AWS Control Tower 允许您使用专为可扩展的监管和安全性而设计的规范性控制来设置和运营您的多账户 AWS 环境。本指南有助于优化用于治理非关键资源（如隔离沙盒或测试环境）的服务。此外，AWS CloudWatch 指标和日志是可观察性的重要组成部分。它们有助于排除故障并持续改进指南。

阅读“卓越运营”白皮书

本指南在 AWS 身份和访问管理 (IAM) 中创建了跨账户执行角色，向更改账户配置的 Lambda 函数授予特定的、有限的权限。AWS 安全令牌服务 (AWS STS) 生成短期令牌以安全地跨账户承担角色。本指南遵循最低权限模式来执行所需任务，仅在有限的时间内授予必要的权限。

阅读《安全性》白皮书

作为完全托管的服务，Lambda 、 EventBri dge和 Amazon SQS 无需用户干预即可横向扩展以满足客户需求，从而增强了可靠性。多次 Lambda 调用基于每个账户和区域所需的 AWS Config 记录器更改次数。这样可以通过并行执行来分配工作流程，有助于避免单点故障。EventBridge 提供触发工作流程并使环境配置保持在所需状态的特定事件。

阅读《可靠性》白皮书

Lambda 和 Amazon SQS 是完全托管的服务，可自动扩展以满足需求。这些服务使系统能够快速扩展，并同时对多个账户和区域进行配置更改。

阅读《性能效率》白皮书

EventBridge 、 Lambda 和 Amazon SQS 遵循即用即付的定价模式，这意味着您只需为使用的资源付费。本指南将针对通常不经常发生的特定 AWS 控制塔事件调用。使用即用即付定价模式的无服务器架构有助于确保将成本降至最低。

阅读《成本优化》白皮书

本指南中的托管服务使您无需确定资源利用率低或利用率为零的时间段。此外，本指南使用无服务器服务，当检测到特定的 AWS 控制塔事件时会调用这些服务。没有配置闲置资源来处理请求。

阅读《可持续性》白皮书