Kiat administratif untuk pengaturan landing zone - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kiat administratif untuk pengaturan landing zone

Berikut adalah beberapa tips untuk mengatur dan mengonfigurasi landing zone Anda.

  • AWS Wilayah tempat Anda melakukan pekerjaan paling banyak harus menjadi wilayah asal Anda.

  • Siapkan landing zone Anda dan gunakan akun Account Factory Anda dari dalam Wilayah asal Anda.

  • Jika Anda berinvestasi di beberapa AWS Wilayah, pastikan sumber daya cloud Anda berada di Wilayah tempat Anda akan melakukan sebagian besar pekerjaan administrasi cloud dan menjalankan beban kerja Anda.

  • Dengan menyimpan beban kerja dan log Anda di AWS Wilayah yang sama, Anda mengurangi biaya yang terkait dengan pemindahan dan pengambilan informasi log di seluruh wilayah.

  • Audit dan bucket Amazon S3 lainnya dibuat di AWS Wilayah yang sama tempat Anda meluncurkan Control TowerAWS. Kami menyarankan Anda untuk tidak memindahkan ember ini.

  • Anda dapat membuat ember log Anda sendiri di akun Arsip Log, tetapi tidak disarankan. Pastikan untuk meninggalkan ember yang dibuat oleh AWS Control Tower.

  • Log akses Amazon S3 Anda harus berada di AWS Wilayah yang sama dengan bucket sumber.

  • Saat meluncurkan, titik akhir AWS Security Token Service (STS) harus diaktifkan di akun manajemen, untuk semua Wilayah yang didukung oleh AWS Control Tower. Jika tidak, peluncuran mungkin gagal di tengah proses konfigurasi.

  • AWSControl Tower mendukung penandaan hanya untuk kontrol yang diaktifkan. Untuk informasi selengkapnya, lihat AWSControl Tower mendukung penandaan untuk kontrol yang diaktifkan.

  • Sebaiknya aktifkan otentikasi multi-faktor (MFA) untuk setiap akun yang dikelola AWS Control Tower.

Pertimbangan tentang VPCs

  • Yang VPC dibuat oleh AWS Control Tower terbatas Wilayah AWS pada di mana AWS Control Tower tersedia. Beberapa pelanggan yang beban kerjanya berjalan di Wilayah yang tidak didukung mungkin ingin menonaktifkan VPC yang dibuat dengan akun Account Factory Anda. Mereka mungkin lebih suka membuat yang baru VPC menggunakan portofolio Service Catalog, atau membuat kustom VPC yang hanya berjalan di Wilayah yang diperlukan.

  • Yang VPC dibuat oleh AWS Control Tower tidak sama dengan default VPC yang dibuat untuk semua Akun AWS. Di Wilayah di mana AWS Control Tower didukung, AWS Control Tower menghapus default VPC saat membuat AWS Control TowerVPC.

  • Jika Anda menghapus default Anda VPC di AWS Wilayah rumah Anda, yang terbaik adalah menghapusnya di semua AWS Wilayah lain.