AWS Control Tower 推出 Controls Dedicated 体验



今天，我们宣布在 AWS Control Tower 中推出 Controls Dedicated 体验。借助此特征，您可以使用 Amazon Web Services（AWS）的托管式控制机制，而无需设置不需要的资源，这意味着，如果您已经建立了多账户环境并且只想将 AWS Control Tower 用于它的托管式控制机制，您可以更快地开始使用此环境。通过 Controls Dedicated 体验，您可以无缝访问 Control Catalog 中的全面的托管式控制机制集合，从而逐步增强您的治理状况。

到目前为止，客户需要采用和配置推荐采用的很多最佳实践，这意味着，设置多账户环境时需要实施完整的 AWS 登录区。这一设置包括在 AWS Control Tower 中定义所规定的组织结构、所需的服务等等，以便开始使用登录区。这种方法有助于确保架构完善的多账户环境，但对于已经拥有非常成熟、架构完善的多账户环境并且只想使用 AWS 托管式控制机制的客户来说，采用 AWS Control Tower 更具挑战性。新的 Controls Dedicated 体验为使用 AWS Control Tower 提供了一种更快速、更灵活的方法。

工作原理
下面显示了在我的一个账户中，我如何使用 AWS Control Tower 中的 Controls Dedicated 体验来定义托管式控制机制。

首先，我要在 AWS Control Tower 登录页面上选择启用 AWS Control Tower。

我可以选择设置一个完整的环境，也可以使用 Controls Dedicated 体验只设置控制机制。我要选择我已经拥有一个环境，并希望启用 AWS 托管式控制，以便设置控制机制。接下来，我要设置其余的信息，例如从下拉列表中选择主区域，以便在启用期间在此区域中预置 AWS Control Tower 资源。我还要为 AWS Control Tower 选择打开自动账户注册，以便在我将账户转移到已注册的组织单位时自动注册账户。其余的信息是可选的；我要选择启用 AWS Control Tower 来完成此流程，然后开始设置登录区。

在后台，在我要部署 AWS 托管式控制机制的那个账户中，AWS Control Tower 安装了所需的服务相关 AWS Identity and Access Management（IAM）角色，还为了使用检测控制机制而在 AWS Config 中安装了服务相关的配置记录器。这样就完成了设置，现在我拥有了使用此账户中的控制机制所需的完整基础设施。控制面板中提供了环境摘要，例如创建的组织单位、共享的账户、所选的 IAM 配置、用于实施策略的预防性控制机制以及用于检测配置违规行为的检测控制机制。

要获得在此过程中安装的所有控制机制的列表，我要选择查看已启用的控制。

注意事项
在使用 AWS Control Tower 之前，通常需要已经拥有一个 AWS Organizations 账户。如果您在使用控制台来创建控制机制但尚未拥有 Organizations 账户，系统将代表您建立一个 Organizations 账户。

我在前面提到了与服务相关的配置记录器。使用与服务相关的配置记录器，AWS Control Tower 可以防止更改部署的托管式控制机制所需的资源类型。您可以灵活地保留您自己的配置记录器，并且只启用托管式检测控制机制所需的资源类型的配置项目，从而优化您的 AWS Config 成本。

现已推出
AWS Control Tower 中的 Controls Dedicated 现已在提供了 AWS Control Tower 的所有 AWS 区域中推出。

要了解详情，请访问我们的 AWS Control Tower 页面。有关定价的详情，请参阅 AWS Control Tower 定价。请向 AWS re:Post for AWS Control Tower 发送反馈，或者通过您常用的 AWS Support 联系人发送反馈。

– Veliswa。

AWS 架构师中心： 云端创新的引领者 探索 AWS 架构师中心，获取经实战验证的最佳实践与架构指南，助您高效构建安全、可靠的云上应用