Pertimbangan untuk mengaktifkan AWS opt-in Wilayah - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertimbangan untuk mengaktifkan AWS opt-in Wilayah

Meskipun sebagian besar Wilayah AWS aktif secara default untuk Akun AWS, Wilayah tertentu diaktifkan hanya jika Anda memilihnya secara manual. Dokumen ini mengacu pada Wilayah tersebut sebagai Wilayah keikutsertaan. Sebaliknya, Wilayah yang aktif secara default, segera setelah Anda Akun AWS dibuat, disebut sebagai Daerah komersial, atau hanya, Wilayah.

Istilah opt-in memiliki dasar historis. Setiap Wilayah AWS diperkenalkan setelah 20 Maret 2019 dianggap sebagai wilayah opt-in. Wilayah Keikutsertaan memiliki persyaratan keamanan yang lebih tinggi daripada Wilayah komersial, mengenai pembagian IAM data melalui akun yang aktif di Wilayah keikutsertaan. Semua data yang dikelola melalui IAM layanan dianggap sebagai data identitas, termasuk pengguna, grup, peran, kebijakan, penyedia identitas, data terkait (misalnya, sertifikat penandatanganan X.509 atau kredensi khusus konteks), dan pengaturan tingkat akun lainnya, seperti kebijakan kata sandi dan alias akun.

Anda dapat mengaktifkan opt-in Regions secara otomatis selama pengaturan landing zone, dengan memilihnya. Landing zone Anda menjadi aktif di semua Wilayah yang dipilih.

Jika Anda memilih untuk memilih Region opt-in sebagai Wilayah rumah AWS Control Tower Anda, aktifkan terlebih dahulu dengan mengikuti langkah-langkah di Mengaktifkan Wilayah, saat masuk ke AWS Konsol Manajemen. Untuk membawa akun Arsip Log dan Audit Anda sendiri dari Region opt-in, aktifkan Region tersebut secara manual terlebih dahulu.

Bagian AWS Wilayah keikutsertaan mencakup beberapa Wilayah di mana AWS Control Tower tersedia:

  • Wilayah Asia Pasifik (Hong Kong), ap-east-1

  • Wilayah Asia Pasifik (Jakarta), ap-southeast-3

  • Wilayah Eropa (Milan), eu-south-1

  • Wilayah Afrika (Cape Town), af-south-1

  • Wilayah Timur Tengah (Bahrain), me-south-1

  • Israel (Tel Aviv), il-central-1

  • Timur Tengah (UAE) Wilayah, me-central-1

  • Wilayah Eropa (Spanyol), eu-south-2

  • Wilayah Asia Pasifik (Hyderabad), ap-south-2

  • Wilayah Eropa (Zurich), eu-central-2

  • Wilayah Asia Pasifik (Melbourne), ap-southeast-4

  • Wilayah Kanada Barat (Calgary), ca-west-1

AWSControl Tower memiliki beberapa kontrol yang bekerja secara berbeda di Wilayah keikutsertaan daripada di Wilayah komersial. Untuk informasi selengkapnya, lihat Keterbatasan kontrol. Berikut adalah beberapa pertimbangan yang perlu diingat saat Anda menerapkan beban kerja ke Wilayah keikutsertaan.

Mengatur atau mengaktifkan?

Ingatlah bahwa mengatur Wilayah adalah tindakan yang dapat Anda pilih dari konsol AWS Control Tower, sehingga kontrol dapat diterapkan di Wilayah. Mengaktifkan atau menonaktifkan Region opt-in adalah tindakan berbeda yang dapat Anda pilih di AWS konsol, yang membuka Wilayah ke akun Anda, sehingga Anda dapat menyebarkan sumber daya dan beban kerja di Wilayah.

Pertimbangan perilaku

  • Jika Anda memilih untuk mengatur Wilayah keikutsertaan, kami menyarankan agar Anda tidak menonaktifkan (memilih keluar dari) Wilayah keikutsertaan yang diatur, karena hal itu dapat menyebabkan kegagalan beban kerja Anda. AWSControl Tower tidak mengizinkan penonaktifan Wilayah yang diatur dari dalam konsol AWS Control Tower, tetapi pastikan Anda tidak menonaktifkan Wilayah yang diatur dari sumber di luar AWS Control Tower, seperti AWS Konsol penagihan atau AWS SDK.

  • Ketika AWS Control Tower memperluas tata kelola ke Region opt-in, Control Tower mengaktifkan (opts-in) ke Region di semua akun anggota. Saat Anda menghapus Wilayah dari tata kelola, AWS Control Tower tidak menonaktifkan (opt-out) Wilayah di akun anggota.

  • Selama pembatalan pemilihan Wilayah, AWS Control Tower melewatkan penghapusan sumber daya dari Wilayah keikutsertaan jika Wilayah tersebut dinonaktifkan secara manual untuk akun dari sumber di luar AWS Control Tower, seperti AWS Konsol penagihan atau AWS SDK. Kami menyarankan Anda menghapus sumber daya dari Wilayah yang telah dinonaktifkan, atau Anda mungkin menerima biaya penagihan tak terduga untuk sumber daya tersebut.

  • Jika landing zone Anda dinonaktifkan, AWS Control Tower membersihkan sumber daya di semua Wilayah yang diatur, termasuk Wilayah keikutsertaan. Namun, AWS Control Tower tidak menonaktifkan Wilayah keikutsertaan. Anda dapat menonaktifkan Wilayah keikutsertaan sebagai langkah tambahan setelah dinonaktifkan.

  • Jika Wilayah asal Anda adalah Region keikutsertaan, dan jika Anda ingin mendaftarkan akun yang ada sebagai akun Arsip Log dan Audit, Anda harus mengaktifkan Region opt-in secara manual sebelum dapat memilihnya sebagai Wilayah asal untuk landing zone Anda. Lihat Mengaktifkan Wilayah.

  • Jika AWS Control Tower diatur dengan Wilayah keikutsertaan sebagai Wilayah asal Anda, dan jika Anda mengunjungi layanan AWS Control Tower dari AWS konsol di Wilayah lain, konsol tidak mengarahkan Anda secara otomatis ke Wilayah rumah.

  • Yang mendasari API memiliki batas kapasitas, yang dapat meningkatkan latensi dari beberapa menit menjadi beberapa jam, tergantung pada jumlah Wilayah, akun, dan beban layanan. Sebagai praktik terbaik, keikutsertaan hanya untuk mereka yang Wilayah AWS di mana Anda akan menjalankan beban kerja, dan ikut serta dalam satu Wilayah pada satu waktu.

Batasan penting untuk tata kelola dan akun

  • Jika 16 atau lebih Wilayah komersial di mana AWS Control Tower tersedia diatur, termasuk Wilayah keikutsertaan, batas atas jumlah akun per unit organisasi (OU), dikurangi, saat mendaftarkan OU. Untuk informasi selengkapnya, lihat Batasan berdasarkan yang mendasarinya AWS layanan.