本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Control Tower 和 Amazon Organizations
<a name="services-that-can-integrate-CTower"></a>

Amazon Control Tower 遵循规范性最佳实践，提供了一种设置和管理 Amazon 多账户环境的简单方法。 Amazon Control Tower 编排扩展了的功能。 Amazon Organizations Amazon Control Tower 应用预防和侦查控制（护栏），以帮助防止您的组织和客户偏离最佳实践（偏离）。

Amazon Control Tower 编排扩展了的功能。 Amazon Organizations

有关更多信息，请参阅《[https://docs.amazonaws.cn/controltower/latest/userguide/](https://docs.amazonaws.cn/controltower/latest/userguide/)》。

使用以下信息来帮助您集 Amazon Control Tower 成 Amazon Organizations。



## 集成所需的角色
<a name="integrate-enable-roles-CTower"></a>

`AWSControlTowerExecution` 角色必须存在于所有注册的账户中。它 Amazon Control Tower 允许管理您的个人账户，并将有关这些账户的信息报告给您的审计和日志存档账户。

要了解有关使用的角色的更多信息 Amazon Control Tower，请参阅[Amazon Control Tower 如何使用角色来创建和管理账户，以及](https://docs.amazonaws.cn/controltower/latest/userguide/roles-how)[使用基于身份的策略（IAM 策略）](https://docs.amazonaws.cn/controltower/latest/userguide/access-control-managing-permissions.html)。 Amazon Control Tower

## 使用的服务主体 Amazon Control Tower
<a name="integrate-enable-svcprin-CTower"></a>

Amazon Control Tower 使用`controltower.amazonaws.com`服务主体。

## 使用启用可信访问 Amazon Control Tower
<a name="integrate-enable-ta-CTower"></a>

Amazon Control Tower 使用可信访问来检测偏差以进行预防性控制，并跟踪导致偏差的账户和 OU 更改。

有关启用信任访问权限所需权限的信息，请参阅[允许可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_perms)。

您只能使用 Organizations 工具启用可信访问权限。

要从 Organizations 控制台启用可信访问，请选择 **Amazon Control Tower** 旁边的 **Enable access**。

您可以通过运行 Organizations Amazon CLI 命令或在其中一个中调用 Organizations API 操作来启用可信访问 Amazon SDKs。

------
#### [ Amazon CLI, Amazon API ]

**使用 Organizations CLI/SDK 启用信任服务访问权限**  
使用以下 Amazon CLI 命令或 API 操作启用可信服务访问权限：
+ Amazon CLI: [enable-aws-service-access](https://docs.amazonaws.cn/cli/latest/reference/organizations/enable-aws-service-access.html)

  运行以下命令以在 Organi Amazon Control Tower zations 中启用可信服务。

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal controltower.amazonaws.com
  ```

  如果成功，此命令不会产生任何输出。
+ Amazon API：[启用AWSService访问权限](https://docs.amazonaws.cn/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## 使用禁用可信访问 Amazon Control Tower
<a name="integrate-disable-ta-CTower"></a>

有关禁用信任访问所需权限的信息，请参阅[禁止可信访问所需的权限](orgs_integrate_services.md#orgs_trusted_access_disable_perms)。

您只能使用 Organizations 工具禁用可信访问权限。

**重要**  
禁用可 Amazon Control Tower信访问权限会导致您的着 Amazon Control Tower 陆区域出现偏差。修复偏差的唯一方法是使用 Amazon Control Tower的登录区修复。在 Organizations 中重新启用可信访问权限并不能解决偏差。在《*Amazon Control Tower 用户指南*》中[了解有关偏差的更多信息](https://docs.amazonaws.cn/controltower/latest/userguide/drift.html)。

您可以通过运行 Organizations Amazon CLI 命令或在其中一个中调用 Organizations API 操作来禁用可信访问 Amazon SDKs。

------
#### [ Amazon CLI, Amazon API ]

**使用 Organizations CLI/SDK 禁用信任服务访问权限**  
使用以下 Amazon CLI 命令或 API 操作禁用可信服务访问权限：
+ Amazon CLI: [disable-aws-service-access](https://docs.amazonaws.cn/cli/latest/reference/organizations/disable-aws-service-access.html)

  运行以下命令在 Organiz Amazon Control Tower ations 中禁用可信服务。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal controltower.amazonaws.com
  ```

  如果成功，此命令不会产生任何输出。
+ Amazon API：[禁用AWSService访问权限](https://docs.amazonaws.cn/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------