Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überlegungen zur Aktivierung von AWS Opt-in-Regionen
Obwohl die meisten Regionen standardmäßig für Sie aktiv AWS-Regionen sind AWS-Konto, werden bestimmte Regionen nur aktiviert, wenn Sie sie manuell auswählen. In diesem Dokument werden diese Regionen als Opt-in-Regionen bezeichnet. Im Gegensatz dazu werden Regionen, die standardmäßig aktiv sind, sobald Ihre AWS-Konto erstellt wurde, als kommerzielle Regionen oder einfach Regionen bezeichnet.
Der Begriff „Opt-In“ hat eine historische Grundlage. Alle Regionen, die nach dem 20. März 2019 AWS-Regionen eingeführt wurden, gelten als Opt-in-Regionen. Für Opt-in-Regionen gelten höhere Sicherheitsanforderungen als für kommerzielle Regionen, was die gemeinsame Nutzung von IAM Daten über Konten angeht, die in Opt-in-Regionen aktiv sind. Alle über den IAM Dienst verwalteten Daten gelten als Identitätsdaten. Dazu gehören Benutzer, Gruppen, Rollen, Richtlinien, Identitätsanbieter, die zugehörigen Daten (z. B. X.509-Signaturzertifikate oder kontextspezifische Anmeldeinformationen) und andere Einstellungen auf Kontoebene, wie die Kennwortrichtlinie und der Kontoalias.
Sie können Opt-in-Regionen bei der Einrichtung der landing zone automatisch aktivieren, indem Sie sie auswählen. Deine landing zone wird in allen ausgewählten Regionen aktiv.
Wenn Sie sich dafür entscheiden, eine Opt-in-Region als Ihre AWS Control Tower Tower-Heimatregion auszuwählen, aktivieren Sie sie zunächst, indem Sie die Schritte unter Region aktivieren befolgen, wenn Sie an der AWS Management Console angemeldet sind. Wenn Sie Ihre eigenen bestehenden Log Archive- und Audit-Konten aus einer Opt-in-Region verwenden möchten, aktivieren Sie diese Region zunächst manuell.
Die AWS Opt-in-Regionen umfassen mehrere Regionen, in denen AWS Control Tower verfügbar ist:
-
Region Asien-Pazifik (Hongkong), ap-east-1
-
Region Asien-Pazifik (Jakarta), ap-southeast-3
-
Region Europa (Mailand), eu-south-1
-
Region Afrika (Kapstadt), af-south-1
-
Region Naher Osten (Bahrain), me-south-1
Israel (Tel Aviv), il-central-1
Region Naher Osten (UAE), me-central-1
Region Europa (Spanien), eu-south-2
Region Asien-Pazifik (Hyderabad), ap-south-2
Region Europa (Zürich), eu-central-2
Region Asien-Pazifik (Melbourne), ap-southeast-4
Region Kanada West (Calgary), ca-west-1
AWSControl Tower verfügt über einige Steuerungen, die in den Opt-in-Regionen anders funktionieren als in kommerziellen Regionen. Weitere Informationen finden Sie unter Einschränkungen der Kontrolle. Im Folgenden finden Sie einige Überlegungen, die Sie bei der Bereitstellung von Workloads in Opt-in-Regionen berücksichtigen sollten.
Regieren oder aktivieren?
Denken Sie daran, dass das Regieren einer Region eine Aktion ist, die Sie in der AWS Control Tower Tower-Konsole auswählen können, sodass die Kontrollen in der Region angewendet werden können. Das Aktivieren oder Deaktivieren einer Opt-in-Region ist eine andere Aktion, die Sie in der AWS Konsole auswählen können. Dadurch wird die Region für Ihr Konto geöffnet, sodass Sie Ressourcen und Workloads in der Region bereitstellen können.
Überlegungen in Bezug auf das Verhalten
-
Wenn Sie sich für die Verwaltung von Opt-in-Regionen entscheiden, empfehlen wir Ihnen, keine Ihrer kontrollierten Opt-in-Regionen zu deaktivieren (sich abzumelden), da dies zum Ausfall Ihrer Workloads führen kann. AWSControl Tower erlaubt nicht die Deaktivierung einer kontrollierten Region von der AWS Control Tower-Konsole aus. Achten Sie jedoch darauf, dass Sie regulierte Regionen nicht von einer Quelle außerhalb von AWS Control Tower aus deaktivieren, z. B. von der AWS Abrechnungskonsole oder AWS SDK.
-
Wenn AWS Control Tower die Verwaltung auf eine Opt-in-Region ausdehnt, wird die Region in allen Mitgliedskonten aktiviert (Opt-In). Wenn Sie eine Region aus der Verwaltung entfernen, deaktiviert AWS Control Tower die Region nicht in den Mitgliedskonten (Opt-Out).
-
Während der Abwahl einer Region überspringt AWS Control Tower das Entfernen von Ressourcen aus einer Opt-in-Region, wenn diese Region manuell für ein Konto von einer Quelle außerhalb von AWS Control Tower deaktiviert wurde, z. B. die AWS Abrechnungskonsole oder. AWS SDK Wir empfehlen, Ressourcen aus den Regionen zu entfernen, die Sie deaktiviert haben, da Ihnen sonst unerwartete Abrechnungsgebühren für diese Ressourcen entstehen könnten.
-
Wenn deine landing zone außer Betrieb genommen wird, bereinigt der AWS Control Tower die Ressourcen in allen kontrollierten Regionen, einschließlich der Opt-in-Regionen. AWSControl Tower deaktiviert die Opt-in-Regionen jedoch nicht. Sie können die Opt-in-Regionen als zusätzlichen Schritt nach der Außerbetriebnahme deaktivieren.
-
Wenn es sich bei Ihrer Heimatregion um eine Opt-in-Region handelt und Sie beabsichtigen, bestehende Konten als Ihre Log-Archiv- und Audit-Konten zu registrieren, müssen Sie die Opt-in-Region manuell aktivieren, bevor Sie sie als Heimatregion für Ihre landing zone auswählen können. Weitere Informationen finden Sie unter Region aktivieren.
-
Wenn AWS Control Tower mit einer Opt-in-Region als Heimatregion eingerichtet ist und Sie den AWS Control Tower Tower-Dienst von der AWS Konsole in einer anderen Region aus aufrufen, leitet Sie die Konsole nicht automatisch zur Heimatregion weiter.
Der Basiswert API hat Kapazitätsgrenzen, wodurch sich die Latenz je nach Anzahl der Regionen, Konten und Dienstauslastung von einigen Minuten auf viele Stunden erhöhen kann. Als bewährte Methode sollten Sie sich nur für diejenigen entscheiden, AWS-Regionen in denen Sie Workloads ausführen, und sich jeweils für eine Region anmelden.
Wichtige Einschränkungen in Bezug auf Unternehmensführung und Konten
-
Wenn 16 oder mehr kommerzielle Regionen verwaltet werden, in denen AWS Control Tower verfügbar ist, einschließlich Opt-in-Regionen, wird die Obergrenze für die Anzahl der Konten pro Organisationseinheit (OU) bei der Registrierung einer OU reduziert. Weitere Informationen finden Sie unter Einschränkungen, die auf den zugrundeliegenden AWS Diensten basieren.