Suggerimenti amministrativi per la configurazione delle landing zone

Ecco alcuni suggerimenti per impostare e configurare la landing zone.

La AWS regione in cui svolgi la maggior parte del lavoro dovrebbe essere la tua regione di origine.
Configura la tua landing zone e utilizza i tuoi account Account Factory dalla tua regione d'origine.
Se stai investendo in diverse AWS regioni, assicurati che le tue risorse cloud si trovino nella regione in cui svolgerai la maggior parte del lavoro amministrativo del cloud e gestirai i tuoi carichi di lavoro.
Mantenendo i carichi di lavoro e i log nella stessa AWS regione, riduci i costi associati allo spostamento e al recupero delle informazioni dei log tra le regioni.
L'audit e gli altri bucket Amazon S3 vengono creati nella stessa AWS regione da cui si avvia Control TowerAWS. Si consiglia di non spostare questi bucket.
Puoi creare i tuoi bucket di log nell'account Log Archive, ma non è consigliabile. Assicurati di lasciare i bucket creati da AWS Control Tower.
I log di accesso di Amazon S3 devono trovarsi nella stessa AWS regione dei bucket di origine.
All'avvio, gli endpoint AWS Security Token Service (STS) devono essere attivati nell'account di gestione, per tutte le regioni supportate da AWS Control Tower. In caso contrario, l'avvio potrebbe non riuscire a metà del processo di configurazione.
AWSControl Tower supporta l'etichettatura solo per i controlli abilitati. Per ulteriori informazioni, consulta AWSControl Tower supporta l'etichettatura per i controlli abilitati.
Consigliamo di abilitare l'autenticazione a più fattori (MFA) per ogni account gestito da AWS Control Tower.

Considerazioni su VPCs

Il AWS Control Tower VPC creato da Control Tower è limitato a quello Regioni AWS in cui è disponibile AWS Control Tower. Alcuni clienti i cui carichi di lavoro vengono eseguiti in aree non supportate potrebbero voler disabilitare il file creato con VPC il tuo account Account Factory. Potrebbero preferire crearne uno nuovo VPC utilizzando il portafoglio Service Catalog o crearne uno personalizzato VPC che venga eseguito solo nelle regioni richieste.
L'impostazione predefinita VPC creata da AWS Control Tower non è uguale a VPC quella predefinita creata per tutti Account AWS. Nelle regioni in cui è supportata la AWS Control Tower, AWS Control Tower elimina le impostazioni predefinite VPC quando crea la AWS Control TowerVPC.
Se elimini le impostazioni predefinite VPC nella tua AWS regione d'origine, è meglio eliminarle in tutte le altre AWS regioni.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Procedure consigliate: configurare una landing AWS zone con più account

Consigli per la configurazione di gruppi, ruoli e politiche