Consideraciones para la activación AWS Regiones de suscripción - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones para la activación AWS Regiones de suscripción

Aunque la mayoría Regiones de AWS están activos de forma predeterminada para su Cuenta de AWS, algunas regiones solo se activan cuando las seleccionas manualmente. En este documento se hace referencia a esas regiones como regiones de suscripción voluntaria. Por el contrario, las regiones que están activas de forma predeterminada, tan pronto como Cuenta de AWS se crean, se denominan regiones comerciales o, simplemente, regiones.

El término suscripción voluntaria tiene una base histórica. Cualquiera Regiones de AWS introducidas después del 20 de marzo de 2019 se consideran regiones de suscripción voluntaria. Las regiones de suscripción voluntaria tienen requisitos de seguridad más estrictos que las regiones comerciales en lo que respecta al intercambio de IAM datos a través de cuentas activas en las regiones de suscripción voluntaria. Todos los datos gestionados a través del IAM servicio se consideran datos de identidad, incluidos los usuarios, los grupos, las funciones, las políticas, los proveedores de identidad, sus datos asociados (por ejemplo, los certificados de firma X.509 o las credenciales específicas del contexto) y otros ajustes a nivel de cuenta, como la política de contraseñas y el alias de la cuenta.

Puedes activar automáticamente las regiones de suscripción durante la configuración de la landing zone, seleccionándolas. Tu landing zone se activará en todas las regiones seleccionadas.

Si eliges seleccionar una región de suscripción como región de origen de la Torre de AWS Control Tower, actívala primero siguiendo los pasos que se indican en Habilitar una región, cuando hayas iniciado sesión en AWS Consola de administración. Para crear sus propias cuentas de registro, archivar y auditar existentes en una región que haya optado por participar, active primero esa región manualmente.

La AWS Las regiones optativas incluyen varias regiones en las que la Torre AWS de Control está disponible:

  • Región de Asia Pacífico (Hong Kong), ap-east-1

  • Región de Asia Pacífico (Yakarta), ap-southeast-3

  • Región Europa (Milán), eu-south-1

  • Región de África (Ciudad del Cabo), af-south-1

  • Región de Medio Oriente (Bahréin), me-south-1

  • Israel (Tel Aviv), il-central-1

  • Región Medio Oriente (UAE), me-central-1

  • Región Europa (España), eu-south-2

  • Región Asia Pacífico (Hyderabad), ap-south-2

  • Región Europa (Zúrich), eu-central-2

  • Región Asia Pacífico (Melbourne), ap-southeast-4

  • Región Canadá Oeste (Calgary), ca-west-1

AWSLa Torre de Control tiene algunos controles que funcionan de forma diferente en las regiones de suscripción que en las regiones comerciales. Para obtener más información, consulte Limitaciones de control. Estas son algunas consideraciones que debes tener en cuenta a la hora de implementar cargas de trabajo en las regiones en las que se haya optado por participar.

¿Gobernar o activar?

Recuerda que gobernar una región es una acción que puedes seleccionar desde la consola de la Torre de AWS Control Tower para que los controles se puedan aplicar en la región. Activar o desactivar una región opcional es otra acción que puedes elegir en el AWS consola, que abre la región a su cuenta para que pueda implementar recursos y cargas de trabajo en la región.

Consideraciones sobre el comportamiento

  • Si decide regir las regiones de suscripción voluntaria, le recomendamos que no desactive (excluya) ninguna de las regiones de suscripción reguladas, ya que esto podría provocar fallos en sus cargas de trabajo. AWSLa Torre de Control no permite la desactivación de una región gobernada desde la consola de la Torre de AWS Control, pero asegúrate de no desactivar las regiones gobernadas desde una fuente ajena a la Torre de AWS Control, como la AWS Consola de facturación o AWS SDK.

  • Cuando AWS Control Tower extiende la gobernanza a una región con suscripción voluntaria, la activa (opta por participar) en la región en todas las cuentas de los miembros. Cuando eliminas una región de la gobernanza, AWS Control Tower no la desactiva (excluye) la región en las cuentas de los miembros.

  • Al anular la selección de una región, la Torre de AWS Control omite la eliminación de recursos de una región habilitada si esa región se desactivó manualmente para una cuenta de una fuente ajena a la Torre AWS de Control, como la AWS Consola de facturación o AWS SDK. Te recomendamos que retires los recursos de las regiones que hayas desactivado o podrías recibir cargos de facturación inesperados por esos recursos.

  • Si tu landing zone se retira del servicio, la Torre de AWS Control limpia los recursos de todas las regiones gobernadas, incluidas las regiones en las que se ha optado por participar. Sin embargo, la Torre de AWS Control no desactiva las regiones opcionales. Puedes desactivar las regiones habilitadas como paso adicional tras el desmantelamiento.

  • Si tu región de origen es una región de suscripción voluntaria y pretendes inscribir las cuentas existentes como tus cuentas de archivo de registros y auditoría, debes activar manualmente la región de suscripción antes de poder seleccionarla como región de origen para tu landing zone. Consulte Habilitar una región.

  • Si la Torre de AWS Control está configurada con una región opcional como región de origen y si visita el servicio de Torre de AWS Control desde el AWS consola de cualquier otra región, la consola no te redirige automáticamente a la región de origen.

  • La base API tiene límites de capacidad, que pueden aumentar la latencia de unos minutos a varias horas, en función del número de regiones, cuentas y carga de servicios. Como práctica recomendada, opte únicamente por las Regiones de AWS donde ejecutará las cargas de trabajo y optará por participar en una región a la vez.

Limitaciones importantes para la gobernanza y las cuentas

  • Si se rigen 16 o más regiones comerciales en las que está disponible la Torre de AWS Control, incluidas las regiones con suscripción voluntaria, se reduce el límite máximo de cuentas por unidad organizativa (OU) al registrar una OU. Para obtener más información, consulte Limitaciones basadas en las subyacentes AWS servicios.