本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 什麼是 AWS Control Tower?
AWS Control Tower 提供簡單的方法來設定和管理 AWS 多帳戶環境,並遵循規範性最佳實務。AWS Control Tower *會協調*數個[AWS 其他服務](https://docs.aws.amazon.com//controltower/latest/userguide/integrated-services.html)的功能,包括 AWS Organizations AWS Service Catalog、 和 AWS IAM Identity Center,以在不到一小時的時間內建置登陸區域。資源會代表您設定和管理。
AWS Control Tower 協同運作擴展了 的功能 AWS Organizations。為了協助避免您的組織和帳戶*偏離*,這與最佳實務不同,AWS Control Tower 會套用控制項 (有時稱為*護欄*)。例如,您可以使用控制項來協助確保安全日誌和必要的跨帳戶存取許可已建立,而不會變更。
如果您託管多個帳戶,則擁有協調層有助於帳戶部署和帳戶控管。您可以採用 AWS Control Tower 做為佈建帳戶和基礎設施的主要方式。透過 AWS Control Tower,您可以更輕鬆地遵守公司標準、符合法規要求,並遵循最佳實務。
AWS Control Tower 可讓分散式團隊中的最終使用者透過 AWS Account Factory 中的可設定帳戶範本,快速佈建新帳戶。同時,您的中央雲端管理員可以監控所有帳戶是否符合整個公司的既定合規政策。
簡言之,AWS Control Tower 提供最簡單的方式,根據與數千家企業合作所建立的最佳實務來設定和管理安全、合規的多帳戶 AWS 環境。如需使用 AWS Control Tower 和 AWS 多帳戶策略中概述的最佳實務的詳細資訊,請參閱 [AWS 多帳戶策略:最佳實務指引](aws-multi-account-landing-zone.md#multi-account-guidance)。
## 功能
AWS Control Tower 具有下列功能:
+ **登陸區域** – 登陸區域是一種架構良好的[多帳戶環境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html#example-workloads-flat-structure),以安全和合規最佳實務為基礎。這是整個企業的容器,可存放所有組織單位 (OUs)、帳戶、使用者和其他您希望受合規法規規範的資源。登陸區域可以擴展至符合任何大小企業的需求。
+ **控制項** – 控制項 (有時稱為*護欄*) 是一種高階規則,可為您的整體 AWS 環境提供持續的控管。其表示的方式是普通語言。有三種類型的控制:*預防性*、*偵測性和**主動*性。三類指引適用於控制項:*強制性*、*強烈建議*或*選擇性*。如需控制項的詳細資訊,請參閱 [控制的運作方式](how-controls-work.md)。
+ **Account Factory** – Account Factory 是一種可設定的帳戶範本,可協助使用預先核准的帳戶組態來標準化新帳戶的佈建。AWS Control Tower 提供內建的 Account Factory,可協助自動化組織中的帳戶佈建工作流程。如需詳細資訊,請參閱[使用 Account Factory 佈建和管理帳戶](account-factory.md)。
+ **儀表板** – 儀表板可為中央雲端管理員團隊持續監控您的登陸區域。使用儀表板查看整個企業的佈建帳戶、啟用政策強制執行的控制項、啟用持續偵測政策不一致性的控制項,以及由帳戶和 OUs 整理的不合規資源。
## AWS Control Tower 如何與其他 AWS 服務互動
AWS Control Tower 建置在信任且可靠的 AWS 服務之上 AWS Service Catalog,包括 AWS IAM Identity Center和 AWS Organizations。如需詳細資訊,請參閱[整合服務](integrated-services.md)。
您可以將 AWS Control Tower 與其他 AWS 服務整合到可協助您將現有工作負載遷移到其中的解決方案中 AWS。如需詳細資訊,請參閱[如何利用 AWS Control Tower 和 CloudEndure 將工作負載遷移至 AWS](https://aws.amazon.com//blogs/mt/how-to-take-advantage-of-aws-control-tower-and-cloudendure-to-migrate-workloads-to-aws/)。
**組態、控管和可擴展性**
+ *自動化帳戶組態:*AWS Control Tower 會透過 Account Factory (或「自動販賣機」) 自動執行帳戶部署和註冊,其建置為佈建產品上的抽象概念 AWS Service Catalog。Account Factory 可以建立和註冊 AWS 帳戶,並自動將控制項和政策套用至這些帳戶的程序。如需建立和佈建帳戶的詳細資訊,請參閱[佈建方法](https://docs.aws.amazon.com//controltower/latest/userguide/methods-of-provisioning.html)。
+ *集中式控管:*透過採用 的功能 AWS Organizations,AWS Control Tower 會設定架構,確保跨多帳戶環境的一致性合規和管理。 AWS Organizations 此服務提供管理多帳戶環境的基本功能,包括帳戶的集中控管和管理、從 AWS Organizations APIs建立帳戶、服務控制政策 (SCPs),以及資源控制政策 RCPs)。
+ *可擴展性:*您可以直接在 和 AWS Control Tower 主控台中工作 AWS Organizations,以建置或擴展您自己的 AWS Control Tower 環境。您可以在註冊現有組織並將現有帳戶註冊到 AWS Control Tower 之後,看到 AWS Control Tower 中反映的變更。您可以更新 AWS Control Tower 登陸區域,以反映您的變更。如果您的工作負載需要進一步的進階功能,您可以利用其他 AWS 合作夥伴解決方案搭配 AWS Control Tower。
## 您是第一次使用 AWS Control Tower 嗎?
若您是第一次使用此服務,我們建議您閱讀以下內容:
1. 如果您需要如何規劃和組織登陸區域的詳細資訊,請參閱 [規劃您的 AWS Control Tower 登陸區域](planning-your-deployment.md)和 [AWS AWS Control Tower 登陸區域的多帳戶策略](aws-multi-account-landing-zone.md)。
1. 若您已準備好建立第一個登陸區,請參閱[AWS Control Tower 入門](getting-started-with-control-tower.md)。
1. 如需漂移偵測和預防的資訊,請參閱[偵測並解決 AWS Control Tower 中的偏離](drift.md)。
1. 如需安全詳細資訊,請參閱[AWS Control Tower 的安全性](security.md)。
1. 如需更新登陸區域和成員帳戶的資訊,請參閱 [AWS Control Tower 中的組態更新管理](configuration-updates.md)。