本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Control Tower 中的聯網
<a name="networking"></a>

AWS Control Tower 提供透過 VPCs聯網的基本支援。

如果 AWS Control Tower VPC 的預設組態或功能不符合您的需求，您可以使用其他 AWS 服務來設定 VPC。如需如何使用 VPCs和 AWS Control Tower 的詳細資訊，請參閱[建置可擴展且安全的多 VPC AWS 網路基礎設施](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf)。

AWS Control Tower 透過雙堆疊 IP 地址支援 IPv4 和 IPv6 通訊協定。如需詳細資訊，請參閱 [AWS Control Catalog 端點和配額](https://docs.aws.amazon.com//general/latest/gr/controlcatalog.html)，以及 [AWS Control Tower 端點和配額](https://docs.aws.amazon.com//general/latest/gr/controltower.html)。

**相關主題**
+ 如需有關當您註冊具有現有 VPCs 的帳戶時 AWS Control Tower 如何運作的資訊，請參閱 [使用 VPCs 註冊現有帳戶](enroll-account.md#enroll-existing-accounts-with-vpcs)。
+ 透過 Account Factory，您可以佈建包含 AWS Control Tower VPC 的帳戶，也可以在沒有 VPC 的情況下佈建帳戶。如需如何刪除 AWS Control Tower VPC 或設定不含 VPC 的 AWS Control Tower 帳戶的詳細資訊，請參閱 [逐步解說：設定沒有 VPC 的 AWS Control Tower](configure-without-vpc.md)。
+ 如需有關如何變更 VPCs 帳戶設定的資訊，請參閱更新[帳戶的帳戶工廠文件](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html#configuring-account-factory-with-VPC-settings)。
+ 如需在 AWS Control Tower 中使用聯網和 VPCs 的詳細資訊，請參閱本*使用者指南**相關資訊*頁面上[的聯網](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#networking)一節。

## AWS Control Tower 中的 VPCs 和 AWS 區域
<a name="vpcs-and-regions"></a>

作為帳戶建立的標準部分， 會在每個區域中 AWS 建立 AWS預設 VPC，即使您不是使用 AWS Control Tower 管理的區域也是如此。此預設 VPC 與 AWS Control Tower 為佈建帳戶建立的 VPC 不同，但非受管區域中 AWS 的預設 VPC 可供 IAM 使用者存取。

管理員可以啟用區域拒絕控制，因此您的最終使用者沒有許可，無法連線到 *AWS Control Tower 支援*但受管區域以外的區域中的 VPC。若要設定區域拒絕控制項，請前往**登陸區域設定**頁面，然後選取**修改設定**。

區域拒絕控制會封鎖對非受管 中大多數 服務的 API 呼叫 AWS 區域。如需詳細資訊，請參閱[AWS 根據請求拒絕對 的存取 AWS 區域。](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html)

**注意**  
區域拒絕控制可能不會阻止 IAM 使用者連線到 AWS 不支援 AWS Control Tower 的區域中的預設 VPC。

或者，您可以移除非受管區域中 AWS 的預設 VPCs。若要列出區域中的預設 VPC，您可以使用類似此範例的 CLI 命令：

```
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true
```

# AWS Control Tower 和 VPCs概觀
<a name="vpc-concepts"></a>

以下是有關 AWS Control Tower VPCs的一些基本事實：
+ 當您在帳戶工廠中佈建帳戶時，AWS Control Tower 建立的 VPC 與 AWS 預設 VPC 不同。
+ 當 AWS Control Tower 在支援 AWS 的區域設定新帳戶時，AWS Control Tower 會自動刪除預設 AWS VPC，並設定 AWS Control Tower 設定的新 VPC。
+ 每個 AWS Control Tower 帳戶都可以有一個由 AWS Control Tower 建立的 VPC。帳戶可以在帳戶限制內擁有額外的 AWS VPCs。
+ 每個 AWS Control Tower VPC 在所有區域中都有三個可用區域，美國西部 （加利佛尼亞北部） 區域除外`us-west-1`，以及 中的兩個可用區域`us-west-1`。根據預設，各可用區域會指派一個公有子網路和兩個私有子網路。因此，在美國西部 （加利佛尼亞北部） 以外的區域中，每個 AWS Control Tower VPC 預設包含九個子網路，分為三個可用區域。在美國西部 （加利佛尼亞北部），六個子網路分為兩個可用區域。
+ AWS Control Tower VPC 中的每個子網路都會指派一個大小相等的唯一範圍。
+ VPC 中的子網路數量可以設定。如需如何變更 VPC 子網路組態的詳細資訊，請參閱 [Account Factory 主題](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html)。
+ 由於 IP 地址不重疊，因此 AWS Control Tower VPC 內的六個或九個子網路可以不受限制的方式互相通訊。

使用 VPCs 時，AWS Control Tower 在區域層級沒有區別。每個子網路都是從您指定的確切 CIDR 範圍配置。VPC 子網路可以存在於任何區域。

**備註**

**管理 VPC 成本**  
如果您設定帳戶工廠 VPC 組態，以便在佈建新帳戶時啟用公有子網路，帳戶工廠會將 VPC 設定為建立 NAT 閘道。Amazon VPC 將向您收取您的使用費用。

**VPC 和控制設定**  
如果您在啟用 VPC 網際網路存取設定的情況下佈建 Account Factory 帳戶，該 Account Factory 設定會覆寫控制項 [不允許客戶管理之 Amazon VPC 執行個體的網際網路存取](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access)。若要避免啟用新佈建帳戶的網際網路存取，您必須在 Account Factory 中變更 設定。如需詳細資訊，請參閱[逐步解說：不使用 VPC 設定 AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)。

# VPC 和 AWS Control Tower 的 CIDR 和對等互連
<a name="vpc-ct-cidr"></a>

本節主要供網路管理員使用。您公司的網路管理員通常是為您的 AWS Control Tower 組織選取整體 CIDR 範圍的人員。網路管理員之後會因特定目的，從該範圍內配置子網路。

當您為 VPC 選擇 CIDR 範圍時，AWS Control Tower 會根據 RFC 1918 規格驗證 IP 地址範圍。Account Factory 允許 CIDR 區塊高達 ，範圍`/16`為：
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10` （只有當您的網際網路供應商允許使用此範圍時）

`/16` 分隔符號允許多達 65,536 個不同的 IP 位址。

您可以從下列範圍指派任何有效的 IP 位址：
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255` （沒有超出 `192.168` 範圍的 IP）

如果您指定的範圍超出這些範圍，AWS Control Tower 會提供錯誤訊息。

預設 CIDR 範圍為 `172.31.0.0/16`。

當 AWS Control Tower 使用您選取的 CIDR 範圍建立 VPC 時，它會針對您在組織單位 (OU) 內建立的每個帳戶，將*相同的 CIDR 範圍指派給每個 VPC*。由於 IP 地址的預設重疊，此實作最初不允許在 OU 中的任何 AWS Control Tower VPCs 之間對等互連。

**子網路**

在每個 VPC 中，AWS Control Tower 會將您指定的 CIDR 範圍平均分成九個子網路 （美國西部 （加利佛尼亞北部） 除外，其中六個子網路）。VPC 內沒有任何子網路重疊。因此，它們都可以在 VPC 中互相通訊。

總而言之，根據預設，VPC 內的子網路通訊不受限制。必要時，控制 VPC 子網路之間通訊的最佳實務，就是使用定義允許之流量的規則設定存取控制清單。使用安全群組來控制特定執行個體之間的流量。如需在 AWS Control Tower 中設定安全群組和防火牆的詳細資訊，請參閱[逐步解說：使用 AWS Firewall Manager 在 AWS Control Tower 中設定安全群組](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html)。

**對等互連**

AWS Control Tower 不會限制多個 VPC-to-VPC VPCs對等互連。不過，根據預設，所有 AWS Control Tower VPCs都有相同的預設 CIDR 範圍。若要支援對等互連，您可以在 Account Factory 的設定中修改 CIDR 範圍，讓 IP 地址不會重疊。

如果您在 Account Factory 的設定中變更 CIDR 範圍，則後續由 AWS Control Tower 建立的所有新帳戶 （使用 Account Factory) 都會指派新的 CIDR 範圍。舊帳戶不會更新。例如，您可以建立一個帳戶， 然後變更 CIDR 範圍並建立新的帳戶 , 並互連配置給這兩個帳戶的 VPC。由於其 IP 地址範圍並不相同，因此可以互連。

# 使用介面端點存取 AWS Control Tower (AWS PrivateLink)
<a name="networking-privatelink"></a>

您可以使用 在 VPC 和 AWS Control Tower 之間 AWS PrivateLink 建立私有連線。您可以像在 VPC 中一樣存取 AWS Control Tower，無需使用網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線。VPC 中的執行個體不需要公有 IP 地址即可存取 AWS Control Tower。

您可以建立由 AWS PrivateLink提供支援的*介面端點*來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面，可做為目的地為 AWS Control Tower 之流量的進入點。

如需詳細資訊，請參閱《 *AWS PrivateLink 指南*》中的[AWS 服務 透過 存取 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) 。

## AWS Control Tower 的考量事項
<a name="privatelink-vpc-endpoint-considerations"></a>

在您設定 AWS Control Tower 的介面端點之前，請檢閱 *AWS PrivateLink 指南*中的[考量事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。

AWS Control Tower 支援透過介面端點呼叫其所有 API 動作。

## 建立 AWS Control Tower 的介面端點
<a name="privatelink-vpc-endpoint-create"></a>

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為 AWS Control Tower 建立介面端點AWS CLI。如需詳細資訊，請參閱《*AWS PrivateLink 指南*》中的「[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)」。

使用下列服務名稱建立 AWS Control Tower 的介面端點：

```
com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips
```

如果您為介面端點啟用私有 DNS，您可以使用其預設的區域 DNS 名稱向 AWS Control Tower 提出 API 請求。例如 `controltower.us-east-1.amazonaws.com`。

## 為您的介面端點建立端點政策
<a name="privatelink-vpc-endpoint-policy"></a>

端點政策為 IAM 資源，您可將其連接至介面端點。預設端點政策允許透過介面端點完整存取 AWS Control Tower。若要控制允許從您的 VPC 存取 AWS Control Tower，請將自訂端點政策連接至介面端點。

端點政策會指定以下資訊：
+ 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。
+ 可執行的動作。
+ 可供執行動作的資源。

如需詳細資訊，請參閱《*AWS PrivateLink 指南*》中的「[使用端點政策控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」。

**範例：AWS Control Tower 動作的 VPC 端點政策**  
以下是自訂端點政策的範例。當您將此政策連接到介面端點時，它會授予所有資源上所有主體的所列 AWS Control Tower 動作的存取權。

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controltower:ListEnabledControls",
            "controltower:ListLandingZones"
         ],
         "Resource":"*"
      }
   ]
}
```

**注意**  
如需 AWS Control Tower API 操作的完整清單，請參閱 [AWS Control Tower API 參考](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html)。