Conseils administratifs pour la configuration de la zone d'atterrissage - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conseils administratifs pour la configuration de la zone d'atterrissage

Voici quelques conseils pour configurer et configurer votre zone d'atterrissage.

  • La AWS région dans laquelle vous travaillez le plus devrait être votre région d'origine.

  • Configurez votre zone de landing zone et déployez vos comptes Account Factory depuis votre région d'origine.

  • Si vous investissez dans plusieurs AWS régions, assurez-vous que vos ressources cloud se trouvent dans la région où vous effectuerez la plupart de vos tâches administratives dans le cloud et exécuterez vos charges de travail.

  • En conservant vos charges de travail et vos journaux dans la même AWS région, vous réduisez les coûts associés au déplacement et à la récupération des informations des journaux d'une région à l'autre.

  • L'audit et les autres compartiments Amazon S3 sont créés dans la même AWS région à partir de laquelle vous lancez AWS Control Tower. Nous vous recommandons de ne pas déplacer ces compartiments.

  • Vous pouvez créer vos propres compartiments de journal dans le compte Log Archive, mais cela n'est pas recommandé. N'oubliez pas de laisser les compartiments créés par AWS Control Tower.

  • Vos journaux d'accès Amazon S3 doivent se trouver dans la même AWS région que les compartiments source.

  • Lors du lancement, les points de terminaison du AWS Security Token Service (STS) doivent être activés dans le compte de gestion, pour toutes les régions prises en charge par AWS Control Tower. Sinon, le lancement peut échouer au milieu du processus de configuration.

  • AWS Control Tower prend en charge le balisage uniquement pour les contrôles activés. Pour de plus amples informations, veuillez consulter AWS Control Tower prend en charge le balisage pour les contrôles activés.

  • Nous recommandons d'activer l'authentification multifactorielle (MFA) pour chaque compte géré par AWS Control Tower.

Considérations relatives à VPCs

  • Le VPC créé par AWS Control Tower est limité au VPC Régions AWS dans lequel AWS Control Tower est disponible. Certains clients dont les charges de travail s'exécutent dans des régions non prises en charge souhaiteront peut-être désactiver le VPC créé avec votre compte Account Factory. Ils peuvent préférer créer un nouveau VPC à l'aide du portefeuille Service Catalog ou créer un VPC personnalisé qui s'exécute uniquement dans les régions requises.

  • Le VPC créé par AWS Control Tower n'est pas le même que le VPC par défaut créé pour tous. Comptes AWS Dans les régions où AWS Control Tower est pris en charge, AWS Control Tower supprime le VPC par défaut lors de la création du VPC AWS Control Tower.

  • Si vous supprimez votre VPC par défaut dans votre AWS région d'origine, il est préférable de le supprimer dans toutes les autres AWS régions.