Conseils administratifs pour la configuration de la zone d'atterrissage - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conseils administratifs pour la configuration de la zone d'atterrissage

Voici quelques conseils pour configurer et configurer votre zone d'atterrissage.

  • La AWS région dans laquelle vous travaillez le plus devrait être votre région d'origine.

  • Configurez votre zone de landing zone et déployez vos comptes Account Factory depuis votre région d'origine.

  • Si vous investissez dans plusieurs AWS régions, assurez-vous que vos ressources cloud se trouvent dans la région où vous effectuerez la plupart de vos tâches administratives dans le cloud et exécuterez vos charges de travail.

  • En conservant vos charges de travail et vos journaux dans la même AWS région, vous réduisez les coûts associés au déplacement et à la récupération des informations des journaux d'une région à l'autre.

  • L'audit et les autres compartiments Amazon S3 sont créés dans la même AWS région à partir de laquelle vous lancez AWS Control Tower. Nous vous recommandons de ne pas déplacer ces compartiments.

  • Vous pouvez créer vos propres compartiments de journal dans le compte Log Archive, mais cela n'est pas recommandé. N'oubliez pas de laisser les buckets créés par AWS Control Tower.

  • Vos journaux d'accès Amazon S3 doivent se trouver dans la même AWS région que les compartiments source.

  • Lors du lancement, les points de terminaison AWS Security Token Service (STS) doivent être activés dans le compte de gestion, pour toutes les régions prises en charge par AWS Control Tower. Sinon, le lancement peut échouer au milieu du processus de configuration.

  • AWSControl Tower prend en charge le balisage uniquement pour les commandes activées. Pour de plus amples informations, veuillez consulter AWSControl Tower prend en charge le balisage pour les commandes activées.

  • Nous recommandons d'activer l'authentification multifactorielle (MFA) pour chaque compte géré par AWS Control Tower.

Considérations relatives à VPCs

  • La VPC version créée par AWS Control Tower est limitée à la Régions AWS version dans laquelle AWS Control Tower est disponible. Certains clients dont les charges de travail s'exécutent dans des régions non prises en charge souhaiteront peut-être désactiver le VPC compte Account Factory créé avec votre compte Account Factory. Ils peuvent préférer en créer un nouveau à VPC l'aide du portefeuille Service Catalog ou créer une version personnalisée VPC qui ne s'exécute que dans les régions requises.

  • La valeur VPC créée par AWS Control Tower n'est pas la même que la valeur par défaut VPC créée pour tous Comptes AWS. Dans les régions où AWS Control Tower est prise en charge, AWS Control Tower supprime la valeur par défaut VPC lors de la création de la AWS Control TowerVPC.

  • Si vous supprimez votre option par défaut VPC dans votre AWS région d'origine, il est préférable de la supprimer dans toutes les autres AWS régions.