Come funzionano AWS le regioni con AWS Control Tower - AWS Control Tower
Configura le tue regioni AWS Control TowerEvita una governance mista durante la configurazione delle regioniConsiderazioni relative alla regione a livello di unità organizzativa negano il controllo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funzionano AWS le regioni con AWS Control Tower

Attualmente, AWS Control Tower è supportato nelle seguenti AWS regioni:

  • Stati Uniti orientali (Virginia settentrionale)

  • Stati Uniti orientali (Ohio)

  • US West (Oregon)

  • Canada (Centrale)

  • Asia Pacifico (Sydney)

  • Asia Pacifico (Singapore)

  • Europa (Francoforte)

  • Europa (Irlanda)

  • Europe (London)

  • Europa (Stoccolma)

  • Asia Pacifico (Mumbai)

  • Asia Pacifico (Seoul)

  • Asia Pacifico (Tokyo)

  • Europa (Parigi)

  • Sud America (San Paolo)

  • Stati Uniti occidentali (California settentrionale)

  • Asia Pacifico (Hong Kong)

  • Asia Pacifico (Giacarta)

  • Asia Pacifico (Osaka-Locale)

  • Europa (Milano)

  • Africa (Città del Capo)

  • Medio Oriente (Bahrein)

  • Israele (Tel Aviv)

  • Medio Oriente (Emirati Arabi Uniti)

  • Europa (Spagna)

  • Asia Pacific (Hyderabad)

  • Europa (Zurigo)

  • Asia Pacifico (Melbourne)

  • Canada occidentale (Calgary)

Informazioni sulla tua regione d'origine

Quando crei una landing zone, la regione che utilizzi per accedere alla console di AWS gestione diventa la tua AWS regione di origine per AWS Control Tower. Durante il processo di creazione, alcune risorse vengono fornite nella regione di origine. Altre risorse, come le unità organizzative e AWS gli account, sono globali.

Dopo aver selezionato una regione d'origine, non è possibile modificarla.

Controlli e regioni

Attualmente, tutti i controlli preventivi funzionano a livello globale. I controlli Detective e proattivi, tuttavia, funzionano solo nelle regioni in cui è supportato AWS Control Tower. Per ulteriori informazioni sul comportamento dei controlli quando attivi AWS Control Tower in una nuova regione, consultaConfigura le tue regioni AWS Control Tower.

Configura le tue regioni AWS Control Tower

Questa sezione descrive il comportamento che puoi aspettarti quando estendi la tua landing zone di AWS Control Tower in una nuova AWS regione o rimuovi una regione dalla configurazione della tua landing zone. In genere, questa azione viene eseguita tramite la funzione Update della console AWS Control Tower.

Nota

Ti consigliamo di evitare di espandere la landing zone di AWS Control Tower in AWS regioni in cui non è necessario eseguire i carichi di lavoro. La disattivazione di una regione non impedisce di distribuire risorse in quella regione, ma tali risorse rimarranno al di fuori della governance di AWS Control Tower.

Durante la configurazione di una nuova regione, AWS Control Tower aggiorna la landing zone, il che significa che definisce come base la tua landing zone:

  • operare attivamente in tutte le nuove regioni selezionate, e

  • cessare di amministrare le risorse nelle regioni deselezionate.

I singoli account all'interno delle unità organizzative (OU) gestiti da AWS Control Tower non vengono aggiornati come parte di questo processo di aggiornamento delle landing zone. Pertanto, è necessario aggiornare gli account registrando nuovamente le unità organizzative.

Durante la configurazione delle regioni AWS Control Tower, tieni presente i seguenti consigli e limitazioni:

  • Seleziona le regioni in cui intendi ospitare AWS risorse o carichi di lavoro.

  • La disattivazione di una regione non impedisce di distribuire risorse in quella regione, ma tali risorse rimarranno al di fuori della governance di AWS Control Tower.

Quando configuri la landing zone per nuove regioni, i controlli investigativi di AWS Control Tower rispettano le seguenti regole:

  • Ciò che esiste rimane uguale. Il comportamento di Guardrail, sia detective che preventivo, è invariato per gli account esistenti, nelle OU esistenti, nelle regioni esistenti.

  • Non puoi applicare nuovi controlli investigativi alle unità organizzative esistenti contenenti account non aggiornati. Dopo aver configurato la landing zone di AWS Control Tower in una nuova regione (aggiornando la landing zone), è necessario aggiornare gli account esistenti nelle unità organizzative esistenti prima di poter abilitare nuovi controlli investigativi su tali unità organizzative e account.

  • I controlli investigativi esistenti iniziano a funzionare nelle nuove regioni configurate non appena aggiorni gli account. Quando aggiorni la landing zone di AWS Control Tower per configurare nuove regioni e quindi aggiorni un account, i controlli investigativi già abilitati sull'unità organizzativa inizieranno a funzionare su quell'account nelle nuove regioni configurate.

Configurazione delle regioni AWS Control Tower

  1. Accedi alla console AWS Control Tower all'indirizzo https://console.aws.amazon.com/controltower

  2. Nel menu di navigazione del riquadro a sinistra, scegli Impostazioni della zona di atterraggio.

  3. Nella pagina delle impostazioni della zona di atterraggio, nella sezione Dettagli, scegli il pulsante Modifica impostazioni in alto a destra. Verrai indirizzato al flusso di lavoro di aggiornamento delle landing zone, poiché la gestione di nuove regioni o la rimozione delle regioni dalla governance richiedono l'aggiornamento alla versione più recente della landing zone.

  4. In AWS Regioni aggiuntive per la governance, cerca le regioni che desideri governare (o smettere di governare). La colonna Stato indica quali regioni governi attualmente e quali no.

  5. Seleziona la casella di controllo per ogni regione aggiuntiva da governare. Deseleziona la casella di controllo per ogni regione da cui stai rimuovendo la governance.

    Nota

    Se scegli di non governare una regione, puoi comunque distribuire risorse in quella regione, ma tali risorse rimarranno al di fuori della governance di AWS Control Tower.

  6. Completa il resto del flusso di lavoro, quindi scegli Update landing zone.

  7. Una volta completata la configurazione della landing zone, registra nuovamente le unità organizzative per aggiornare gli account nelle nuove regioni. Per ulteriori informazioni, consulta Quando aggiornare le unità organizzative e gli account AWS Control Tower.

Un metodo alternativo per fornire o aggiornare i singoli account dopo la configurazione di nuove regioni consiste nell'utilizzare il framework API di Service Catalog e AWS CLI aggiornare gli account in un processo batch. Per ulteriori informazioni, consulta Esegui il provisioning e aggiorna gli account utilizzando l'automazione.

Evita una governance mista durante la configurazione delle regioni

È importante aggiornare tutti gli account in un'unità organizzativa dopo aver esteso la governance di AWS Control Tower a una nuova Regione AWS e dopo aver rimosso la governance di AWS Control Tower da una regione.

La governance mista è una situazione indesiderata che può verificarsi se i controlli che governano un'unità organizzativa non corrispondono completamente ai controlli che regolano ciascun account all'interno di un'unità organizzativa. La governance mista si verifica in un'unità organizzativa se gli account non vengono aggiornati dopo che AWS Control Tower estende la governance a una nuova Regione AWS o la rimuove.

In questa situazione, alcuni account all'interno di un'unità organizzativa possono avere controlli diversi applicati in diverse regioni, rispetto ad altri account dell'unità organizzativa o rispetto alla posizione di governance generale della zona di destinazione.

In un'unità organizzativa con governance mista, se si effettua il provisioning di un nuovo account, tale nuovo account riceve la stessa regione (aggiornata) e la stessa posizione di governance dell'unità organizzativa della landing zone. Tuttavia, gli account esistenti che non sono ancora stati aggiornati non ricevono la posizione di governance aggiornata della regione.

In generale, una governance mista può creare indicatori di stato contraddittori o imprecisi nella console AWS Control Tower. Ad esempio, durante la governance mista, nelle unità organizzative registrate, nelle OU registrate, per gli account che non sono ancora stati aggiornati, le regioni che hanno scelto di aderire vengono mostrate con lo stato Non governato.

Nota

AWS Control Tower non consente l'attivazione dei controlli durante uno stato di governance mista.

Comportamento dei controlli durante la governance mista

  • Durante la governance mista, AWS Control Tower non può distribuire in modo coerente controlli basati su AWS Config regole (ovvero controlli investigativi) nelle regioni che l'unità organizzativa già mostra come governate, poiché alcuni account nell'unità organizzativa non sono stati aggiornati. Potresti ricevere un messaggio di FAILED_TO_ENABLE errore.

  • Durante la governance mista, se si estende la governance della zona di atterraggio a una regione che ha aderito all'iniziativa mentre uno degli account dell'unità organizzativa non è ancora stato aggiornato, il funzionamento dell'EnableControlAPI sull'unità organizzativa non riesce per i controlli investigativi e proattivi. Riceverai un messaggio FAILED_TO_ENABLE di errore, poiché gli account dei membri non aggiornati all'interno dell'unità organizzativa non sono ancora stati inseriti in tali regioni.

  • Durante la governance mista, i controlli che fanno parte del Security Hub Service-managed Standard: AWS Control Tower non possono riportare la conformità in modo accurato nelle regioni in cui c'è una discrepanza tra la configurazione della landing zone e gli account che non vengono aggiornati.

  • La governance mista non modifica il comportamento dei controlli basati su SCP (controlli preventivi), che si applicano in modo uniforme a tutti gli account di un'unità organizzativa, in ogni regione governata.

Nota

La governance mista non è la stessa cosa della deriva e non viene segnalata come deriva.

Riparare la governance mista

  • Scegli Aggiorna account per ogni account nell'unità organizzativa che mostra lo stato Aggiorna disponibile nella pagina Organizzazioni della console.

  • Scegli Re-Register OU nella pagina Organizations, che aggiorna automaticamente tutti gli account nell'unità organizzativa, per le OU con meno di 300 account.

Considerazioni relative alla regione a livello di unità organizzativa negano il controllo

La considerazione principale sulla Region deny control a livello di unità organizzativa consiste nel determinare come interagirà con la landing zone Region deny control, se entrambe sono attivate. Per ulteriori informazioni, vedere Region Deny Control applicato all'unità organizzativa.