Administrative Tipps für die Einrichtung der landing zone - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Administrative Tipps für die Einrichtung der landing zone

  • Das Tool AWS Die Region, in der Sie am meisten arbeiten, sollte Ihre Heimatregion sein.

  • Richten Sie Ihre landing zone ein und stellen Sie Ihre Account Factory Factory-Konten von Ihrer Heimatregion aus bereit.

  • Wenn Sie in mehrere investieren AWS Regionen: Stellen Sie sicher, dass sich Ihre Cloud-Ressourcen in der Region befinden, in der Sie den Großteil Ihrer Cloud-Verwaltungsarbeit erledigen und Ihre Workloads ausführen werden.

  • Indem Sie Ihre Workloads und Logs unverändert lassen AWS Region: Sie reduzieren die Kosten, die mit dem Verschieben und Abrufen von Protokollinformationen zwischen Regionen verbunden wären.

  • Das Audit und andere Amazon S3 S3-Buckets werden in demselben erstellt AWS Region, von der aus Sie AWS Control Tower starten. Wir empfehlen, diese Buckets nicht zu verschieben.

  • Sie können im Log Archive-Konto Ihre eigenen Log-Buckets erstellen, dies wird jedoch nicht empfohlen. Achten Sie darauf, die von AWS Control Tower erstellten Buckets zu belassen.

  • Ihre Amazon S3 S3-Zugriffsprotokolle müssen sich im selben Ordner befinden AWS Region wie die Quell-Buckets.

  • Beim Start AWS Security Token Service (STS) -Endpunkte müssen im Verwaltungskonto für alle von AWS Control Tower unterstützten Regionen aktiviert sein. Andernfalls kann der Start während des Konfigurationsprozesses fehlschlagen.

  • AWSControl Tower unterstützt Tagging nur für aktivierte Steuerelemente. Weitere Informationen finden Sie unter AWSControl Tower unterstützt Tagging für aktivierte Steuerelemente.

  • Wir empfehlen, die Multi-Faktor-Authentifizierung (MFA) für jedes Konto zu aktivieren, das AWS Control Tower verwaltet.

Überlegungen zu VPCs

  • Das von AWS Control Tower VPC erstellte ist beschränkt auf die AWS-Regionen in dem AWS Control Tower verfügbar ist. Einige Kunden, deren Workloads in nicht unterstützten Regionen ausgeführt werden, möchten möglicherweise das deaktivierenVPC, das mit Ihrem Account Factory erstellt wurde. Möglicherweise ziehen sie es vor, VPC mithilfe des Service Catalog-Portfolios ein neues zu erstellen oder ein benutzerdefiniertes zu erstellenVPC, das nur in den erforderlichen Regionen ausgeführt wird.

  • Das von AWS Control Tower VPC erstellte ist nicht dasselbe wie das StandardformatVPC, das für alle erstellt wurde AWS-Konten. In Regionen, in denen der AWS Control Tower unterstützt wird, löscht der AWS Control Tower die StandardeinstellungVPC, wenn er den AWS Control Tower VPC erstellt.

  • Wenn Sie Ihren Standard VPC in Ihrem Zuhause löschen AWS Region, es ist am besten, es in allen anderen zu löschen AWS Regionen.