Considérations relatives à l'activation AWS Régions optionnelles - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations relatives à l'activation AWS Régions optionnelles

Bien que la plupart Régions AWS sont actifs par défaut pour votre Compte AWS, certaines régions ne sont activées que lorsque vous les sélectionnez manuellement. Dans le présent document, ces régions sont appelées « régions optionnelles ». En revanche, les régions qui sont actives par défaut, dès que votre Compte AWS est créée, est appelée « régions commerciales » ou simplement « régions ».

Le terme « opt-in » a une base historique. N’importe quel compte Régions AWS introduites après le 20 mars 2019 sont considérées comme des régions optionnelles. Les régions optionnelles ont des exigences de sécurité plus strictes que les régions commerciales, en ce qui concerne le partage de IAM données par le biais de comptes actifs dans les régions optionnelles. Toutes les données gérées par le biais du IAM service sont considérées comme des données d'identité, y compris les utilisateurs, les groupes, les rôles, les politiques, les fournisseurs d'identité, leurs données associées (par exemple, les certificats de signature X.509 ou les informations d'identification spécifiques au contexte) et les autres paramètres au niveau du compte, tels que la politique de mot de passe et l'alias du compte.

Vous pouvez activer automatiquement les régions optionnelles lors de la configuration de la zone d'atterrissage, en les sélectionnant. Votre zone de landing devient active dans toutes les régions sélectionnées.

Si vous choisissez de sélectionner une région opt-in comme région d'origine de votre AWS Control Tower, activez-la d'abord en suivant les étapes décrites dans Enabling a Region, lorsque vous êtes connecté au AWS Console de gestion. Pour transférer vos propres comptes d'archivage de journaux et d'audit existants depuis une région optionnelle, activez d'abord manuellement cette région.

Le AWS Les régions optionnelles incluent plusieurs régions dans lesquelles AWS Control Tower est disponible :

  • Région Asie-Pacifique (Hong Kong), ap-east-1

  • Région Asie-Pacifique (Jakarta), ap-southeast-3

  • Région Europe (Milan), eu-south-1

  • Région Afrique (Cape Town), af-south-1

  • Région du Moyen-Orient (Bahreïn), me-south-1

  • Israël (Tel Aviv), il-central-1

  • Région du Moyen-Orient (UAE), me-central-1

  • Région Europe (Espagne), eu-south-2

  • Région Asie-Pacifique (Hyderabad), ap-south-2

  • Région Europe (Zurich), eu-central-2

  • Région Asie-Pacifique (Melbourne), ap-southeast-4

  • Région du Canada Ouest (Calgary), ca-west-1

AWSCertaines commandes de Control Tower ne fonctionnent pas de la même manière dans les Régions optionnelles que dans les Régions commerciales. Pour de plus amples informations, veuillez consulter Limites de contrôle. Voici quelques points à prendre en compte lorsque vous déployez des charges de travail dans des régions optionnelles.

Gouverner ou activer ?

N'oubliez pas que gouverner une région est une action que vous pouvez sélectionner depuis la console AWS Control Tower, afin que les contrôles puissent être appliqués dans la région. L'activation ou la désactivation d'une région opt-in est une action différente que vous pouvez choisir dans le AWS console, qui ouvre la région à votre compte, afin que vous puissiez déployer des ressources et des charges de travail dans la région.

Considérations comportementales

  • Si vous choisissez de gérer les régions optionnelles, nous vous recommandons de ne désactiver (de vous désinscrire) aucune de vos régions optionnelles gouvernées, car cela pourrait entraîner l'échec de vos charges de travail. AWSControl Tower n'autorise pas la désactivation d'une région gouvernée depuis la console AWS Control Tower, mais veillez à ne pas désactiver les régions gouvernées depuis une source extérieure à AWS Control Tower, telle que AWS Console de facturation ou AWS SDK.

  • Lorsque AWS Control Tower étend la gouvernance à une région optionnelle, elle active (opts-in) la région dans tous les comptes membres. Lorsque vous retirez une région de la gouvernance, AWS Control Tower ne la désactive pas (ne désactive pas) la région dans les comptes des membres.

  • Lors de la désélection d'une région, AWS Control Tower ne supprime pas les ressources d'une région optionnelle si cette région a été désactivée manuellement pour un compte provenant d'une source extérieure à AWS Control Tower, telle que AWS Console de facturation ou AWS SDK. Nous vous recommandons de supprimer les ressources des régions que vous avez désactivées, sous peine de recevoir des frais de facturation imprévus pour ces ressources.

  • Si votre zone d'atterrissage est mise hors service, AWS Control Tower nettoie les ressources de toutes les régions gouvernées, y compris les régions optionnelles. Cependant, AWS Control Tower ne désactive pas les régions optionnelles. Vous pouvez désactiver les régions optionnelles comme étape supplémentaire après la mise hors service.

  • Si votre région d'origine est une région optionnelle, et si vous avez l'intention d'inscrire des comptes existants en tant que comptes d'archivage des journaux et d'audit, vous devez activer manuellement la région optionnelle avant de pouvoir la sélectionner comme région d'origine pour votre zone d'atterrissage. Consultez la section Activation d'une région.

  • Si AWS Control Tower est configurée avec une région optionnelle comme région d'origine, et si vous consultez le service AWS Control Tower depuis le AWS console dans une autre région, la console ne vous redirige pas automatiquement vers la région d'origine.

  • Le sous-jacent API comporte des limites de capacité, qui peuvent faire passer le temps de latence de quelques minutes à plusieurs heures, en fonction du nombre de régions, de comptes et de la charge de service. À titre de bonne pratique, n'inscrivez que les Régions AWS où vous exécuterez des charges de travail et opterez pour une région à la fois.

Limitations importantes relatives à la gouvernance et aux comptes

  • Si 16 régions commerciales ou plus dans lesquelles AWS Control Tower est disponible sont régies, y compris les régions optionnelles, la limite supérieure du nombre de comptes par unité organisationnelle (UO) est réduite lors de l'enregistrement d'une UO. Pour plus d'informations, voir Limitations basées sur le sous-jacent AWS services.