本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 術語 以下是您將在 AWS Control Tower 文件中看到的一些術語的快速檢閱。 首先,最好知道 AWS Control Tower 與 AWS Organizations 服務共用許多術語,包括出現在本文件中的*組織*和*組織單位 (OU)* 一詞。 + 如需組織和 OUs 的詳細資訊,請參閱[AWS Organizations 術語和概念](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_getting-started_concepts.html)。如果您是 AWS Control Tower 的新手,該術語是一個很好的開始。 +  [AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html) 是一項 AWS 服務,可協助您在工作負載成長和擴展時,集中管理環境 AWS。AWS Control Tower 依賴 AWS Organizations 來建立帳戶、在 OU 層級強制執行預防性控制,以及提供集中式帳單。 + [AWS Account Factory 帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html)是使用 AWS Control Tower 中的 Account Factory 佈建 AWS 的帳戶。有時候,帳戶工廠會以非正式方式稱為帳戶的「販賣機」。 + 您的 AWS Control Tower [主區域](https://docs.aws.amazon.com//controltower/latest/userguide/best-practices.html#tips-for-admin-setup)是 AWS 部署 AWS Control Tower 登陸區域的區域。您可以在登陸區域設定中檢視您的主要區域。 + [AWS Service Catalog](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/introduction.html) 可讓您集中管理經常部署的 IT 服務。在本文件的內容中,Account Factory 會使用 AWS Service Catalog 來佈建新 AWS 帳戶,包括自訂藍圖中的帳戶。 + [AWS CloudFormation StackSets](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-concepts.html) 是一種延伸堆疊功能的資源類型,可讓您使用單一操作和單一 CloudFormation 範本,跨多個帳戶和區域建立、更新或刪除堆疊。 + [Astack 執行個體](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-concepts.html#stacksets-concepts-stackinstances)是區域內目標帳戶中堆疊的參考。 + A[stack](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html#w2ab1b5c15b) 是您可以單一單位管理的一組 AWS 資源。 + [彙整工具](https://docs.aws.amazon.com//config/latest/developerguide/aggregate-data.html)是一種 AWS Config 資源類型,可從組織內的多個帳戶和區域收集 AWS Config 組態和合規資料,讓您可以在單一帳戶中檢視和查詢此合規資料。 + [一致性套件](https://docs.aws.amazon.com//config/latest/developerguide/conformance-packs.html)是 AWS Config 規則和修補動作的集合,可部署為帳戶和區域中的單一實體,或 中的整個組織 AWS Organizations。您可以使用一致性套件來協助自訂 AWS Control Tower 環境。如需提供更多詳細資訊的技術部落格,請參閱[相關資訊](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#working-existing-organizations)。 + AWS Control Tower 中的[基準](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html)是一組資源和特定組態,您可以套用至目標。最常見的基準目標可能是組織單位 (OU)。例如,名為 的基準`AWSControlTowerBaseline`可協助您向 AWS Control Tower 註冊 OUs。在登陸區域設定和更新期間,基準目標可能是共用帳戶,或整個登陸區域的特定設定。 + **藍圖:**藍圖是封裝一些中繼資料的成品,描述在帳戶中部署的基礎設施元件。例如, CloudFormation 範本可以做為 AWS Control Tower 帳戶的藍圖。 + **偏離:**由 AWS Control Tower 安裝和設定的資源變更。沒有偏離的資源可讓 AWS Control Tower 正常運作。 + **不合規資源:**違反規則的資源,該 AWS Config 規則定義了特定的偵測控制。 + **共用帳戶:**設定登陸區域時,AWS Control Tower 會自動建立的三個帳戶之一:管理帳戶、日誌封存帳戶和稽核帳戶。您可以在設定期間選擇日誌封存帳戶和稽核帳戶的自訂名稱。 + **成員帳戶:**成員帳戶屬於 AWS Control Tower 組織。您可以在 AWS Control Tower 中*註冊**或取消註冊*成員帳戶。當已註冊的 OU 包含已註冊和未註冊帳戶的混合時: + 在 OU 上啟用 (或繼承) 的預防性控制適用於其中的所有帳戶,包括未註冊的帳戶。這是因為預防性控制是在 OU 層級使用 SCPs、RCPS 或宣告政策強制執行,而不是帳戶層級。如需詳細資訊,請參閱 文件中的 AWS Organizations [服務控制政策繼承](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html)。 + 在 OU 上啟用的偵測控制不適用於未註冊的帳戶。 + 主動控制由 AWS CloudFormation 勾點實作。這些控制項不適用於 OU 中的未註冊帳戶。 帳戶一次只能是一個組織的成員,其費用會計入該組織的管理帳戶。成員帳戶可以移至組織的根容器。 + **AWS 帳戶:** AWS 帳戶充當資源容器和資源隔離界限。 AWS 帳戶可以與帳單和付款相關聯。 AWS 帳戶與 AWS Control Tower 中的使用者帳戶 (有時稱為 [IAM 使用者帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/setting-up.html#setting-up-iam)) 不同。透過 Account Factory 佈建程序建立的帳戶為 AWS account. AWS accounts。您也可以透過帳戶註冊或 OU 註冊程序,將帳戶新增至 AWS Control Tower。 + **控制:**控制 (也稱為*護欄*) 是高階規則,可為整體 AWS Control Tower 環境提供持續的控管。每個控制項都會強制執行單一規則。預防性控制是使用 SCPs。Detective 控制項是使用 AWS Config 規則實作。主動控制會使用 CloudFormation 勾點實作。如需詳細資訊,請參閱[控制的運作方式](how-controls-work.md)。 + **Control Catalog:**AWS Control Tower 控制目錄是可透過 AWS Control Tower 在主控台和 APIs 中取得的所有控制項的摘要。它先前稱為 Control Library。我們將術語與命名空間 *controlcatalog* 的名稱進行比對。 + **登陸區域:**登陸區域是一種提供建議起點的雲端環境,包括預設帳戶、帳戶結構、網路和安全配置等。從登陸區域,您可以部署利用解決方案和應用程式的工作負載。 + **架構:**架構是特定的法規標準或產業需求。在 Control Catalog 上下文中,架構由標準控制項表示。如需詳細資訊,請參閱 Control Catalog [Ontology 概觀](https://docs.aws.amazon.com//controlcatalog/latest/userguide/ontology-overview.html)。 + **巢狀 OU:**AWS Control Tower 中的巢狀 OU 是包含在另一個 OU 中的 OU。巢狀 OU 可以只有一個父 OU,而且每個帳戶可以是一個 OU 的成員。巢狀 OUs會建立階層。當您將政策連接到階層中的其中一個 OUs 時,政策會向下流動,並影響其下的所有 OUs和帳戶。AWS Control Tower 中的巢狀 OU 階層最多可深度五個層級。 + **父 OU:**OU 緊接在階層中目前 OU 的上方。每個 OU 只能有一個父 OU。 + **子 OU:**階層中低於目前 OU 的任何 OU。OU 可以有許多子 OUs。 + **OU 階層:**在 AWS Control Tower 中,巢狀 OUs 的階層最多可以有五個層級。巢狀的順序稱為**關**卡。階層的頂端會指定為**層級 1**。 + **最上層 OU:**最上層 OU 是直接在根下的任何 OU,而不是根本身。根不會被視為 OU。 + **受管:**受管區域由 AWS Control Tower 根據您的組織設定的控管政策,在您的環境中管理和控制。這些 AWS 區域 都會受到監控,以遵守最佳實務和組織政策。當您啟用 AWS Control Tower 控制項時,這些區域中的資源會受到保護。 + **未受管:**顯示**未受管**狀態的區域不受 AWS Control Tower 控制或監控。這些政策 AWS 區域 通常不遵守 AWS Control Tower 強制執行的相同控管政策。您可以在這些區域中建立資源,但這些資源不受 AWS Control Tower 控制項保護。 + **拒絕:**AWS Control Tower 特別封鎖拒絕的區域。在 AWS Control Tower 環境中,您無法在這些 中佈建資源 AWS 區域。