本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 如果您在 AWS Control Tower 外部管理資源
<a name="external-resources"></a>

AWS Control Tower 會代表您設定帳戶、組織單位和其他資源，但您是這些資源的擁有者。您可以在 AWS Control Tower 內外變更這些資源。在 AWS Control Tower 之外變更資源的最常見位置是 AWS Organizations 主控台。本主題說明如何在 AWS Control Tower 外部進行變更時，協調 AWS Control Tower 資源的變更。

在 AWS Control Tower 主控台之外重新命名、刪除和移動資源會導致主控台不同步。許多變更都可以自動對帳。某些變更需要重設您的登陸區域，才能更新 AWS Control Tower 主控台中顯示的資訊。

一般而言，您在 AWS Control Tower 主控台外對 AWS Control Tower 資源所做的變更，會在您的登陸區域中建立*可解決的偏離*狀態。如需這些變更的詳細資訊，請參閱[資源的可修復變更](drift.md#repairable-changes-to-resources)。

****需要重設登陸區域的任務****
+ 刪除安全 OU *（特殊情況，不可略微完成。)*
+ 從安全 OU 移除共用帳戶 *（不建議）。*
+ 更新、連接或分離與安全 OU 相關聯的 SCP。

****AWS Control Tower 自動更新的變更****
+ 變更已註冊帳戶的電子郵件地址
+ 重新命名已註冊的帳戶
+ 建立新的最上層組織單位 (OU)
+ 重新命名已註冊的 OU
+ 刪除已註冊的 OU *（安全 OU 除外，這需要更新。)*
+ 刪除已註冊的帳戶 *（安全性 OU 中的共用帳戶除外）。*

**注意**  
AWS Service Catalog 處理變更的方式與 AWS Control Tower 不同。在協調變更時， AWS Service Catalog 可能會在控管狀態中建立變更。如需更新佈建產品的詳細資訊，請參閱 AWS Service Catalog 文件中的[更新佈建產品](https://docs.aws.amazon.com//servicecatalog/latest/userguide/enduser-update.html)。

## 參考 AWS Control Tower 以外的資源
<a name="ungoverned-resources"></a>

當您在 AWS Control Tower 外部建立新的 OUs 和帳戶時，它們不受 AWS Control Tower 管理，即使它們可能顯示。

**建立 OU**

在 AWS Control Tower 外部建立的組織單位 (OUs) 稱為*未註冊*。它們會顯示在**組織**頁面中，但不受 AWS Control Tower 控制。

**建立 帳戶**

在 AWS Control Tower 外部建立的帳戶稱為*未註冊*。屬於向 AWS Control Tower 註冊之 OU 的已註冊和未註冊帳戶會顯示在**組織**頁面中。您可以使用 主控台來邀請 AWS Organizations 不屬於已註冊 OU 的帳戶。此加入邀請不會在 AWS Control Tower 中註冊帳戶，也不會將 AWS Control Tower 控管延伸至帳戶。若要透過註冊帳戶來擴展控管，請前往 AWS Control Tower 中的**組織**頁面或**帳戶詳細資訊**頁面，然後選擇**註冊帳戶**。

## 外部變更 AWS Control Tower 資源名稱
<a name="changing-names"></a>

您可以在 AWS Control Tower 主控台之外變更組織單位 (OUs) 和帳戶的名稱，主控台會自動更新以反映這些變更。

**重新命名 OU**

在 中 AWS Organizations，您可以使用 AWS Organizations API 或 主控台變更 OU 的名稱。當您在 AWS Control Tower 外部變更 OU 名稱時，AWS Control Tower 主控台會自動反映名稱變更。不過，如果您使用 佈建帳戶 AWS Service Catalog，您也必須重設登陸區域，以確保 AWS Control Tower 與 保持一致 AWS Organizations。**重設**工作流程可確保基礎和其他 OUs 服務之間的一致性。您可以從**登陸區域設定**頁面解決此類偏離。請參閱 中的「解決偏離」一節[偵測並解決 AWS Control Tower 中的偏離](drift.md)。

AWS Control Tower 會在 AWS Control Tower 儀表板**的組織**頁面上顯示 OUs 的名稱。您可以查看登陸區域重設操作何時成功。

**重新命名已註冊的帳戶**

每個 AWS 帳戶都有一個顯示名稱，可在 AWS 帳單與成本管理 主控台中由帳戶的根使用者變更。當您重新命名已在 AWS Control Tower 註冊的帳戶時，名稱變更會自動反映在 AWS Control Tower 中。如需變更帳戶名稱的詳細資訊，請參閱 *AWS 帳單使用者指南*中的[管理 AWS 帳戶](https://docs.aws.amazon.com//awsaccountbilling/latest/aboutv2/manage-account-payment.html#manage-account-payment-edit-user-name)。

## 刪除安全 OU
<a name="delete-security-ou"></a>

這種類型的偏離是一種特殊情況。如果您刪除**安全** OU，您會看到錯誤訊息頁面，提示您重設登陸區域。您必須先重設登陸區域，才能在 AWS Control Tower 中採取任何其他動作。
+ 在重設完成 AWS Service Catalog 之前，您將無法在 AWS Control Tower 主控台中執行任何動作，也無法在 中建立任何新帳戶。
+ 您將無法檢視**登陸區域設定**頁面，以查看該頁面的**重設**按鈕。

在這種情況下，登陸區域重設程序會建立新的安全 OU，並將兩個共用帳戶移至新的安全 OU。AWS Control Tower 會將日誌封存和稽核帳戶標記為偏離。相同的程序會解決這些帳戶中的偏離。

**如果您確定必須刪除**安全** OU，以下是您需要知道的事項：**

您必須先確定安全 OU 不包含任何帳戶，才能刪除**安全** OU。具體而言，您必須從 OU 移除日誌封存和稽核帳戶。我們建議您將這些帳戶移至另一個 OU。

**注意**  
在沒有適當考量的情況下，不會執行刪除安全 OU 的動作。如果暫時暫停記錄，且因為某些控制項可能無法強制執行，則此動作可能會引發合規問題。

 如需有關偏離的一般資訊，請參閱 [偵測並解決 AWS Control Tower 中的偏離](drift.md) 中的「解決偏離」。

## 從安全 OU 移除帳戶
<a name="removed-shared-account"></a>

我們不建議您從組織移除任何共用帳戶，或將其移出**安全** OU。如果您不小心移除了共用帳戶，您可以遵循本節中的修復步驟來還原帳戶。
+ **從 AWS Control Tower 主控台內：**若要開始修復程序，請遵循半手動修復步驟。確保您用來存取 AWS Control Tower 主控台的使用者或角色具有執行 的許可`organizations:InviteAccountToOrganization`。如果您沒有此類許可，請遵循同時使用 AWS Control Tower 主控台和 AWS Organizations 主控台的手動修復步驟。
+ **從 AWS Organizations 主控台開始：**此修復程序是稍微較長、完全手動的程序。遵循手動修復步驟時，您將在 AWS Organizations 主控台和 AWS Control Tower 主控台之間切換。使用 時 AWS Organizations，您將需要具有 `AWSOrganizationsFullAccess`受管政策或同等政策的使用者或角色。在 AWS Control Tower 主控台中工作時，您將需要具有`AWSControlTowerServiceRolePolicy`受管政策或同等政策的使用者或角色，以及執行所有 AWS Control Tower 動作的許可 (controltower：\*)。
+ 如果修復步驟未還原帳戶，請聯絡 AWS 支援。

**透過下列方式移除共用帳戶的結果 AWS Organizations：**
+ 帳戶不再受到 AWS Control Tower 強制控制與服務控制政策 (SCPs保護。**結果：***帳戶中 AWS Control Tower 建立的資源可能會修改或刪除。*
+ 帳戶不再位於 AWS Organizations 管理帳戶下。**結果：*** AWS Organizations 管理帳戶的管理員無法再查看帳戶的支出。*
+ 帳戶不再保證由 監控 AWS Config。**結果：*** AWS Organizations 管理帳戶的管理員可能無法偵測資源變更。*
+ 帳戶不再位於組織中。**結果：***AWS Control Tower 更新和重設將會失敗。*

**使用 AWS Control Tower 主控台還原共用帳戶 （半手動程序）**

1. 登入 AWS Control Tower 主控台，網址為 https：//[https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower)。您必須以 IAM 使用者、IAM Identity Center 中的使用者或具有執行 許可的角色身分登入`organizations:InviteAccountToOrganization`。如果您沒有這類許可，請使用本主題稍後所述的手動修復程序。

1. 在已**偵測到的登陸區域偏離**頁面上，選擇**重新邀請**，透過將共用帳戶重新邀請至組織來修復共用帳戶移除。自動產生的電子郵件會傳送至帳戶的電子郵件地址。

1. 接受邀請，將共用帳戶帶回組織。執行以下任意一項：
   + 登入已移除的共用帳戶，然後前往 https：//[https://console.aws.amazon.com/organizations/home\#/invites](https://console.aws.amazon.com/organizations/home#/invites)
   + 如果您有權存取重新邀請帳戶時傳送的電子郵件訊息，請登入已移除的帳戶，然後按一下訊息中的連結以直接導覽至帳戶邀請。
   + 如果移除的共用帳戶不在另一個組織中，請登入帳戶，開啟 AWS Organizations 主控台並導覽至**邀請**。

1. 再次登入管理帳戶，或重新載入已開啟的 AWS Control Tower 主控台。您將看到**登陸區域偏離**頁面。選擇**重設**以修復登陸區域。

1. 等待重設程序完成。

如果修復成功，共用帳戶會顯示為正常狀態和合規。

如果修復步驟未還原帳戶，請聯絡 AWS 支援。

**使用 AWS Control Tower 和 AWS Organizations 主控台還原共用帳戶 （手動修復）**

1. 在 登入 AWS Organizations 主控台[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)。您必須以 IAM 使用者、IAM Identity Center 中的使用者，或具有 `AWSOrganizationsFullAccess` 受管政策或同等身分的角色登入。

1. 邀請共用帳戶回到組織。如需邀請 帳戶之需求、先決條件和程序的相關資訊 AWS Organizations，請參閱*AWS Organizations 《 使用者指南*》中的[邀請 AWS 帳戶到您的組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)。

1. 登入已移除的共用帳戶，然後前往 https：//[https://console.aws.amazon.com/organizations/home\#/invites](https://console.aws.amazon.com/organizations/home#/invites) 接受邀請。

1. 再次登入管理帳戶。

1. 以 `AWSControlTowerServiceRolePolicy`受管政策或同等政策的使用者或角色身分登入 AWS Control Tower 主控台，以及執行所有 AWS Control Tower 動作的許可 (controltower：\*)。

1. 您將看到**登陸區域偏離**頁面，其中包含重設登陸區域的選項。選擇**重設**以修復登陸區域。

1. 等待重設程序完成。

如果修復成功，共用帳戶會顯示為正常狀態和合規。

如果修復步驟未還原帳戶，請聯絡 AWS 支援。

## 自動更新的外部變更
<a name="updated-automatically"></a>

AWS Control Tower 會自動更新您對帳戶電子郵件地址所做的變更，但 Account Factory 不會自動更新。

**變更受控管帳戶的電子郵件地址**

AWS Control Tower 會擷取並顯示主控台體驗所需的電子郵件地址。因此，共用和其他帳戶電子郵件地址會在您變更後更新，並在 AWS Control Tower 中一致顯示。

**注意**  
在 中 AWS Service Catalog，帳戶工廠會顯示您建立佈建產品時在主控台中指定的參數。不過，當帳戶電子郵件地址變更時，不會自動更新原始的帳戶電子郵件地址。這是因為帳戶在概念上包含在佈建的產品中；它與佈建的產品不同。若要更新此數值，您必須更新佈建的產品，而這可能導致控管狀態發生變更。

**套用外部 AWS Config 規則**

AWS Control Tower 會顯示部署到向 AWS Control Tower 註冊之組織單位的所有 AWS Config 規則的合規狀態，包括在 AWS Control Tower 主控台外部啟動的規則。

### 刪除 AWS Control Tower 外部的 AWS Control Tower 資源
<a name="deleting-resources"></a>

您可以在 AWS Control Tower 中刪除 OUs和帳戶，而且不需要採取任何進一步的動作來查看更新。刪除 OU 時會自動更新帳戶工廠，但刪除帳戶時不會自動更新。

**刪除已註冊的 OU （安全 OU 除外）**

 AWS Organizations您可以在其中使用 API 或主控台移除空的組織單位 (OUs)。無法刪除包含帳戶的 OU。

刪除 OU AWS Organizations 時，AWS Control Tower 會收到來自 的通知。它會更新帳戶工廠中的 OU 清單，以便註冊的 OUs 清單保持一致。

**注意**  
在 中 AWS Service Catalog，帳戶工廠已更新，從您可以佈建帳戶的可用 OU 清單中移除已刪除的 OUs。

**從 OU 刪除註冊的帳戶**

當您刪除已註冊的帳戶時，AWS Control Tower 會收到通知並進行更新，以便資訊保持一致。

**注意**  
在 中 AWS Service Catalog，代表受管帳戶的帳戶工廠佈建產品不會更新為刪除帳戶。相反地，佈建的產品會顯示為 `TAINTED` 和錯誤狀態。若要清理，請移至 AWS Service Catalog，選擇已佈建的產品，然後選擇 **Terminate (終止)**。