Cómo funcionan AWS las regiones con AWS Control Tower - AWS Control Tower
Configure sus regiones de AWS Control TowerEvite la gobernanza mixta al configurar las regionesLas consideraciones para la región a nivel de la OU niegan el control

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funcionan AWS las regiones con AWS Control Tower

Actualmente, AWS Control Tower es compatible con las siguientes AWS regiones:

  • Este de EE. UU. (Norte de Virginia)

  • Este de EE. UU. (Ohio)

  • Oeste de EE. UU. (Oregón)

  • Canadá (centro)

  • Asia-Pacífico (Sídney)

  • Asia-Pacífico (Singapur)

  • Europa (Fráncfort)

  • Europa (Irlanda)

  • Europe (London)

  • Europa (Estocolmo)

  • Asia-Pacífico (Bombay)

  • Asia-Pacífico (Seúl)

  • Asia-Pacífico (Tokio)

  • Europa (París)

  • América del Sur (São Paulo)

  • Oeste de EE. UU. (Norte de California)

  • Asia-Pacífico (Hong Kong)

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

  • África (Ciudad del Cabo)

  • Medio Oriente (Baréin)

  • Israel (Tel Aviv)

  • Medio Oriente (EAU)

  • Europa (España)

  • Asia-Pacífico (Hyderabad)

  • Europa (Zúrich)

  • Asia-Pacífico (Melbourne)

  • Oeste de Canadá (Calgary)

Acerca de su región de origen

Cuando crea una landing zone, la región que utiliza para acceder a la consola de AWS administración se convierte en su AWS región de origen para AWS Control Tower. Durante el proceso de creación, algunos recursos se aprovisionan en la región de origen. Otros recursos, como las unidades organizativas y AWS las cuentas, son globales.

Una vez que haya seleccionado una región de origen, no podrá cambiarla.

Controles y regiones

En la actualidad, todos los controles preventivos funcionan a nivel mundial. Sin embargo, los controles proactivos y de detección solo funcionan en las regiones en las que se admite AWS Control Tower. Para obtener más información sobre el comportamiento de los controles al activar la Torre de Control de AWS en una nueva región, consulteConfigure sus regiones de AWS Control Tower.

Configure sus regiones de AWS Control Tower

En esta sección se describe el comportamiento que puede esperar al extender la zona de aterrizaje de la Torre de Control de AWS a una nueva AWS región o al eliminar una región de la configuración de la zona de aterrizaje. Por lo general, esta acción se realiza mediante la función de actualización de la consola de la Torre de Control de AWS.

nota

Le recomendamos que evite expandir su zona de aterrizaje de AWS Control Tower a AWS regiones en las que no necesite que se ejecuten sus cargas de trabajo. La exclusión voluntaria de una región no le impide implementar recursos en esa región, pero esos recursos permanecerán fuera de la gobernanza de la Torre de Control de AWS.

Durante la configuración de una nueva región, la Torre de Control de AWS actualiza la zona de aterrizaje, lo que significa que sirve de referencia para su zona de aterrizaje:

  • para operar activamente en todas las regiones recién seleccionadas, y

  • dejar de gobernar los recursos en las regiones no seleccionadas.

Las cuentas individuales de sus unidades organizativas (OU) administradas por AWS Control Tower no se actualizan como parte de este proceso de actualización de landing zone. Por lo tanto, debe actualizar sus cuentas volviendo a registrar sus OU.

Al configurar las regiones de la Torre de Control de AWS, tenga en cuenta las siguientes recomendaciones y limitaciones:

  • Seleccione las regiones en las que planea alojar AWS recursos o cargas de trabajo.

  • La exclusión voluntaria de una región no le impide implementar recursos en esa región, pero esos recursos permanecerán fuera de la gobernanza de la Torre de Control de AWS.

Al configurar su landing zone para nuevas regiones, los controles de detección de AWS Control Tower cumplen las siguientes reglas:

  • Lo que existe permanece igual. El comportamiento de las medidas de seguridad, tanto de detección como preventivas, no cambia para las cuentas existentes, en las unidades organizativas existentes, en las regiones existentes.

  • No puede aplicar nuevos controles de detección a las unidades organizativas existentes que contengan cuentas que no estén actualizadas. Cuando haya configurado la zona de aterrizaje de la Torre de Control de AWS en una nueva región (actualizando la zona de aterrizaje), deberá actualizar las cuentas existentes en las OU existentes antes de poder habilitar nuevos controles de detección en esas OU y cuentas.

  • Sus controles de detección actuales comenzarán a funcionar en las regiones recién configuradas en cuanto actualice las cuentas. Cuando actualice la zona de aterrizaje de AWS Control Tower para configurar nuevas regiones y, a continuación, actualice una cuenta, los controles de detección que ya están habilitados en la OU comenzarán a funcionar en esa cuenta en las regiones recién configuradas.

Configuración de las regiones de la Torre de Control de AWS

  1. Inicie sesión en la consola de AWS Control Tower en https://console.aws.amazon.com/controltower

  2. En el menú de navegación del panel izquierdo, seleccione Configuración de la zona de aterrizaje.

  3. En la página de configuración de la zona de aterrizaje, en la sección Detalles, selecciona el botón Modificar la configuración en la esquina superior derecha. Se te redirige al flujo de trabajo de actualización de la zona de aterrizaje, ya que para gobernar nuevas regiones o eliminar regiones de la gobernanza es necesario que actualices a la versión más reciente de la zona de aterrizaje.

  4. En AWS Regiones adicionales para la gobernanza, busca las regiones que quieres gobernar (o dejar de gobernar). La columna Estado indica qué regiones gobiernas actualmente y cuáles no.

  5. Seleccione la casilla de verificación de cada región adicional que desee gobernar. Desactive la casilla de verificación de cada región de la que vaya a eliminar la gobernanza.

    nota

    Si opta por no gobernar una región, podrá seguir desplegando recursos en esa región, pero dichos recursos permanecerán fuera de la gobernanza de la Torre de Control de AWS.

  6. Completa el resto del flujo de trabajo y, a continuación, selecciona Actualizar landing zone.

  7. Cuando se complete la configuración de la landing zone, vuelve a registrar las OU para actualizar las cuentas en tus nuevas regiones. Para obtener más información, consulte Cuándo actualizar las unidades organizativas y las cuentas de AWS Control Tower.

Un método alternativo para aprovisionar o actualizar cuentas individuales después de configurar nuevas regiones consiste en utilizar el marco de API de Service Catalog y AWS CLI actualizar las cuentas en un proceso por lotes. Para obtener más información, consulte Aprovisione y actualice las cuentas mediante la automatización.

Evite la gobernanza mixta al configurar las regiones

Es importante actualizar todas las cuentas de una OU después de extender la gobernanza de la Torre de Control de AWS a una nueva Región de AWS y después de eliminar la gobernanza de la Torre de Control de AWS de una región.

La gobernanza mixta es una situación indeseable que puede producirse si los controles que rigen una OU no coinciden completamente con los controles que rigen cada una de las cuentas de una OU. La gobernanza mixta se produce en una OU si las cuentas no se actualizan después de que AWS Control Tower amplíe la gobernanza a una nueva Región de AWS o la elimine.

En esta situación, determinadas cuentas de una OU pueden tener diferentes controles aplicados en distintas regiones, en comparación con otras cuentas de la OU o con respecto a la postura de gobierno general de la zona de destino.

En una OU con gobierno mixto, si aprovisionas una cuenta nueva, esa nueva cuenta recibe la misma postura de gobierno regional y de OU (actualizada) que la landing zone. Sin embargo, las cuentas existentes que aún no se han actualizado no reciben la postura de gobernanza regional actualizada.

En general, la gobernanza mixta puede crear indicadores de estado contradictorios o imprecisos en la consola de AWS Control Tower. Por ejemplo, durante la gobernanza mixta, las regiones optativas se muestran con el estado No gobernadas, en las unidades organizativas registradas, en el caso de las cuentas que aún no se han actualizado.

nota

AWS Control Tower no permite habilitar los controles durante un estado de gobierno mixto.

Comportamiento de los controles durante la gobernanza mixta

  • Durante la gobernanza mixta, AWS Control Tower no puede implementar de manera coherente controles basados en AWS Config reglas (es decir, controles de detección) en regiones que la OU ya muestra como gobernadas, porque algunas cuentas de la OU no se han actualizado. Es posible que reciba un mensaje FAILED_TO_ENABLE de error.

  • Durante la gobernanza mixta, si se amplía la gobernanza de la zona de destino a una región en la que se haya optado por participar y alguna cuenta de la OU aún no se ha actualizado, el funcionamiento de la EnableControl API en la OU no funcionará debido a los controles preventivos y proactivos. Recibirá un mensaje de FAILED_TO_ENABLE error porque las cuentas de miembros no actualizadas de la OU aún no se han incluido en esas regiones.

  • Durante la gobernanza mixta, controles que forman parte del estándar gestionado por el servicio Security Hub: AWS Control Tower no puede informar de conformidad con precisión en las regiones en las que no hay coincidencia entre la configuración de landing zone y las cuentas que no están actualizadas.

  • La gobernanza mixta no modifica el comportamiento de los controles basados en SCP (controles preventivos), que se aplican de manera uniforme a todas las cuentas de una OU y a todas las regiones gobernadas.

nota

La gobernanza mixta no es lo mismo que una deriva, y no se considera una desviación.

Reparar la gobernanza mixta

  • Elija Actualizar cuenta para cada cuenta de la OU que muestre el estado Actualizar disponible en la página Organizations de la consola.

  • Seleccione Reregistrar la OU en la página Organizations, que actualiza automáticamente todas las cuentas de la OU, para las OU con menos de 300 cuentas.

Las consideraciones para la región a nivel de la OU niegan el control

La consideración principal sobre el control de denegación de control de región a nivel de OU es determinar cómo interactuará con el control de denegación de control de la región de landing, si ambos están activados. Para obtener más información, consulte el control de denegación regional aplicado a la OU.