AWS Control Tower, следуя указаниям AWS, определила лучшие практики Landing Zone для настройки стратегии с несколькими аккаунтами?

Я использовал как решение AWS Landing Zone, так и сервис AWS Control Tower. AWS утверждает, что Control Tower - это управляемый сервис поверх зоны приземления.

В соответствии с передовыми практиками AWS, определенными для Landing Zone для настройки стратегии с несколькими учетными записями, как показано на диаграмме ниже в Core OU(Organisation Unit), мы должны настроить учетную запись "Сеть" для управления пирингом и т. Д. И учетную запись "Общие службы" для создания инфраструктура общих служб, такая как службы каталогов и т. д.

Но когда вы настраиваете управление несколькими учетными записями с помощью службы AWS Control Tower, в основном подразделении настраиваются только две учетные записи, то есть "Архив журналов" и "Аудит". Это означает, что Control Tower создала только две учетные записи Core -

• Один для ведения журнала
• Другой - для целей безопасности / аудита.

Теперь, где или в какой основной учетной записи я должен управлять сетью для моей организации?

Где мне управлять всеми общими службами?

И, что наиболее важно, действительно ли Control Tower следует лучшим практикам для стратегии с несколькими учетными записями, которые были определены только AWS?