本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
關於 AWS Control Tower AWS 帳戶 中的
AWS 帳戶 是所有擁有資源的容器。這些資源包括帳戶接受的 AWS Identity and Access Management (IAM) 身分,這會決定誰可以存取該帳戶。IAM 身分可以包含使用者、群組、角色等。如需在 AWS Control Tower 中使用 IAM、使用者、角色和政策的詳細資訊,請參閱 AWS Control Tower 中的身分和存取管理。
資源和帳戶建立時間
當 AWS Control Tower 建立或註冊帳戶時,它會部署帳戶所需的最低資源組態。例如,它可能包含 Account Factory 範本形式的資源,以及登陸區域中的其他資源,例如 IAM 角色、 AWS CloudTrail 通道、Service Catalog 佈建產品,以及 IAM Identity Center 使用者。AWS Control Tower 也會根據控制組態的要求,針對新帳戶目的地為成員帳戶的組織單位 (OU) 部署資源。
AWS Control Tower 會代表您協調這些資源的部署。每個資源可能需要幾分鐘才能完成部署,因此請在建立或註冊帳戶之前考慮總時間。如需管理帳戶中資源的詳細資訊,請參閱 建立和修改 AWS Control Tower 資源的指引。
AWS Control Tower 建立帳戶時會發生什麼情況
AWS Control Tower 中的新帳戶是透過 AWS Control Tower 之間的互動建立並佈建 AWS Organizations,以及 AWS Service Catalog。您可以從 AWS Control Tower 主控台建立帳戶並註冊現有帳戶。如需 AWS 帳戶 使用 AWS Control Tower 主控台註冊現有 的詳細步驟,請參閱 從 AWS Control Tower 主控台註冊現有帳戶。
帳戶建立的幕後
-
例如,您可以從 AWS Control Tower 帳戶工廠頁面,或直接從 AWS Service Catalog 主控台,或呼叫 Service Catalog
ProvisionProductAPI 來啟動請求。 -
AWS Service Catalog 會呼叫 AWS Control Tower。
-
AWS Control Tower 會開始工作流程,第一步是呼叫 AWS Organizations
CreateAccountAPI。 -
AWS Organizations 建立帳戶後,AWS Control Tower 會透過套用藍圖和控制項來完成佈建程序。
-
Service Catalog 會繼續輪詢 AWS Control Tower,以檢查佈建程序是否完成。
-
當 AWS Control Tower 中的工作流程完成時,Service Catalog 會完成帳戶的狀態,並通知您 (申請者) 結果。
攜帶現有安全或記錄帳戶的考量事項
接受 AWS 帳戶 做為安全 (預設名稱:稽核) 或記錄 (預設名稱:日誌封存) 帳戶之前,AWS Control Tower 會檢查帳戶是否有與 AWS Control Tower 需求衝突的資源。例如,您可能有一個記錄儲存貯體,其名稱與 AWS Control Tower 要求的名稱相同。此外,AWS Control Tower 會驗證帳戶是否可以佈建資源;例如,透過確保已啟用 AWS Security Token Service (AWS STS)、帳戶未暫停,以及 AWS Control Tower 具有在帳戶中佈建資源的許可。
AWS Control Tower 不會移除您提供的日誌和安全帳戶中的任何現有資源。不過,如果您選擇啟用此功能,AWS Control Tower 區域拒絕控制會防止存取遭拒區域中的資源。
