Suggerimenti amministrativi per la configurazione delle landing zone

Ecco alcuni suggerimenti per impostare e configurare la landing zone.

La AWS regione in cui svolgi la maggior parte del lavoro dovrebbe essere la tua regione di origine.
Configura la tua landing zone e utilizza i tuoi account Account Factory dalla tua regione d'origine.
Se stai investendo in diverse AWS regioni, assicurati che le tue risorse cloud si trovino nella regione in cui svolgerai la maggior parte del lavoro amministrativo del cloud e gestirai i tuoi carichi di lavoro.
Mantenendo i carichi di lavoro e i log nella stessa AWS regione, riduci i costi associati allo spostamento e al recupero delle informazioni dei log tra le regioni.
L'audit e gli altri bucket Amazon S3 vengono creati nella stessa AWS regione da cui si avvia AWS Control Tower. Si consiglia di non spostare questi bucket.
Puoi creare i tuoi bucket di log nell'account Log Archive, ma non è consigliato. Assicurati di lasciare i bucket creati da AWS Control Tower.
I log di accesso di Amazon S3 devono trovarsi nella stessa AWS regione dei bucket di origine.
Al momento del lancio, gli endpoint AWS Security Token Service (STS) devono essere attivati nell'account di gestione, per tutte le regioni supportate da AWS Control Tower. In caso contrario, l'avvio potrebbe non riuscire a metà del processo di configurazione.
AWS Control Tower supporta l'etichettatura solo per i controlli abilitati. Per ulteriori informazioni, consulta AWS Control Tower supporta l'etichettatura per i controlli abilitati.
Consigliamo di abilitare l'autenticazione a più fattori (MFA) per ogni account gestito da AWS Control Tower.

Considerazioni su VPCs

Il VPC creato da AWS Control Tower è limitato a quello Regioni AWS in cui è disponibile AWS Control Tower. Alcuni clienti i cui carichi di lavoro vengono eseguiti in regioni non supportate potrebbero voler disabilitare il VPC creato con il tuo account Account Factory. Potrebbero preferire creare un nuovo VPC utilizzando il portafoglio Service Catalog o creare un VPC personalizzato che funzioni solo nelle regioni richieste.
Il VPC creato da AWS Control Tower non è lo stesso del VPC predefinito creato per tutti. Account AWS Nelle regioni in cui è supportato AWS Control Tower, AWS Control Tower elimina il VPC predefinito quando crea il VPC AWS Control Tower.
Se elimini il tuo VPC predefinito nella tua AWS regione d'origine, è meglio eliminarlo in tutte le altre AWS regioni.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Procedure consigliate: configurare una landing AWS zone con più account

Consigli per la configurazione di gruppi, ruoli e politiche