Hello大家好，在本课时我们将讨论AWS Control Tower。

**AWS Control Tower是AWS organizations的一个功能延伸，**它是设置在organizations的上层，并为您提供一些额外的控制。

通过Control Tower可以创建一个Landing zone，Landing zone是什么呢？**Landing zone可帮助客户更快速地设置符合 AWS 最佳实践的安全的多AWS账户的 AWS 环境。**如果您的账户还没有创建AWS组织，那么它首先将会为您创建一个组织。

在这个组织中，您有您自己的根OU，在这个OU有您的管理账户。

然后作为Landing zone的一部分，Landing zone还将为您创建一系列的OU和账户。比如安全OU，沙箱OU，以及生产OU。当然您可以在一定程度上配置您需要创建哪些OU在Landing zone配置向导的步骤。

在安全OU中，将会创建两个AWS账户，分别是审计账户和日志存档账户。审计账户适用于需要访问 AWS Control Tower 提供的审计信息的用户团队；日志存档账户适用于需要访问landing zone 内已注册 OU 内的所有已注册账户的所有日志信息的用户团队。

简单来说就是一个是用于Landing zone日志审计的，一个是用于将所有Landing zone内AWS账户的所有日志收集的。

沙箱OU默认没有创建账户，您可以在其中创建开发测试账户；在默认情况下生产OU也是空的，您可以将您的生产账户直接添加到这里。

Control Tower集成了AWS SSO单点登陆服务，单点登陆的目录源可以是AWS SSO目录本身，这是默认的配置；还支持SAML2.0身份提供商以及微软活动目录。

Control Tower会创建一系列的预防性护栏，您可以理解成护预防性栏是一种防护性的机制，基本上是一些服务控制策略，用于禁止某些API操作。

您也可以把它视为类似于在IAM中管理策略。**实际上Control Tower为您创建了一系列托管的SCP，**这些托管的SCP针对特定的用途进行了预配置。简单的说预防性护栏作用就是可确保您的账户保持合规性，因为它会禁止导致违反政策的行为；

那除了预防性护栏，**Control Tower也也创建了Detective护栏，Detective护栏可以检测您账户内资源的不合规情况，**例如违反政策的行为，并通过仪表板提供警报。它是基于AWS lambda函数和AWS config规则来实现的。

最后我们总结下Control Tower。

Control Tower用于创建一个可帮助客户更快速地设置符合 AWS 最佳实践的、安全的、多AWS账户的 AWS 环境，也就是AWS所谓的Landing zone，中文一般翻译为着陆区。

护栏用于治理和合规性，**首先是预防性护栏，这些护栏基于服务控制策略，用于禁止某些API操作；**然后还有Detective护栏，它是通过AWS config规则以及Lambda函数来实现的，用于监视和管理Landing zone的合规性。

最后需要注意一点是，**管理账户内的根用户是可以执行护栏中禁止的操作的。**这是和AWS组织的概念相同，在AWS组织中，SCP也不能控制和影响管理账户中的根用户。

好的，以上就是本课时的内容，希望能够给大家带来帮助。

希望此系列教程能为您通过AWS的认证考试带来帮助，如您有任何疑问，请联系我们