Administrative Tipps für die Einrichtung der landing zone - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Administrative Tipps für die Einrichtung der landing zone

Hier finden Sie einige Tipps zur Einrichtung und Konfiguration Ihrer landing zone.

  • Die AWS Region, in der Sie am meisten arbeiten, sollte Ihre Heimatregion sein.

  • Richten Sie Ihre landing zone ein und stellen Sie Ihre Account Factory Factory-Konten von Ihrer Heimatregion aus bereit.

  • Wenn Sie in mehrere AWS Regionen investieren, stellen Sie sicher, dass sich Ihre Cloud-Ressourcen in der Region befinden, in der Sie den Großteil Ihrer Cloud-Verwaltungsarbeit erledigen und Ihre Workloads ausführen werden.

  • Indem Sie Ihre Workloads und Logs in derselben AWS Region speichern, reduzieren Sie die Kosten, die mit dem Verschieben und Abrufen von Protokollinformationen zwischen Regionen verbunden wären.

  • Das Audit und andere Amazon S3 S3-Buckets werden in derselben AWS Region erstellt, von der aus Sie AWS Control Tower starten. Wir empfehlen, diese Buckets nicht zu verschieben.

  • Sie können Ihre eigenen Log-Buckets im Log Archive-Konto erstellen, dies wird jedoch nicht empfohlen. Achten Sie darauf, die von AWS Control Tower erstellten Buckets zu belassen.

  • Ihre Amazon S3 S3-Zugriffsprotokolle müssen sich in derselben AWS Region wie die Quell-Buckets befinden.

  • Beim Start müssen AWS Security Token Service (STS) -Endpunkte im Verwaltungskonto für alle von AWS Control Tower unterstützten Regionen aktiviert werden. Andernfalls kann der Start während des Konfigurationsprozesses fehlschlagen.

  • AWS Control Tower unterstützt Tagging nur für aktivierte Kontrollen. Weitere Informationen finden Sie unter AWS Control Tower unterstützt Tagging für aktivierte Kontrollen.

  • Wir empfehlen, die Multi-Faktor-Authentifizierung (MFA) für jedes Konto zu aktivieren, das AWS Control Tower verwaltet.

Überlegungen zu VPCs

  • Die von AWS Control Tower erstellte VPC ist auf das beschränkt, AWS-Regionen in dem AWS Control Tower verfügbar ist. Einige Kunden, deren Workloads in nicht unterstützten Regionen ausgeführt werden, möchten möglicherweise die VPC deaktivieren, die mit Ihrem Account Factory erstellt wurde. Möglicherweise ziehen sie es vor, mithilfe des Service Catalog-Portfolios eine neue VPC zu erstellen oder eine benutzerdefinierte VPC zu erstellen, die nur in den erforderlichen Regionen ausgeführt wird.

  • Die von AWS Control Tower erstellte VPC entspricht nicht der Standard-VPC, die für alle erstellt wurde. AWS-Konten In Regionen, in denen AWS Control Tower unterstützt wird, löscht AWS Control Tower die Standard-VPC, wenn die AWS Control Tower Tower-VPC erstellt wird.

  • Wenn Sie Ihre Standard-VPC in Ihrer AWS Heimatregion löschen, löschen Sie sie am besten in allen anderen AWS Regionen.