本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 先決條件：管理帳戶的自動化啟動前檢查
<a name="getting-started-prereqs"></a>

在 AWS Control Tower 設定登陸區域之前，它會自動在您的帳戶中執行一系列啟動前檢查。這些檢查不需要採取任何動作，以確保您的管理帳戶已準備好進行建立登陸區域的變更。以下是 AWS Control Tower 在設定登陸區域之前執行的檢查：
+ 的現有服務限制 AWS 帳戶 必須足以讓 AWS Control Tower 啟動。如需詳細資訊，請參閱[AWS Control Tower 中的限制和配額](limits.md)。
+  AWS 帳戶 必須訂閱下列 AWS 服務：
  + Amazon Simple Storage Service (Amazon S3)
  + Amazon Elastic Compute Cloud (Amazon EC2)
  + Amazon SNS
  + Amazon Virtual Private Cloud (Amazon VPC)
  + AWS CloudFormation
  + AWS CloudTrail
  + Amazon CloudWatch
  + AWS Config
  + AWS Identity and Access Management (IAM)
  + AWS Lambda
**注意**  
根據預設，所有帳戶都會訂閱這些服務。

## AWS IAM Identity Center (IAM Identity Center) 客戶的考量事項
<a name="sso-considerations"></a>
+ 如果已設定 AWS IAM Identity Center (IAM Identity Center)，AWS Control Tower 主區域必須與 IAM Identity Center 區域相同。
+ IAM Identity Center 只能安裝在組織的管理帳戶中。
+ 根據您選擇的身分來源，三個選項適用於您的 IAM Identity Center 目錄：
  + **IAM Identity Center 使用者商店**：如果 AWS Control Tower 是使用 IAM Identity Center 設定，AWS Control Tower 會在 IAM Identity Center 目錄中建立群組，並為您選取的使用者佈建對這些群組的存取權。
  + **Active Directory**：如果使用 Active Directory 設定 AWS Control Tower 的 IAM Identity Center，AWS Control Tower 不會管理 IAM Identity Center 目錄。它不會將使用者或群組指派給新 AWS 帳戶。
  + **外部身分提供者**：如果使用外部身分提供者 (IdP) 設定 AWS Control Tower 的 IAM Identity Center，AWS Control Tower 會在 IAM Identity Center 目錄中建立群組，並為您為成員帳戶選取的使用者佈建這些群組的存取權。您可以在帳戶建立期間，從帳戶工廠的外部 IdP 指定現有使用者，而 AWS Control Tower 會在 IAM Identity Center 與外部 IdP 之間同步相同名稱的使用者時，提供該使用者新付費帳戶的存取權。您也可以在外部 IdP 中建立群組，以符合 AWS Control Tower 中預設群組的名稱。當您將使用者指派給這些群組時，這些使用者將可存取您已註冊的帳戶。

   如需使用 IAM Identity Center 和 AWS Control Tower 的詳細資訊，請參閱 [IAM Identity Center 帳戶和 AWS Control Tower 的須知事項](sso.md#sso-good-to-know)

### AWS Config 和 AWS CloudTrail 客戶的考量事項
<a name="config-and-cloudtrail-considerations"></a>
+  AWS 帳戶 無法在組織管理帳戶中啟用受信任存取 AWS Config。如需有關如何停用受信任存取的資訊，請參閱[如何啟用或停用受信任存取 AWS Organizations 的文件](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_integrate_services.html#orgs_how-to-enable-disable-trusted-access)。
+ 如果您計劃在 AWS Control Tower 註冊的任何現有帳戶中有現有的 AWS Config 記錄器、交付管道或彙總設定，您必須在設定登陸區域之後，先修改或移除這些組態，才能開始註冊帳戶。此預先檢查不適用於登陸區域啟動期間的 AWS Control Tower 管理帳戶。如需詳細資訊，請參閱[註冊具有現有 AWS Config 資源的帳戶](existing-config-resources.md)。
+ 如果您從 AWS Control Tower 的帳戶執行暫時性工作負載，您可能會看到與 Config AWS 相關的成本增加。如需管理這些成本的詳細資訊，請聯絡您的 AWS 客戶代表。
+ 當您向 AWS Control Tower 註冊帳戶時，您的帳戶會受 AWS Control Tower 組織的 AWS CloudTrail 追蹤所管理。如果您在帳戶中已有 CloudTrail 追蹤的現有部署，除非您在 AWS Control Tower 中註冊帳戶之前刪除該帳戶的現有追蹤，否則可能會看到重複費用。如需組織層級追蹤和 AWS Control Tower 的資訊，請參閱 [定價](pricing.md)。

**注意**  
啟動時，必須在管理帳戶中啟用 AWS Control Tower 管理的所有區域 AWS 的安全字符服務 (STS) 端點。否則，啟動可能會在組態過程中途發生失敗。