本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Control Tower 而且 AWS Organizations
<a name="services-that-can-integrate-CTower"></a>

AWS Control Tower 提供一種簡單的方法來設定和管理 AWS 多帳戶環境，並遵循規範性最佳實務。 AWS Control Tower 協同運作可擴展 的功能 AWS Organizations。 會 AWS Control Tower 套用預防性和偵測性控制 （護欄），以協助您的組織和帳戶避免與最佳實務 （偏離） 的分歧。

AWS Control Tower 協同運作擴展了 的功能 AWS Organizations。

如需詳細資訊，請參閱 [https://docs.aws.amazon.com/controltower/latest/userguide/](https://docs.aws.amazon.com/controltower/latest/userguide/)。

使用下列資訊來協助您 AWS Control Tower 整合 AWS Organizations。



## 進行整合時所需要的角色
<a name="integrate-enable-roles-CTower"></a>

所有已註冊的帳戶中都必須存在有 `AWSControlTowerExecution` 角色。它允許 管理您的個別帳戶 AWS Control Tower ，並將這些帳戶的相關資訊報告給您的 Audit and Log Archive 帳戶。

若要進一步了解 使用的角色 AWS Control Tower，請參閱 [AWS Control Tower 如何使用角色來建立和管理帳戶](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how)，以及[使用 的身分型政策 (IAM 政策） AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/access-control-managing-permissions.html)。

## 使用的服務主體 AWS Control Tower
<a name="integrate-enable-svcprin-CTower"></a>

AWS Control Tower 使用 `controltower.amazonaws.com`服務主體。

## 使用 啟用受信任存取 AWS Control Tower
<a name="integrate-enable-ta-CTower"></a>

AWS Control Tower 使用受信任的存取來偵測偏離以進行預防性控制，並追蹤導致偏離的帳戶和 OU 變更。

如需啟用受信任存取所需許可的資訊，請參閱[啟用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Organizations 工具啟用受信任存取。

若要從 Organizations 主控台啟用受信任存取，請選擇 **AWS Control Tower** 旁的 **Enable access**。

您可以透過執行 Organizations AWS CLI 命令，或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來啟用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來啟用受信任的服務存取：
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  執行下列命令，以 Organizations 將 啟用 AWS Control Tower 為信任的服務。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal controltower.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用 停用受信任存取 AWS Control Tower
<a name="integrate-disable-ta-CTower"></a>

如需啟用受信任的存取所需許可的資訊，請參閱[停用信任的存取所需的許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您只能使用 Organizations 工具停用受信任存取。

**重要**  
停用 AWS Control Tower受信任的存取會導致 AWS Control Tower 登陸區域中的漂移。修正此漂移問題的唯一方法是使用 AWS Control Tower的登陸區域修復。在 Organizations 中重新啟用受信任的存取權並不能修正此漂移。在 *AWS Control Tower 用戶指南*中[進一步了解漂移](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html)。

您可以透過執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDKs。

------
#### [ AWS CLI, AWS API ]

**使用 Organizations CLI/SDK 來停用受信任服務存取**  
使用下列 AWS CLI 命令或 API 操作來停用受信任的服務存取：
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  執行下列命令來停用 AWS Control Tower 做為 Organizations 的受信任服務。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal controltower.amazonaws.com
  ```

  此命令成功後就不會產生輸出。
+ AWS API：[DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------