Consejos administrativos para la configuración de la landing zone - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consejos administrativos para la configuración de la landing zone

Estos son algunos consejos para configurar y configurar tu landing zone.

  • La AWS región en la que trabajas más debe ser tu región de origen.

  • Configura tu landing zone y despliega tus cuentas de Account Factory desde tu región de origen.

  • Si va a invertir en varias AWS regiones, asegúrese de que sus recursos de nube estén en la región en la que realizará la mayor parte del trabajo administrativo de la nube y en la que ejecutará sus cargas de trabajo.

  • Al mantener sus cargas de trabajo y registros en la misma AWS región, reduce el costo que implicaría mover y recuperar la información de los registros entre regiones.

  • La auditoría y otros buckets de Amazon S3 se crean en la misma AWS región desde la que se lanza AWS Control Tower. Le recomendamos que no mueva estos buckets.

  • Puede crear sus propios cubos de registro en la cuenta de Log Archive, pero no es recomendable. Asegúrese de dejar los cubos creados por la Torre AWS de Control.

  • Sus registros de acceso a Amazon S3 deben estar en la misma AWS región que los buckets de origen.

  • Al lanzarse, los puntos finales del AWS Security Token Service (STS) deben estar activados en la cuenta de administración en todas las regiones compatibles con AWS Control Tower. De lo contrario, el lanzamiento puede fallar a mitad del proceso de configuración.

  • AWSControl Tower solo admite el etiquetado de los controles habilitados. Para obtener más información, consulte AWSControl Tower admite el etiquetado para los controles habilitados.

  • Recomendamos habilitar la autenticación multifactor (MFA) para todas las cuentas que administra AWS Control Tower.

Consideraciones sobre VPCs
  • Lo VPC creado por AWS Control Tower se limita a aquellos Regiones de AWS en los que AWS Control Tower está disponible. Es posible que algunos clientes cuyas cargas de trabajo se ejecutan en regiones no compatibles deseen deshabilitar la VPC que se crea con su cuenta Account Factory. Es posible que prefieran crear una nueva VPC con la cartera de Service Catalog o crear una personalizada VPC que se ejecute solo en las regiones requeridas.

  • La VPC creada por AWS Control Tower no es la misma que la VPC que se crea por defecto para todas Cuentas de AWS. En las regiones en AWS las que se admite la Torre de AWS Control, la Torre de Control elimina el valor predeterminado VPC al crear la Torre AWS VPC de Control.

  • Si eliminas tu configuración predeterminada VPC en tu AWS región de origen, es mejor eliminarla en todas AWS las demás regiones.