本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS Organizations 指引 AWS Control Tower 與 密切相關 AWS Organizations。以下是一些具體指引,說明它們如何以最佳方式協同運作來保護您的 AWS 環境。 + 您可以在 AWS Organizations 文件中找到保護 AWS Control Tower 管理帳戶和成員帳戶安全的最佳實務相關指導。 + [管理帳戶的最佳實務](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_best-practices_mgmt-acct.html) + [成員帳戶的最佳實務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_member-acct.html) + 請勿更新連接至向 AWS Control Tower 註冊之 OU 的現有服務控制政策 (SCPs)。這樣做可能會導致控制項進入未知狀態,這將會要求您在 AWS Control Tower 中重設登陸區域或重新註冊 OU。反之,您可以使用 AWS Organizations 建立新的 SCPs,並將它們連接到 OUs,而不是編輯 AWS Control Tower 已建立SCPs。 + 將已註冊的個人帳戶從已註冊的 OU 外部移至 AWS Control Tower,會導致必須解決的偏離。請參閱 [控管偏離的類型](governance-drift.md)。 + 如果您使用 AWS Organizations 在向 AWS Control Tower 註冊的組織中建立、邀請或移動帳戶,AWS Control Tower 不會註冊這些帳戶,也不會記錄這些變更。如果您需要透過 SSO 存取這些帳戶,請參閱[成員帳戶存取](https://aws.amazon.com//premiumsupport/knowledge-center/organizations-member-account-access/)。 + 如果您使用 AWS Organizations 將 OU 移至 AWS Control Tower 建立的組織,則 AWS Control Tower 不會註冊外部 OU。 + AWS Control Tower 處理許可篩選的方式與 AWS Organizations 處理方式不同。如果使用 AWS Control Tower 帳戶工廠佈建您的帳戶,最終使用者可以在 AWS Control Tower 主控台中查看所有 OUs 的名稱和父項,即使他們沒有 AWS Organizations 直接從 擷取這些名稱和父項的許可。 + AWS Control Tower 不支援組織混合許可,例如檢視 OU 父項但不支援檢視 OU 名稱的許可。因此,AWS Control Tower 管理員應擁有完整許可。 + 必須 AWS Organizations `FullAWSAccess`套用 SCP,且不應與其他 SCPs 合併。此 SCP 的變更不會報告為偏離;不過,如果拒絕存取特定資源,某些變更可能會以無法預測的方式影響 AWS Control Tower 功能。例如,如果 SCP 分離或修改,帳戶可能會失去對記錄器的 AWS Config 存取權或在 CloudTrail 日誌中建立間隙。 + 請勿使用 AWS Organizations `DisableAWSServiceAccess` API 關閉您設定登陸區域之組織的 AWS Control Tower 服務存取權。如果您這樣做,某些 AWS Control Tower 偏離偵測功能可能無法正常運作,如果沒有來自 的訊息支援 AWS Organizations。這些偏離偵測功能有助於保證 AWS Control Tower 可以準確報告組織中組織單位、帳戶和控制項的合規狀態。如需詳細資訊,請參閱《 [API\$1DisableAWSServiceAccessAWS Organizations API 參考》中的](https://docs.aws.amazon.com//organizations/latest/APIReference/API_DisableAWSServiceAccess.html) 。