Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Considerazioni sull'attivazione delle regioni opt-in AWS
Sebbene la Regioni AWS maggior parte sia attiva per impostazione predefinita per le tue Account AWS, alcune regioni vengono attivate solo quando le selezioni manualmente. Questo documento fa riferimento a tali regioni come regioni opzionali. Al contrario, le regioni che sono attive per impostazione predefinita, non appena Account AWS vengono create, vengono chiamate regioni commerciali o semplicemente regioni.
Il termine opt-in ha una base storica. Tutte le Regioni AWS regioni introdotte dopo il 20 marzo 2019 sono considerate regioni opt-in. Le regioni opt-in hanno requisiti di sicurezza più elevati rispetto alle regioni commerciali, per quanto riguarda la condivisione di IAM dati tramite account attivi nelle regioni opt-in. Tutti i dati gestiti tramite il IAM servizio sono considerati dati di identità, inclusi utenti, gruppi, ruoli, politiche, provider di identità, i dati associati (ad esempio, certificati di firma X.509 o credenziali specifiche del contesto) e altre impostazioni a livello di account, come i criteri per le password e l'alias dell'account.
Puoi attivare automaticamente le regioni opt-in durante la configurazione della landing zone, selezionandole. La tua landing zone diventa attiva in tutte le regioni selezionate.
Se scegli di selezionare una regione di attivazione come regione principale del AWS Control Tower, attivala prima seguendo i passaggi descritti in Abilitazione di una regione, dopo aver effettuato l'accesso alla console di AWS gestione. Per importare i tuoi account Log Archive e Audit esistenti da una regione opzionale, attiva prima manualmente quella regione.
Le Regioni AWS opzionali includono diverse regioni in cui è disponibile AWS Control Tower:
-
Regione Asia-Pacifico (Hong Kong), ap-east-1
-
Regione Asia Pacifico (Giacarta), ap-southeast-3
-
Regione Europa (Milano), eu-south-1
-
Regione Africa (Città del Capo), af-south-1
-
Regione del Medio Oriente (Bahrein), me-south-1
Israele (Tel Aviv), il-central-1
Medio Oriente (UAE) Regione, me-central-1
Regione Europa (Spagna), eu-south-2
Regione Asia-Pacifico (Hyderabad), ap-south-2
Regione Europa (Zurigo), eu-central-2
Regione Asia Pacifico (Melbourne), ap-southeast-4
Regione del Canada occidentale (Calgary), ca-west-1
AWSControl Tower dispone di alcuni controlli che funzionano in modo diverso nelle regioni opt-in rispetto alle regioni commerciali. Per ulteriori informazioni, consulta Limitazioni di controllo. Di seguito sono riportate alcune considerazioni da tenere a mente quando si distribuiscono i carichi di lavoro in regioni opzionali.
Governare o attivare?
Ricorda che governare una Regione è un'azione che puoi selezionare dalla console AWS Control Tower, in modo che i controlli possano essere applicati nella Regione. L'attivazione o la disattivazione di una regione opt-in è un'azione diversa che puoi scegliere nella AWS console, che apre la regione al tuo account, in modo da poter distribuire risorse e carichi di lavoro nella regione.
Considerazioni comportamentali
-
Se scegli di governare le Regioni che aderiscono all'iniziativa, ti consigliamo di non disattivare (disattivare) nessuna delle Regioni che aderiscono all'iniziativa, poiché ciò può comportare il fallimento dei tuoi carichi di lavoro. AWSControl Tower non consente la disattivazione di una Regione governata dall'interno della console AWS Control Tower, ma assicurati di non disattivare le Regioni governate da una fonte esterna alla AWS Control Tower, come la console di AWS fatturazione o. AWS SDK
-
Quando AWS Control Tower estende la governance a una regione opt-in, attiva (opts-in) la regione in tutti gli account dei membri. Quando rimuovi una regione dalla governance, AWS Control Tower non disattiva (disattiva) la regione negli account dei membri.
-
Durante la deselezione della regione, AWS Control Tower salta la rimozione delle risorse da una regione che ha aderito se tale regione è stata disattivata manualmente per un account proveniente da una fonte esterna a Control TowerAWS, come la AWS console di fatturazione o. AWS SDK Ti consigliamo di rimuovere le risorse dalle regioni che hai disattivato, altrimenti potresti ricevere addebiti di fatturazione imprevisti per tali risorse.
-
Se la tua landing zone viene disattivata, AWS Control Tower ripulisce le risorse in tutte le Regioni governate, comprese le Regioni che hanno aderito all'iniziativa. Tuttavia, AWS Control Tower non disattiva le Regioni opt-in. È possibile disattivare le regioni opzionali come passaggio aggiuntivo dopo la disattivazione.
-
Se la tua regione d'origine è una regione che accetta l'iscrizione e intendi registrare account esistenti come account Log Archive e Audit, devi attivare manualmente la regione opt-in prima di poterla selezionare come regione di origine per la tua landing zone. Vedi Abilitazione di una regione.
-
Se AWS Control Tower è configurata con una regione di attivazione come regione di residenza e se accedi al servizio AWS Control Tower dalla AWS console in un'altra regione, la console non ti reindirizza automaticamente alla regione di origine.
La piattaforma sottostante API ha dei limiti di capacità, che possono aumentare la latenza da pochi minuti a molte ore, a seconda del numero di regioni, account e carico del servizio. Come procedura ottimale, è consigliabile effettuare l'opt-in solo per quelle Regioni AWS in cui verranno eseguiti i carichi di lavoro e optare per una regione alla volta.
Limitazioni importanti per la governance e la contabilità
-
Se sono regolamentate 16 o più regioni commerciali in cui è disponibile AWS Control Tower, incluse le regioni che hanno aderito, il limite massimo del numero di account per unità organizzativa (OU) viene ridotto al momento della registrazione di un'unità organizzativa. Per ulteriori informazioni, consulta Limitazioni basate sui servizi sottostanti AWS.
