Bagaimana AWS Daerah Bekerja Dengan AWS Control Tower - AWSControl Tower
Konfigurasikan Wilayah AWS Control TowerPertimbangan untuk Wilayah Tingkat OU menolak kontrol

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana AWS Daerah Bekerja Dengan AWS Control Tower

Saat ini, AWS Control Tower didukung di AWS Wilayah berikut:

  • AS Timur (N. Virginia)

  • AS Timur (Ohio)

  • AS Barat (Oregon)

  • Kanada (Pusat)

  • Asia Pasifik (Sydney)

  • Asia Pasifik (Singapura)

  • Eropa (Frankfurt)

  • Eropa (Irlandia)

  • Europe (London)

  • Eropa (Stockholm)

  • Asia Pasifik (Mumbai)

  • Asia Pasifik (Seoul)

  • Asia Pasifik (Tokyo)

  • Eropa (Paris)

  • Amerika Selatan (São Paulo)

  • AS Barat (California Utara)

  • Asia Pasifik (Hong Kong)

  • Asia Pasifik (Jakarta)

  • Asia Pasifik (Osaka)

  • Eropa (Milan)

  • Afrika (Cape Town)

  • Timur Tengah (Bahrain)

  • Israel (Tel Aviv)

  • Timur Tengah (UAE)

  • Eropa (Spanyol)

  • Asia Pasifik (Hyderabad)

  • Eropa (Zürich)

  • Asia Pasifik (Melbourne)

  • Kanada Barat (Calgary)

Tentang Wilayah asal Anda

Saat Anda membuat landing zone, Wilayah yang Anda gunakan untuk akses ke konsol AWS Manajemen menjadi AWS Region asal Anda untuk AWS Control Tower. Selama proses pembuatan, beberapa sumber daya disediakan di Wilayah asal. Sumber daya lain, seperti OUs dan AWS akun, bersifat global.

Setelah Anda memilih Wilayah rumah, Anda tidak dapat mengubahnya.

Kontrol dan Wilayah

Saat ini, semua kontrol pencegahan bekerja secara global. Detektif dan kontrol proaktif, bagaimanapun, hanya bekerja di Wilayah di mana AWS Control Tower didukung. Untuk informasi selengkapnya tentang perilaku kontrol saat Anda mengaktifkan AWS Control Tower di Wilayah baru, lihatKonfigurasikan Wilayah AWS Control Tower.

Konfigurasikan Wilayah AWS Control Tower

Bagian ini menjelaskan perilaku yang dapat Anda harapkan saat memperluas landing zone AWS Control Tower ke AWS Region baru, atau menghapus Region dari konfigurasi landing zone Anda. Umumnya, tindakan ini dilakukan melalui fungsi Update dari konsol AWS Control Tower.

catatan

Kami menyarankan agar Anda menghindari perluasan landing zone AWS Control Tower Anda ke AWS Wilayah di mana Anda tidak memerlukan beban kerja Anda untuk dijalankan. Memilih keluar dari Wilayah tidak mencegah Anda menyebarkan sumber daya di Wilayah tersebut, tetapi sumber daya tersebut akan tetap berada di luar tata kelola AWS Control Tower.

Selama konfigurasi Region baru, AWS Control Tower memperbarui landing zone, yang berarti bahwa itu menjadi dasar landing zone Anda -

  • untuk beroperasi secara aktif di semua Wilayah yang baru dipilih, dan

  • untuk menghentikan sumber daya yang mengatur di Wilayah yang tidak dipilih.

Akun individual dalam unit organisasi Anda (OUs) yang dikelola oleh AWS Control Tower tidak diperbarui sebagai bagian dari proses pembaruan landing zone ini. Oleh karena itu, Anda harus memperbarui akun Anda dengan mendaftarkan ulang akun AndaOUs.

Saat mengonfigurasi Wilayah AWS Control Tower Anda, perhatikan rekomendasi dan batasan berikut:

  • Pilih Wilayah tempat Anda berencana untuk meng-host AWS sumber daya atau beban kerja.

  • Memilih keluar dari Wilayah tidak mencegah Anda menyebarkan sumber daya di Wilayah tersebut, tetapi sumber daya tersebut akan tetap berada di luar tata kelola AWS Control Tower.

Saat Anda mengonfigurasi landing zone untuk Wilayah baru, AWS kontrol detektif Control Tower mematuhi aturan berikut:

  • Apa yang ada tetap sama. Perilaku kontrol, detektif maupun preventif, tidak berubah untuk akun yang ada, di Wilayah yang adaOUs, di Wilayah yang ada.

  • Anda tidak dapat menerapkan kontrol detektif baru ke akun OUs berisi yang sudah ada yang tidak diperbarui. Ketika Anda telah mengonfigurasi landing zone AWS Control Tower menjadi Wilayah baru (dengan memperbarui landing zone), Anda harus memperbarui akun yang ada di akun yang ada OUs sebelum Anda dapat mengaktifkan kontrol detektif baru pada akun tersebut OUs dan akun.

  • Kontrol detektif Anda yang ada mulai bekerja di Wilayah yang baru dikonfigurasi segera setelah Anda memperbarui akun. Saat Anda memperbarui landing zone AWS Control Tower untuk mengonfigurasi Wilayah baru dan kemudian memperbarui akun, kontrol detektif yang sudah diaktifkan pada OU akan mulai bekerja pada akun tersebut di Wilayah yang baru dikonfigurasi.

Konfigurasikan Wilayah AWS Control Tower

  1. Masuk ke konsol AWS Control Tower di https://console.aws.amazon.com/controltower

  2. Di menu navigasi panel kiri, pilih Pengaturan zona pendaratan.

  3. Pada halaman pengaturan zona pendaratan, di bagian Detail, pilih tombol Ubah pengaturan di kanan atas. Anda diarahkan ke alur kerja landing zone pembaruan, karena mengatur Wilayah baru, atau menghapus Wilayah dari tata kelola, mengharuskan Anda memperbarui ke versi landing zone terbaru.

  4. Di bawah AWS Wilayah Tambahan untuk tata kelola, cari Wilayah yang ingin Anda atur (atau hentikan pemerintahan). Kolom Negara menunjukkan Wilayah mana yang saat ini Anda atur, dan mana yang tidak.

  5. Pilih kotak centang untuk setiap Wilayah tambahan yang akan diatur. Hapus centang kotak untuk setiap Wilayah tempat Anda menghapus tata kelola.

    catatan

    Jika Anda memilih untuk tidak mengatur Wilayah, Anda masih dapat menyebarkan sumber daya di Wilayah tersebut, tetapi sumber daya tersebut akan tetap berada di luar tata kelola AWS Control Tower.

  6. Selesaikan sisa alur kerja, lalu pilih Perbarui landing zone.

  7. Ketika pengaturan landing zone selesai, Daftarkan ulang OUs untuk memperbarui akun di Wilayah baru Anda. Untuk informasi selengkapnya, lihat Kapan harus memperbarui AWS Control Tower OUs dan akun.

Metode alternatif untuk menyediakan atau memperbarui akun individual setelah mengonfigurasi Wilayah baru adalah dengan menggunakan APIkerangka kerja Service Catalog dan memperbarui akun dalam proses batch. AWS CLI Untuk informasi selengkapnya, lihat Menyediakan dan memperbarui akun menggunakan otomatisasi.

Pertimbangan untuk Wilayah Tingkat OU menolak kontrol

Pertimbangan utama tentang kontrol penolakan Wilayah OU-level adalah untuk menentukan bagaimana ia akan berinteraksi dengan landing zone Region deny control, jika keduanya diaktifkan. Untuk informasi selengkapnya, lihat Kontrol penolakan wilayah yang diterapkan pada OU.

Anda juga mungkin ingin meninjau Konfigurasi wilayah tolak kontrol.