Administrative Tipps für die Einrichtung der landing zone - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Administrative Tipps für die Einrichtung der landing zone

Hier finden Sie einige Tipps zur Einrichtung und Konfiguration Ihrer landing zone.

  • Die AWS Region, in der Sie am meisten arbeiten, sollte Ihre Heimatregion sein.

  • Richten Sie Ihre landing zone ein und stellen Sie Ihre Account Factory Factory-Konten von Ihrer Heimatregion aus bereit.

  • Wenn Sie in mehrere AWS Regionen investieren, stellen Sie sicher, dass sich Ihre Cloud-Ressourcen in der Region befinden, in der Sie den Großteil Ihrer Cloud-Verwaltungsarbeit erledigen und Ihre Workloads ausführen werden.

  • Indem Sie Ihre Workloads und Logs in derselben AWS Region speichern, reduzieren Sie die Kosten, die mit dem Verschieben und Abrufen von Protokollinformationen zwischen Regionen verbunden wären.

  • Das Audit und andere Amazon S3 S3-Buckets werden in derselben AWS Region erstellt, von der aus Sie AWS Control Tower starten. Wir empfehlen, diese Buckets nicht zu verschieben.

  • Sie können Ihre eigenen Log-Buckets im Log Archive-Konto erstellen, dies wird jedoch nicht empfohlen. Achten Sie darauf, die von AWS Control Tower erstellten Buckets zu belassen.

  • Ihre Amazon S3 S3-Zugriffsprotokolle müssen sich in derselben AWS Region wie die Quell-Buckets befinden.

  • Beim Start müssen die AWS Security Token Service (STS) -Endpunkte im Verwaltungskonto für alle von AWS Control Tower unterstützten Regionen aktiviert werden. Andernfalls kann der Start während des Konfigurationsprozesses fehlschlagen.

  • AWSControl Tower unterstützt Tagging nur für aktivierte Steuerelemente. Weitere Informationen finden Sie unter AWSControl Tower unterstützt Tagging für aktivierte Steuerelemente.

  • Wir empfehlen, die Multi-Faktor-Authentifizierung (MFA) für jedes Konto zu aktivieren, das AWS Control Tower verwaltet.

Überlegungen zu VPCs

  • Der von AWS Control Tower VPC erstellte ist auf das beschränkt, AWS-Regionen in dem der AWS Control Tower verfügbar ist. Einige Kunden, deren Workloads in Regionen ausgeführt werden, die nicht unterstützt werden, möchten möglicherweise das deaktivierenVPC, das mit Ihrem Account Factory erstellt wurde. Möglicherweise ziehen sie es vor, VPC mithilfe des Service Catalog-Portfolios ein neues zu erstellen oder ein benutzerdefiniertes zu erstellenVPC, das nur in den erforderlichen Regionen ausgeführt wird.

  • Das von AWS Control Tower VPC erstellte ist nicht dasselbe wie das StandardformatVPC, das für alle erstellt wurde AWS-Konten. In Regionen, in denen der AWS Control Tower unterstützt wird, löscht der AWS Control Tower die StandardeinstellungVPC, wenn er den AWS Control Tower VPC erstellt.

  • Wenn du deinen Standard VPC in deiner AWS Heimatregion löschst, ist es am besten, ihn in allen anderen AWS Regionen zu löschen.