Amazon Control Tower 和 Amazon Organizations
Amazon Control Tower 提供了一种简单的方法来设置和管理 Amazon 多账户环境,遵循规范的最佳做法。Amazon Control Tower 编排扩展了 Amazon Organizations 的功能。Amazon Control Tower 应用预防性和检测性控制措施(防护机制)来帮助您的组织和账户避免偏离最佳做法(漂移)。
Amazon Control Tower 编排扩展了 Amazon Organizations 的功能。
有关更多信息,请参阅《Amazon Control Tower 用户指南》。
以下信息可帮助您将 Amazon Control Tower 与 Amazon Organizations 集成。
集成所需的角色
AWSControlTowerExecution 角色必须存在于所有注册的账户中。它允许 Amazon Control Tower 管理您的各个账户,并向审核和日志存档账户报告有关这些账户的信息。
要了解有关 Amazon Control Tower 使用的角色的更多信息,请参阅 Amazon Control Tower 如何与角色一起创建和管理账户和为 Amazon Control Tower 使用基于身份的策略 (IAM policy)。
Amazon Control Tower 使用的服务主体
Amazon Control Tower 使用 controltower.amazonaws.com 服务主体。
使用 Amazon Control Tower 启用信任访问权限
Amazon Control Tower 使用可信访问来检测偏移以进行预防性控制,并跟踪导致偏移的账户和 OU 更改。
有关启用信任访问权限所需权限的信息,请参阅允许可信访问所需的权限。
您只能使用 Organizations 工具启用信任访问权限。
要从 Organizations 控制台启用可信访问,请选择 Amazon Control Tower 旁边的 Enable access。
您可以通过运行 Organizations Amazon CLI 命令,或者调用某个 Amazon SDK 中的 Organizations API 操作来启用信任访问权限。
使用 Amazon Control Tower 禁用信任访问权限
有关禁用信任访问所需权限的信息,请参阅禁止可信访问所需的权限。
您只能使用 Organizations 工具禁用信任访问权限。
重要
禁用 Amazon Control Tower 的可信访问权限会导致您的 Amazon Control Tower 登录区出现偏差。修复偏差的唯一方法是使用 Amazon Control Tower 的登录区修复。在 Organizations 中重新启用可信访问权限并不能解决偏差。在《Amazon Control Tower 用户指南》中了解有关偏差的更多信息。
您可以通过运行 Organizations Amazon CLI 命令,或者调用某个 Amazon SDK 中的 Organizations API 操作来禁用信任访问权限。