So arbeiten AWS Regionen mit AWS Control Tower - AWS Control Tower
Konfigurieren Sie Ihre AWS Control Tower Tower-RegionenÜberlegungen zur Region Deny Control auf OU-Ebene

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So arbeiten AWS Regionen mit AWS Control Tower

Derzeit wird AWS Control Tower in den folgenden AWS Regionen unterstützt:

  • USA Ost (Nord-Virginia)

  • USA Ost (Ohio)

  • USA West (Oregon)

  • Kanada (Zentral)

  • Asien-Pazifik (Sydney)

  • Asien-Pazifik (Singapur)

  • Europe (Frankfurt)

  • Europa (Irland)

  • Europe (London)

  • Europa (Stockholm)

  • Asien-Pazifik (Mumbai)

  • Asia Pacific (Seoul)

  • Asien-Pazifik (Tokio)

  • Europe (Paris)

  • Südamerika (São Paulo)

  • USA West (Nordkalifornien)

  • Asien-Pazifik (Hongkong)

  • Asien-Pazifik (Jakarta)

  • Asien-Pazifik (Osaka)

  • Europa (Milan)

  • Afrika (Kapstadt)

  • Naher Osten (Bahrain)

  • Israel (Tel Aviv)

  • Naher Osten (UAE)

  • Europa (Spain)

  • Asien-Pazifik (Hyderabad)

  • Europa (Zürich)

  • Asien-Pazifik (Melbourne)

  • Kanada West (Calgary)

Über Ihre Heimatregion

Wenn Sie eine landing zone erstellen, wird die Region, die Sie für den Zugriff auf die AWS Management-Konsole verwenden, zu Ihrer AWS Heimatregion für AWS Control Tower. Während des Erstellungsprozesses werden einige Ressourcen in der Heimatregion bereitgestellt. Andere Ressourcen, wie OUs z. B. AWS Konten, sind global.

Nachdem Sie eine Heimatregion ausgewählt haben, können Sie sie nicht mehr ändern.

Steuerelemente und Regionen

Derzeit funktionieren alle präventiven Kontrollen weltweit. Detective und proaktive Kontrollen funktionieren jedoch nur in Regionen, in denen AWS Control Tower unterstützt wird. Weitere Informationen zum Verhalten von Steuerungen, wenn Sie den AWS Control Tower in einer neuen Region aktivieren, finden Sie unterKonfigurieren Sie Ihre AWS Control Tower Tower-Regionen.

Konfigurieren Sie Ihre AWS Control Tower Tower-Regionen

In diesem Abschnitt wird das Verhalten beschrieben, das Sie erwarten können, wenn Sie Ihre AWS Control Tower Tower-Landezone auf eine neue AWS Region ausdehnen oder eine Region aus Ihrer Landezonenkonfiguration entfernen. Im Allgemeinen wird diese Aktion über die Update-Funktion der AWS Control Tower Tower-Konsole ausgeführt.

Anmerkung

Wir empfehlen Ihnen, Ihre AWS Control Tower Tower-Landezone nicht auf AWS Regionen auszudehnen, in denen Ihre Workloads nicht ausgeführt werden müssen. Wenn Sie sich von einer Region abmelden, werden Sie nicht daran gehindert, Ressourcen in dieser Region einzusetzen, aber diese Ressourcen bleiben außerhalb der AWS Control Tower Tower-Governance.

Während der Konfiguration einer neuen Region aktualisiert der AWS Control Tower die landing zone, was bedeutet, dass er deine landing zone als Basislinie definiert —

  • in allen neu ausgewählten Regionen aktiv zu operieren und

  • die Verwaltung der Ressourcen in den abgewählten Regionen einzustellen.

Einzelne Konten innerhalb Ihrer Organisationseinheiten (OUs), die von AWS Control Tower verwaltet werden, werden im Rahmen dieses Landingzone-Aktualisierungsprozesses nicht aktualisiert. Daher müssen Sie Ihre Konten aktualisieren, indem Sie Ihre Konten erneut registrieren. OUs

Beachten Sie bei der Konfiguration Ihrer AWS Control Tower Tower-Regionen die folgenden Empfehlungen und Einschränkungen:

  • Wählen Sie Regionen aus, in denen Sie AWS Ressourcen oder Workloads hosten möchten.

  • Wenn Sie sich von einer Region abmelden, werden Sie nicht daran gehindert, Ressourcen in dieser Region einzusetzen, aber diese Ressourcen bleiben außerhalb der AWS Control Tower Tower-Governance.

Wenn Sie Ihre landing zone für neue Regionen konfigurieren, halten sich die Detective Controls von AWS Control Tower an die folgenden Regeln:

  • Was vorhanden ist, bleibt gleich. Das Kontrollverhalten, sowohl detektiv als auch präventiv, ist für bestehende OUs Konten in bestehenden Regionen unverändert.

  • Sie können keine neuen detektivischen Kontrollen auf bestehende OUs Konten anwenden, die nicht aktualisiert wurden. Wenn Sie Ihre AWS Control Tower Tower-Landezone für eine neue Region konfiguriert haben (indem Sie Ihre landing zone aktualisiert haben), müssen Sie die vorhandenen Konten in Ihrer vorhandenen aktualisieren, OUs bevor Sie neue Detective Controls für diese OUs und Konten aktivieren können.

  • Ihre bestehenden Detective Controls funktionieren in den neu konfigurierten Regionen, sobald Sie die Konten aktualisieren. Wenn Sie Ihre AWS Control Tower Tower-Landezone aktualisieren, um neue Regionen zu konfigurieren, und dann ein Konto aktualisieren, beginnen die Detective Controls, die bereits auf der Organisationseinheit aktiviert sind, für dieses Konto in den neu konfigurierten Regionen zu funktionieren.

AWSControl Tower Tower-Regionen konfigurieren

  1. Melden Sie sich bei der AWS Control Tower Tower-Konsole an unter https://console.aws.amazon.com/controltower

  2. Wählen Sie im linken Navigationsmenü die Option Landing Zone Settings aus.

  3. Wählen Sie auf der Seite mit den Landingzone-Einstellungen im Bereich Details oben rechts die Schaltfläche Einstellungen ändern aus. Sie werden zum Workflow „landing zone aktualisieren“ weitergeleitet, da für die Verwaltung neuer Regionen oder das Entfernen von Regionen aus der Verwaltung ein Update auf die neueste Landingzone-Version erforderlich ist.

  4. Suchen Sie unter Zusätzliche AWS Regionen für die Verwaltung nach den Regionen, die Sie verwalten (oder beenden) möchten. In der Spalte Bundesland wird angezeigt, welche Regionen Sie derzeit regieren und welche nicht.

  5. Aktivieren Sie das Kontrollkästchen für jede weitere Region, die verwaltet werden soll. Deaktivieren Sie das Kontrollkästchen für jede Region, deren Verwaltung Sie entfernen möchten.

    Anmerkung

    Wenn Sie sich dafür entscheiden, eine Region nicht zu verwalten, können Sie trotzdem Ressourcen in dieser Region einsetzen, aber diese Ressourcen bleiben außerhalb der AWS Control Tower Tower-Governance.

  6. Schließen Sie den Rest des Workflows ab und wählen Sie dann landing zone aktualisieren.

  7. Wenn die Einrichtung der landing zone abgeschlossen ist, registrieren Sie die erneut, OUs um die Konten in Ihren neuen Regionen zu aktualisieren. Weitere Informationen finden Sie unter Wann sollten AWS Control Tower OUs und Konten aktualisiert werden.

Eine alternative Methode zur Bereitstellung oder Aktualisierung einzelner Konten nach der Konfiguration neuer Regionen besteht darin, das API Framework von Service Catalog AWS CLI zu verwenden und die Konten in einem Batch-Prozess zu aktualisieren. Weitere Informationen finden Sie unter Konten mithilfe von Automatisierung bereitstellen und aktualisieren.

Überlegungen zur Region Deny Control auf OU-Ebene

Die wichtigste Überlegung bei der Regionsverweigerungssteuerung auf OU-Ebene besteht darin, zu bestimmen, wie sie mit der Regionsverweigerungssteuerung der landing zone interagiert, wenn beide aktiviert sind. Weitere Informationen finden Sie unter Auf die Organisationseinheit angewendete Steuerung zur Verweigerung von Regionen.

Möglicherweise möchten Sie auch den Artikel Configure the Region Deny Control nachlesen.