Comment AWS les régions travaillent avec AWS Control Tower - AWS Control Tower
Configurez les régions AWS de votre Control TowerConsidérations relatives au refus de contrôle des régions au niveau de l'UO

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment AWS les régions travaillent avec AWS Control Tower

AWSControl Tower est actuellement prise en charge dans les AWS régions suivantes :

  • USA Est (Virginie du Nord)

  • USA Est (Ohio)

  • USA Ouest (Oregon)

  • Canada (Centre)

  • Asie-Pacifique (Sydney)

  • Asie-Pacifique (Singapour)

  • Europe (Francfort)

  • Europe (Irlande)

  • Europe (Londres)

  • Europe (Stockholm)

  • Asie-Pacifique (Mumbai)

  • Asie-Pacifique (Séoul)

  • Asie-Pacifique (Tokyo)

  • Europe (Paris)

  • Amérique du Sud (São Paulo)

  • USA Ouest (Californie du Nord)

  • Asie-Pacifique (Hong Kong)

  • Asie-Pacifique (Jakarta)

  • Asie-Pacifique (Osaka)

  • Europe (Milan)

  • Afrique (Le Cap)

  • Moyen-Orient (Bahreïn)

  • Israël (Tel Aviv)

  • Moyen-Orient (UAE)

  • Europe (Espagne)

  • Asie-Pacifique (Hyderabad)

  • Europe (Zurich)

  • Asie-Pacifique (Melbourne)

  • Canada Ouest (Calgary)

À propos de votre région d'origine

Lorsque vous créez une zone d'atterrissage, la région que vous utilisez pour accéder à la console AWS de gestion devient votre AWS région d'origine pour AWS Control Tower. Au cours du processus de création, certaines ressources sont mises à disposition dans la région d'origine. Les autres ressources, telles que OUs les AWS comptes, sont mondiales.

Une fois que vous avez sélectionné une région d'origine, vous ne pouvez pas la modifier.

Contrôles et régions

À l'heure actuelle, tous les contrôles préventifs fonctionnent dans le monde entier. Les contrôles Detective et proactifs ne fonctionnent toutefois que dans les régions où AWS Control Tower est compatible. Pour plus d'informations sur le comportement des commandes lorsque vous activez AWS Control Tower dans une nouvelle région, consultezConfigurez les régions AWS de votre Control Tower.

Configurez les régions AWS de votre Control Tower

Cette section décrit le comportement auquel vous pouvez vous attendre lorsque vous étendez la zone d'atterrissage de votre AWS Control Tower dans une nouvelle AWS région ou que vous supprimez une région de la configuration de votre zone d'atterrissage. Généralement, cette action est effectuée via la fonction Update de la console AWS Control Tower.

Note

Nous vous recommandons d'éviter d'étendre la zone d'atterrissage de votre AWS Control Tower à AWS des régions dans lesquelles vous n'avez pas besoin de vos charges de travail pour fonctionner. Le fait de vous désinscrire d'une région ne vous empêche pas de déployer des ressources dans cette région, mais ces ressources resteront en dehors de la gouvernance de AWS Control Tower.

Lors de la configuration d'une nouvelle région, AWS Control Tower met à jour la zone d'atterrissage, ce qui signifie qu'elle définit votre zone d'atterrissage comme base de référence :

  • opérer activement dans toutes les régions nouvellement sélectionnées, et

  • pour cesser de gérer les ressources dans les régions désélectionnées.

Les comptes individuels de vos unités organisationnelles (OUs) gérés par AWS Control Tower ne sont pas mis à jour dans le cadre de ce processus de mise à jour de la zone d'atterrissage. Par conséquent, vous devez mettre à jour vos comptes en réenregistrant votreOUs.

Lorsque vous configurez les régions de votre AWS Control Tower, tenez compte des recommandations et limites suivantes :

  • Sélectionnez les régions dans lesquelles vous prévoyez d'héberger des AWS ressources ou des charges de travail.

  • Le fait de vous désinscrire d'une région ne vous empêche pas de déployer des ressources dans cette région, mais ces ressources resteront en dehors de la gouvernance de AWS Control Tower.

Lorsque vous configurez votre zone d'atterrissage pour de nouvelles régions, les commandes de détection de AWS Control Tower respectent les règles suivantes :

  • Le comportement reste le même pour les éléments existants. Les comportements de contrôle, qu'ils soient détectifs ou préventifs, restent inchangés pour les comptes existantsOUs, dans les régions existantes.

  • Vous ne pouvez pas appliquer de nouveaux contrôles de détection à OUs des comptes contenant existants qui ne sont pas mis à jour. Lorsque vous avez configuré votre zone d'atterrissage de AWS Control Tower dans une nouvelle région (en mettant à jour votre zone d'atterrissage), vous devez mettre à jour les comptes existants OUs avant de pouvoir activer de nouveaux contrôles de détection sur ces derniers OUs et sur les comptes.

  • Vos contrôles de détection existants commencent à fonctionner dans les régions nouvellement configurées dès que vous mettez à jour les comptes. Lorsque vous mettez à jour la zone d'atterrissage de votre AWS Control Tower pour configurer de nouvelles régions, puis que vous mettez à jour un compte, les contrôles de détection déjà activés sur l'unité d'organisation commenceront à fonctionner sur ce compte dans les régions nouvellement configurées.

Configurer les régions AWS de Control Tower

  1. Connectez-vous à la console AWS Control Tower à l'adresse https://console.aws.amazon.com/controltower

  2. Dans le menu de navigation du volet gauche, choisissez Paramètres de la zone d'atterrissage.

  3. Sur la page des paramètres de la zone d'atterrissage, dans la section Détails, cliquez sur le bouton Modifier les paramètres en haut à droite. Vous êtes dirigé vers le flux de travail de mise à jour de la zone d'atterrissage, car pour gouverner de nouvelles régions ou supprimer des régions de la gouvernance, vous devez passer à la dernière version de la zone d'atterrissage.

  4. Sous AWS Régions supplémentaires pour la gouvernance, recherchez les régions que vous souhaitez gouverner (ou arrêter de gouverner). La colonne État indique les régions que vous gouvernez actuellement et celles que vous ne gouvernez pas.

  5. Cochez la case correspondant à chaque région supplémentaire à gouverner. Décochez la case correspondant à chaque région dans laquelle vous supprimez la gouvernance.

    Note

    Si vous choisissez de ne pas gouverner une région, vous pouvez toujours y déployer des ressources, mais ces ressources resteront en dehors de la gouvernance de AWS Control Tower.

  6. Terminez le reste du flux de travail, puis choisissez Update landing zone.

  7. Lorsque la configuration de la zone d'atterrissage est terminée, réenregistrez-la OUs pour mettre à jour les comptes dans vos nouvelles régions. Pour de plus amples informations, veuillez consulter Quand mettre à jour AWS Control Tower OUs et ses comptes.

Une autre méthode pour approvisionner ou mettre à jour des comptes individuels après avoir configuré de nouvelles régions consiste à utiliser le API framework de Service Catalog et AWS CLIà mettre à jour les comptes par lots. Pour de plus amples informations, veuillez consulter Fournir et mettre à jour des comptes à l'aide de l'automatisation.

Considérations relatives au refus de contrôle des régions au niveau de l'UO

La principale considération concernant le refus de contrôle de la région au niveau de l'OU est de déterminer comment il interagira avec le contrôle de refus de la région de la zone d'atterrissage, si les deux sont activés. Pour plus d'informations, consultez la section Contrôle de refus de région appliqué à l'unité d'organisation.

Vous pouvez également consulter Configurer le contrôle des refus par région.