Conseils administratifs pour la configuration de la zone d'atterrissage - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conseils administratifs pour la configuration de la zone d'atterrissage

  • Le AWS La région où vous travaillez le plus devrait être votre région d'origine.

  • Configurez votre zone de landing zone et déployez vos comptes Account Factory depuis votre région d'origine.

  • Si vous investissez dans plusieurs AWS Régions : assurez-vous que vos ressources cloud se trouvent dans la région où vous effectuerez la plupart de vos tâches administratives dans le cloud et exécuterez vos charges de travail.

  • En conservant les mêmes charges de travail et les journaux AWS Région, vous réduisez les coûts associés au déplacement et à la récupération des informations du journal d'une région à l'autre.

  • L'audit et les autres compartiments Amazon S3 sont créés dans le même AWS Région à partir de laquelle vous lancez AWS Control Tower. Nous vous recommandons de ne pas déplacer ces compartiments.

  • Vous pouvez créer vos propres compartiments de journal dans le compte Log Archive, mais cela n'est pas recommandé. Assurez-vous de laisser les buckets créés par AWS Control Tower.

  • Vos journaux d'accès Amazon S3 doivent se trouver dans le même AWS Région en tant que compartiments source.

  • Lors du lancement, AWS Les points de terminaison Security Token Service (STS) doivent être activés dans le compte de gestion, pour toutes les régions prises en charge par AWS Control Tower. Sinon, le lancement peut échouer au milieu du processus de configuration.

  • AWSControl Tower prend en charge le balisage uniquement pour les commandes activées. Pour de plus amples informations, veuillez consulter AWSControl Tower prend en charge le balisage pour les commandes activées.

  • Nous recommandons d'activer l'authentification multifactorielle (MFA) pour chaque compte géré par AWS Control Tower.

Considérations relatives à VPCs

  • Le VPC créé par AWS Control Tower est limité à Régions AWS dans lequel AWS Control Tower est disponible. Certains clients dont les charges de travail s'exécutent dans des régions non prises en charge souhaiteront peut-être désactiver le VPC compte Account Factory créé avec votre compte Account Factory. Ils peuvent préférer en créer un nouveau à VPC l'aide du portefeuille Service Catalog ou créer une version personnalisée VPC qui ne s'exécute que dans les régions requises.

  • La valeur VPC créée par AWS Control Tower n'est pas la même que la valeur par défaut VPC créée pour tous Comptes AWS. Dans les régions où AWS Control Tower est prise en charge, AWS Control Tower supprime la valeur par défaut VPC lors de la création de la AWS Control TowerVPC.

  • Si vous supprimez votre adresse par défaut VPC chez vous AWS Région, il est préférable de la supprimer dans toutes les autres AWS Régions.