Consejos administrativos para la configuración de la zona de aterrizaje - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consejos administrativos para la configuración de la zona de aterrizaje

A continuación se ofrecen algunos consejos para instalar y configurar su zona de aterrizaje.

  • La AWS región en la que trabajas más debe ser tu región de origen.

  • Configure su zona de aterrizaje e implemente sus cuentas del generador de cuentas desde la región de inicio.

  • Si va a invertir en varias AWS regiones, asegúrese de que sus recursos de nube estén en la región en la que realizará la mayor parte del trabajo administrativo de la nube y en la que ejecutará sus cargas de trabajo.

  • Al mantener sus cargas de trabajo y registros en la misma AWS región, reduce el costo que implicaría mover y recuperar la información de los registros entre regiones.

  • La auditoría y otros buckets de Amazon S3 se crean en la misma AWS región desde la que se lanza AWS Control Tower. Le recomendamos que no mueva estos buckets.

  • Puede crear sus propios buckets de registro en la cuenta de archivo de registro, pero no se recomienda. Asegúrese de dejar los buckets creados por AWS Control Tower.

  • Sus registros de acceso a Amazon S3 deben estar en la misma AWS región que los buckets de origen.

  • Al lanzarlo, los puntos de enlace del AWS Security Token Service (STS) deben estar activados en la cuenta de administración en todas las regiones compatibles con AWS Control Tower. De lo contrario, el lanzamiento puede generar un error a mitad del proceso de configuración.

  • AWS Control Tower solo admite etiquetado para los controles habilitados. Para obtener más información, consulte AWS Control Tower admite el etiquetado de controles habilitados.

  • Recomendamos habilitar la autenticación multifactor (MFA) para todas las cuentas que administra AWS Control Tower.

Consideraciones sobre VPCs

  • La VPC creada por la Torre de Control de AWS se limita a la versión Regiones de AWS en la que está disponible la Torre de Control de AWS. Es posible que algunos clientes cuyas cargas de trabajo se ejecutan en regiones no compatibles deseen deshabilitar la VPC que se crea con su cuenta del generador de cuentas. Es posible que prefieran crear una VPC nueva utilizando la cartera de Service Catalog o una VPC personalizada que se ejecute únicamente en las regiones requeridas.

  • La VPC creada por AWS Control Tower no es la misma que la VPC predeterminada que se crea para todas las Cuentas de AWS. En las regiones en las que se admite AWS Control Tower, AWS Control Tower elimina la VPC predeterminada cuando crea la VPC de AWS Control Tower.

  • Si eliminas tu VPC predeterminada en tu AWS región de origen, es mejor eliminarla en todas las demás AWS regiones.