外部建立的新帳戶不受已註冊 OU 控制項的約束。
-
在 OUs 中建立但未向 AWS Control Tower 註冊的新帳戶不受控制項約束,除非您特別將這些帳戶註冊到 AWS Control Tower。請參閱註冊現有的 AWS 帳戶以取得註冊帳戶的詳細資訊。
-
除非您單獨註冊 OUs 或註冊帳戶,否則其他現有組織、現有帳戶,以及您在 AWS Control Tower 外部建立的任何新 OU 或任何帳戶,不受 AWS Control Tower 控制約束。
如需如何將 AWS Control Tower 套用至現有 OUs和帳戶的詳細資訊,請參閱 向 AWS Control Tower 註冊現有的組織單位。
如需在現有組織中設定 AWS Control Tower 登陸區域的程序概觀,請參閱下一節中的影片。
注意
在設定期間,AWS Control Tower 會執行預先檢查,以避免常見問題。不過,如果您目前使用的是 AWS 登陸區域解決方案 AWS Organizations,請在嘗試啟用組織中的 AWS Control Tower 來判斷 AWS Control Tower 是否可能干擾您目前的登陸區域部署之前,先向您的 AWS 解決方案架構師確認。此外,如果帳戶不符合先決條件如需將帳戶從一個登陸區域移至另一個登陸區域的資訊,請參閱 。
影片:在現有的 中啟用登陸區域 AWS Organizations
此影片 (7:48) 說明如何在現有 AWS Organizations 結構中設定和啟用 AWS Control Tower 登陸區域。若要獲得更佳的觀賞效果,請選取影片右下角的圖示,將影片放大至全螢幕。並提供字幕。
IAM Identity Center 和現有組織的考量事項
-
如果 AWS IAM Identity Center (IAM Identity Center) 已設定,AWS Control Tower 主區域必須與 IAM Identity Center 區域相同。
-
AWS Control Tower 不會刪除現有的組態。
-
如果已啟用 IAM Identity Center,且如果您使用 IAM Identity Center Directory,AWS Control Tower 會新增許可集、群組等資源,並照常繼續。
-
如果設定了另一個目錄 (外部、AD、Managed AD),AWS Control Tower 不會變更現有的組態。如需詳細資訊,請參閱AWS IAM Identity Center (IAM Identity Center) 客戶的考量事項。
存取其他 AWS 服務
將組織帶入 AWS Control Tower 管理之後,您仍然可以透過主控台和 APIs AWS Organizations AWS Organizations 存取任何可透過 AWS 取得的服務。如需詳細資訊,請參閱相關 AWS 服務。
