本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWSControlTowerExecution 角色說明
<a name="awscontroltowerexecution"></a>

所有已註冊的帳戶中都必須存在有 `AWSControlTowerExecution` 角色。它可讓 AWS Control Tower 管理您的個別帳戶，並將其相關資訊報告給您的 Audit and Log Archive 帳戶。

角色`AWSControlTowerExecution`可以透過多種方式新增至 帳戶，如下所示：
+ 對於安全 OU 中的帳戶 （有時稱為*核心帳戶*)，AWS Control Tower 會在初始 AWS Control Tower 設定時建立角色。
+ 對於透過 AWS Control Tower 主控台建立的帳戶工廠帳戶，AWS Control Tower 會在帳戶建立時建立此角色。
+ 對於單一帳戶註冊，我們要求客戶手動建立角色，然後在 AWS Control Tower 中註冊帳戶。
+ 將控管延伸至 OU 時，AWS Control Tower 會使用 **StackSet-AWSControlTowerExecutionRole** 在該 OU 中的所有帳戶中建立角色。

**注意**  
當您取消註冊帳戶時，無論角色是手動建立還是由 AWS Control Tower 本身建立，AWS Control Tower 都會移除該`AWSControlTowerExecution`角色。

`AWSControlTowerExecution` 角色的目的：
+ `AWSControlTowerExecution` 可讓您使用指令碼和 Lambda 函數自動建立和註冊帳戶。
+ `AWSControlTowerExecution` 可協助您設定組織的日誌記錄，以便將每個帳戶的所有日誌傳送至日誌帳戶。
+ `AWSControlTowerExecution` 可讓您在 AWS Control Tower 中註冊個別帳戶。首先，您必須將`AWSControlTowerExecution`角色新增至該帳戶。如需如何新增角色的步驟，請參閱 [手動將必要的 IAM 角色新增至現有 AWS 帳戶 並註冊](enroll-manually.md)。

`AWSControlTowerExecution` 角色如何與 OUs 搭配使用：

此`AWSControlTowerExecution`角色可確保您選擇的 AWS Control Tower 控制項會自動套用至組織中每個 OU 中的每個個別帳戶，以及您在 AWS Control Tower 中建立的每個新帳戶。因此：
+ 您可以根據 AWS Control Tower [控制項](https://docs.aws.amazon.com//controltower/latest/userguide/guardrails.html)所體現的稽核和記錄功能，更輕鬆地提供合規和安全性報告。
+ 您的安全及合規團隊可以確認所有要求都符合，而且沒有發生任何組織偏離。

如需偏離的詳細資訊，請參閱在 [AWS Control Tower 中偵測和解決偏離](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html)。

總而言之，`AWSControlTowerExecution` 角色及其相關政策可讓您彈性地控制整個組織的安全與合規。因此，安全性或通訊協定的違規不太可能發生。