本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Control Tower 中的巢狀 OUs
<a name="nested-ous"></a>

本章列出在 AWS Control Tower 中使用巢狀 OUs 時，您要注意的期望和考量事項。在大多數情況下，使用巢狀 OUs 與使用平面 OU 結構相同。**註冊**和**重新註冊**功能可與巢狀 OUs 搭配使用，但本章所述的變更行為除外。

## 影片演練
<a name="nested-ou-video"></a>

此影片 (4：46) 說明如何管理 AWS Control Tower 中的巢狀 OU 部署。若要獲得更佳的觀賞效果，請選取影片右下角的圖示，將影片放大至全螢幕。並提供字幕。

[![AWS Videos](http://img.youtube.com/vi/zisI5ZNO2kk/0.jpg)](http://www.youtube.com/watch?v=zisI5ZNO2kk)


如需巢狀 OUs 和登陸區域的最佳實務指引，請參閱部落格文章[使用巢狀 OUs 組織 AWS Control Tower 登陸區域](https://aws.amazon.com/blogs//mt/organizing-your-aws-control-tower-landing-zone-with-nested-ous/)。

## 從平面 OU 結構擴展到巢狀 OU 結構
<a name="flat-to-nested"></a>

如果您使用平面 OU 結構建立 AWS Control Tower 登陸區域，您可以將它擴展到巢狀 OU 結構。

**此程序有四個主要步驟：**

1. 在 AWS Control Tower 中建立所需的巢狀 OU 結構。

1. 前往 AWS Organizations 主控台，並使用其大量移動功能，將帳戶從來源 OU （平面） 移至目的地 OU （巢狀）。以下是方法：

   1. 移至您要從中移動帳戶的 OU。

   1. 選取 OU 中的所有帳戶。

   1. 選擇**移動**。
**注意**  
此步驟必須在 AWS Organizations 主控台的 中完成，因為 AWS Control Tower 沒有**移動**功能。

1. 前往 AWS Control Tower 中的巢狀 OU，然後**註冊**或**重新註冊**。巢狀 OU 中的所有帳戶都會註冊。
   + 如果您在 AWS Control Tower 中建立 OU，請**重新註冊** OU。
   + 如果您已在 中建立 OU AWS Organizations，請第一次**註冊** OU。

1. 移動並註冊帳戶後，請從 AWS Organizations 主控台或從 AWS Control Tower 主控台刪除空的頂層 OU。

## 巢狀 OU 註冊預先檢查
<a name="nested-ou-prechecks"></a>

為了支援成功註冊您的巢狀 OUs 及其成員帳戶，AWS Control Tower 會執行一系列的預先檢查。這些相同的預先檢查會在註冊任何頂層 OU 或巢狀 OU 時執行。如需詳細資訊，請參閱[註冊或重新註冊期間失敗的常見原因](https://docs.aws.amazon.com//controltower/latest/userguide/common-eg-failures.html)。
+ 如果所有預先檢查都通過，AWS Control Tower 會自動開始註冊您的 OU。
+ 如果任何預先檢查失敗，AWS Control Tower 會停止註冊程序，並提供您必須先修正的項目清單，才能註冊 OU。

## 巢狀 OUs和角色
<a name="nested-ous-and-roles"></a>

AWS Control Tower 會將`AWSControlTowerExecution`角色部署到目標 OU 下的帳戶，以及巢狀到目標 OUs 下所有 OU 中的帳戶，即使您的意圖是只註冊目標 OU。此角色會針對具有 `AWSControlTowerExecution`角色的任何帳戶，授予管理帳戶**管理員**許可的任何使用者。角色可用來執行 AWS Control Tower 控制項通常不允許的動作。

您可以從不打算註冊的未註冊帳戶中刪除此角色。如果您刪除此角色，則無法向 AWS Control Tower 註冊帳戶，或註冊直接父系 OUs，除非您將角色還原到帳戶。若要從帳戶刪除`AWSControlTowerExecution`角色，您必須在`AWSControlTowerExecution`角色下登入，因為不允許其他 IAM 主體刪除 AWS Control Tower 管理的角色。

如需如何限制角色存取的資訊，請參閱[角色信任關係的選用條件](https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html)。

## 巢狀 OUs 和帳戶註冊和重新註冊期間會發生什麼情況
<a name="nested-ous-and-accounts"></a>

當您註冊或重新註冊巢狀 OU 時，AWS Control Tower 會註冊目標 OU 的所有未註冊帳戶，並更新所有已註冊的帳戶。以下是預期事項。

**AWS Control Tower 會執行下列任務**
+ 將`AWSControlTowerExecution`角色新增至此 OU 下的所有未註冊帳戶，以及其巢狀 OUs 中的所有未註冊帳戶。
+ 註冊未註冊的成員帳戶。
+ 重新註冊已註冊的成員帳戶。
+ 為新註冊的成員帳戶建立 IAM Identity Center 登入。
+ 更新現有的已註冊成員帳戶，以反映您的登陸區域變更。
+ 更新為此 OU 及其成員帳戶設定的控制項。

## 巢狀 OU 註冊的考量事項
<a name="nested-ou-registration"></a>
+ 您無法在核心 OU （安全 OU) 下註冊 OU。
+ 巢狀 OUs 必須分別註冊。
+ 除非其父 OU 已註冊，否則您無法註冊 OU。
+ 您無法註冊 OU，除非樹狀結構中所有較高的 OUs 都已成功註冊 （有些可能已刪除）。
+ 您可以註冊處於偏離較高 OU 下的 OU，但該動作無法修復偏離。

## 巢狀 OU 限制
<a name="nested-ou-limitations"></a>
+ OUs最多可巢狀至根目錄深處 5 個層級。
+ 目標 OUs 下的巢狀 OU 必須分別註冊或重新註冊。
+ 如果目標 OU 位於階層中的層級 2 或以下，也就是說，如果不是頂層 OU，則在此 OU 及其下的所有 OUs 上會自動強制執行在較高 OUs 上啟用的預防性控制。
+ OU 註冊失敗不會傳播階層樹狀結構。您可以在父系的 OUs 詳細資訊頁面上查看巢狀 OU 狀態的詳細資訊。
+ OU 註冊失敗不會向下傳播階層樹狀結構。
+ AWS Control Tower 不會修改任何新帳戶或現有帳戶的 VPC 設定。

## 巢狀 OUs和合規
<a name="nested-ou-compliance"></a>

從 AWS Control Tower 主控台，您可以在**組織**頁面中檢視不合規OUs 和帳戶，以便大規模了解合規。

**巢狀 OUs 和帳戶的合規考量**
+ OU 的合規不是根據其下巢狀 OUs 的合規來確定的。
+ 控制項的合規狀態是根據啟用控制項的所有 OUs 來計算，包括巢狀 OUs。請參閱 [OUs和帳戶的 AWS Control Tower 合規狀態](https://docs.aws.amazon.com//controltower/latest/userguide/compliance-statuses.html)。
+ OU 只有在帳戶不合規時才會顯示為不合規，無論 OU 在 OU 階層中的位置為何。
+ 如果巢狀 OU 不合規，其父 OU 不會自動視為不合規。
+ 在 **OU 詳細資訊**或**帳戶詳細資訊**頁面上，您可以檢視可能導致您的 OUs或帳戶顯示不合規狀態的不合規資源清單。

## 巢狀 OUs和漂移
<a name="nested-ous-and-drift"></a>

在某些情況下，偏離可能會阻止巢狀 OUs 的註冊。

**漂移和巢狀 OUs 的預期**
+ 您可以在具有漂移父OUs 上啟用控制項，但不能直接在漂移OUs 上啟用控制項。
+ 您可以啟用偏離 OU 下的偵測性控制，只要它不是頂層偏離 OU。
+ 強制控制項僅在頂層 OUs 上啟用。當您註冊巢狀 OU 時，會略過強制性控制項。
+ 一項強制性控制可保護 AWS Config 資源；因此，該控制必須處於非偏離狀態，才能註冊巢狀 OUs。如果漂移，AWS Control Tower 會封鎖巢狀 OUs 的註冊。
+ 如果頂層 OU 處於偏離中，則保護 AWS Config 資源的控制項可能處於偏離中。在這種情況下，AWS Control Tower 會封鎖任何需要建立或更新 AWS Config 資源的動作，包括偵測控制項的應用。

## 巢狀 OUs和控制項
<a name="nested-ous-and-controls"></a>

當您在已註冊的 OU 上啟用控制項時，預防性和偵測性控制項有不同的行為。對於巢狀 OUs，主動控制的行為類似於偵測性控制。

**預防性控制**
+ 在巢狀 OUs 上強制執行預防性控制。
+ 強制預防性控制會在 OU 及其巢狀 OUs 下的所有帳戶上執行。
+ 預防性控制會影響目標 OUs 下巢狀化的所有帳戶和 OU，即使這些帳戶和 OUs 未註冊也一樣。

**Detective 和主動控制**
+ 巢狀 OUs不會自動繼承偵測或主動控制；這些控制必須單獨啟用。
+ Detective 和主動控制只會部署到登陸區域操作區域中的註冊帳戶。

**啟用的控制狀態和繼承**

 您可以在 OU **詳細資訊頁面上檢視每個 OU** 的繼承控制項。

**提示**  
您可以使用控制繼承來協助保持在 OU 的 SCP 配額內。例如，您可以在 OU 階層的最上層 OU 啟用控制項，而不是直接為巢狀 OU 啟用 。

**繼承狀態**
+ 狀態**繼承**表示控制項僅由繼承啟用，且尚未直接套用至 OU。
+ 狀態**已啟用**表示此 OU 上強制執行控制項，無論其在其他 OUs 上的狀態為何。
+ 狀態**失敗**表示不在此 OU 上強制執行控制項，無論其在其他 OUs 上的狀態為何。

**注意**  
狀態**繼承**表示控制項已套用至樹狀目錄中較高的 OU，並且在此 OU 上強制執行，但未直接新增至此 OU。

**如果您的登陸區域不是目前版本**  
 **啟用控制項**表格中的每一列代表一個個別 OU 上已啟用的控制項。

## 巢狀 OUs和根目錄
<a name="nested-ous-and-root"></a>

根不是 OU，而且無法註冊或重新註冊。您也無法直接在根目錄中建立帳戶。根不能不合規或具有生命週期狀態，例如*已註冊*或*偏離*。

不過，根是所有帳戶和 OUs 的最上層容器。在巢狀 OUs 的內容中，它是所有其他 OUs 巢狀化所在的節點。