Ativar ou desativar Regiões da AWS em sua conta - AWS Gerenciamento de contas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ativar ou desativar Regiões da AWS em sua conta

Uma Região da AWS é um local físico do mundo onde existem várias zonas de disponibilidade. As zonas de disponibilidade consistem em um ou mais AWS data centers discretos, cada um com energia, rede e conectividade redundantes, alojados em instalações separadas. Isso significa que cada uma Região da AWS está fisicamente isolada e independente das outras regiões. As regiões fornecem tolerância a falhas, estabilidade e resiliência e também podem reduzir a latência. Para obter um mapa das regiões disponíveis e futuras, consulte Regiões e zonas de disponibilidade.

Os recursos que você cria em uma região não existem em nenhuma outra região, a menos que você use explicitamente um recurso de replicação oferecido por um AWS serviço. Por exemplo, o Amazon S3 e o Amazon EC2 oferecem suporte à replicação entre regiões. Alguns serviços, como o AWS Identity and Access Management (IAM), não têm recursos regionais.

Sua conta determina as regiões que estão disponíveis para você.

  • A An Conta da AWS fornece várias regiões para que você possa lançar AWS recursos em locais que atendam às suas necessidades. Por exemplo, talvez você queira lançar EC2 instâncias da Amazon na Europa para ficar mais perto de seus clientes europeus ou para atender aos requisitos legais.

  • Uma conta AWS GovCloud (Oeste dos EUA) fornece acesso à região AWS GovCloud (Oeste dos EUA) e à região AWS GovCloud (Leste dos EUA). Para obter mais informações, consulte AWS GovCloud (US).

  • Uma conta da Amazon AWS (China) fornece acesso somente às regiões de Pequim e Ningxia. Para obter mais informações, consulte Amazon Web Services na China.

Para obter uma lista de nomes de região e seus respectivos códigos, consulte Regional endpoints no AWS General Reference Guide. Para obter uma lista dos AWS serviços suportados em cada região (sem endpoints), consulte a Lista de serviços AWS regionais.

Importante

AWS recomenda que você use endpoints regionais AWS Security Token Service (AWS STS) em vez do endpoint global para reduzir a latência. Os tokens de sessão de AWS STS endpoints regionais são válidos em todas as AWS regiões. Se você usa AWS STS endpoints regionais, não precisa fazer nenhuma alteração. No entanto, os tokens de sessão do AWS STS endpoint global (https://sts.amazonaws.com) são válidos somente quando você ativa ou quando ativados por padrão. Regiões da AWS Se você pretende habilitar uma nova região para sua conta, você pode usar tokens de sessão de AWS STS endpoints regionais ou ativar o AWS STS endpoint global para emitir tokens de sessão que sejam válidos em todos. Regiões da AWS Tokens de sessão válidos em todas as regiões são maiores. Se você armazenar tokens de sessão, esses tokens maiores poderão afetar seus sistemas. Para obter mais informações sobre como AWS STS os endpoints funcionam com AWS regiões, consulte Gerenciando AWS STS em uma AWS região.

Considerações antes de habilitar e desabilitar regiões

Antes de habilitar ou desabilitar uma região, é importante considerar o seguinte:

  • As regiões introduzidas antes de 20 de março de 2019 estão habilitadas por padrão. AWS Originalmente, todas as novas são Regiões da AWS ativadas por padrão, o que significa que você pode começar a criar e gerenciar recursos nessas regiões imediatamente. Você não pode habilitar ou desabilitar uma região que é habilitada por padrão. Hoje, quando AWS adiciona uma região, a nova região é desativada por padrão. Se quiser que os usuários criem e gerenciem recursos em uma nova região, você primeiro deverá habilitar esta região. As seguintes regiões estão habilitadas por padrão.

    Name Código
    Leste dos EUA (Norte da Virgínia) us-east-1
    Leste dos EUA (Ohio) us-east-2
    Oeste dos EUA (Norte da Califórnia) us-west-1
    Oeste dos EUA (Oregon) us-west-2
    Ásia-Pacífico (Tóquio) ap-northeast-1
    Ásia-Pacífico (Seul) ap-northeast-2
    Asia Pacific (Osaka) ap-northeast-3
    Ásia-Pacífico (Mumbai) ap-south-1
    Ásia-Pacífico (Singapura) ap-southeast-1
    Ásia-Pacífico (Sydney) ap-southeast-2
    Canadá (Central) ca-central-1
    Europa (Frankfurt) eu-central-1
    Europa (Estocolmo) eu-north-1
    Europa (Irlanda) eu-west-1
    Europa (Londres) eu-west-2
    Europa (Paris) eu-west-3
    América do Sul (São Paulo) sa-east-1
  • Você pode usar as permissões do IAM para controlar o acesso às regiões — AWS Identity and Access Management (IAM) inclui quatro permissões que permitem controlar quais usuários podem ativar, desativar, obter e listar regiões. Para obter mais informações, consulte AWS: permite habilitar e desabilitar Regiões da AWS no Guia do usuário do IAM. Você também pode usar a chave de aws:RequestedRegioncondição para controlar o acesso Serviços da AWS em um Região da AWS.

  • Habilitar uma região é grátis: a habilitação de uma região não é cobrada. Você só receberá uma cobrança pelos recursos que criar na nova região.

  • Desabilitar uma região desativa o acesso do IAM aos recursos na região — Se você desabilitar uma região que ainda contém AWS recursos, como instâncias do Amazon Elastic Compute Cloud (Amazon EC2), perderá o acesso do IAM aos recursos dessa região. Por exemplo, você não pode usar o AWS Management Console para visualizar ou alterar a configuração de nenhuma EC2 instância em uma região desativada.

  • As cobranças por recursos ativos continuarão se você desabilitar uma região: se você desabilitar uma região que ainda contém recursos da AWS , as cobranças por esses recursos (se houver) continuarão a ser acumuladas na taxa padrão. Por exemplo, se você desativar uma região que contém EC2 instâncias da Amazon, ainda precisará pagar as cobranças dessas instâncias, mesmo que elas estejam inacessíveis.

  • Desabilitar uma região nem sempre é algo imediatamente visível: os serviços e os consoles podem ficar temporariamente visíveis depois que uma região é desabilitada. A operação de desabilitar uma região pode levar de alguns minutos a várias horas para surtir efeito.

  • A operação de habilitar uma região leva de alguns minutos a várias horas, em alguns casos: quando você habilita uma região, a AWS executa ações para preparar a conta nesta região, como a distribuição dos recursos do IAM para a região. Esse processo leva alguns minutos para a maioria das contas, mas pode, às vezes, levar várias horas. Você não pode usar a região até que esse processo seja concluído.

  • As organizações podem ter 50 solicitações opcionais por região abertas em um determinado momento em toda a AWS organização — a conta de gerenciamento pode, a qualquer momento, ter 50 solicitações abertas pendentes de conclusão para sua organização. Uma solicitação equivale a habilitar ou desabilitar uma região específica para uma conta.

  • Uma única conta pode ter seis solicitações de opção de ativação ou desativação de regiões em andamento a qualquer momento: uma solicitação equivale a habilitar ou desabilitar uma região específica para uma conta.

  • EventBridge Integração com a Amazon — os clientes podem se inscrever para receber notificações de atualização de status por região em. EventBridge Uma EventBridge notificação será criada para cada alteração de status, permitindo que os clientes automatizem os fluxos de trabalho.

  • Status expressivo da opção de ativação ou desativação de regiões: devido à natureza assíncrona da operação de habilitar/desabilitar uma região, existem quatro possíveis status para uma solicitação de opção de ativação ou desativação de regiões:

    • ENABLING

    • DISABLING

    • ENABLED

    • DISABLED

    Você não pode cancelar uma operação de ativação ou desativação que esteja no status ENABLING ou DISABLING. Caso contrário, uma ConflictException será lançada. Uma solicitação de opção de região concluída (ativada/desativada) depende do provisionamento dos principais serviços subjacentes. AWS Pode haver alguns AWS serviços que não serão imediatamente utilizáveis, apesar do status serENABLED.

  • Integração total com AWS Organizations — Uma conta de gerenciamento pode modificar ou ler a região - optar por qualquer conta membro dessa AWS organização. Uma conta-membro também pode ler/gravar o estado da sua região.

Habilitar ou desabilitar região para contas autônomas

Para atualizar as regiões às quais você Conta da AWS tem acesso, execute as etapas do procedimento a seguir. O AWS Management Console procedimento abaixo sempre funciona somente no contexto autônomo. Você pode usar o AWS Management Console para visualizar ou atualizar somente as regiões disponíveis na conta que você usou para chamar a operação.

AWS Management Console
Para habilitar ou desabilitar uma região para um autônomo Conta da AWS
Permissões mínimas

Para executar as etapas do procedimento a seguir, um usuário ou perfil do IAM deve ter as seguintes permissões:

  • account:ListRegions(necessário para ver a lista de Regiões da AWS e se eles estão atualmente habilitados ou desativados).

  • account:EnableRegion

  • account:DisableRegion

  1. Faça login no AWS Management Consolecomo usuário Usuário raiz da conta da AWS ou função do IAM que tenha as permissões mínimas.

  2. Escolha o nome da conta no canto superior direito da janela e depois escolha Conta.

  3. Na página Conta, role para baixo até a seção Regiões da AWS.

    nota

    Pode ser que você receba uma solicitação para aprovar seu acesso a essas informações. A AWS envia uma solicitação para o endereço de e-mail associado à conta e para o número de telefone do contato principal. Escolha o link na solicitação para abri-lo no navegador e aprove o acesso.

  4. Ao lado de cada um Região da AWS com uma opção na coluna Ação, escolha Ativar ou Desativar, dependendo se você deseja que os usuários da sua conta possam criar e acessar recursos nessa região.

  5. Se receber a solicitação, confirme sua escolha.

  6. Depois de fazer todas as alterações, escolha Atualizar.

AWS CLI & SDKs

Você pode ativar, desativar, ler e listar o status de opção da região usando os seguintes AWS CLI comandos ou suas operações equivalentes no AWS SDK:

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

Permissões mínimas

Para executar as etapas a seguir, é necessário ter a permissão que é mapeada para essa operação:

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

Se você usar essas permissões individuais, poderá conceder a alguns usuários a capacidade de ler somente as informações de opção de ativação e desativação da região e conceder a outros a capacidade de ler e gravar.

O exemplo a seguir habilita uma região para a conta-membro especificada em uma organização. As credenciais usadas devem pertencer à conta de gerenciamento da organização ou à conta de administrador delegado do serviço de Gerenciamento de Contas.

Você também pode desabilitar uma região usando o mesmo comando e, depois, substituindo enable-region por disable-region.

aws account enable-region --region-name af-south-1

Se for bem-sucedido, esse comando não produzirá uma saída.

A operação é assíncrona. O comando a seguir permitirá que você veja o status mais recente da solicitação.

aws account get-region-opt-status --region-name af-south-1 { "RegionName": "af-south-1", "RegionOptStatus": "ENABLING" }

Habilitar ou desabilitar uma região na organização

Para atualizar as regiões habilitadas para suas contas de membros AWS Organizations, execute as etapas no procedimento a seguir.

nota

As políticas AWS Organizations gerenciadas AWSOrganizationsReadOnlyAccess ou AWSOrganizationsFullAccess são atualizadas para fornecer permissão para acessar o Gerenciamento de AWS contas para APIs que você possa acessar os dados da conta a partir do AWS Organizations console. Para ver as políticas gerenciadas atualizadas, consulte Atualizações das políticas AWS gerenciadas da Organizations.

nota

Antes de executar essas operações na conta de gerenciamento ou em uma conta de administrador delegado em uma organização para uso com contas-membro, você deve:

  • Habilitar todos os recursos na sua organização para gerenciar as configurações das contas-membro. Isso permite o controle administrativo das contas-membro. Isso é definido por padrão quando você cria sua organização. Se sua organização estiver configurada somente para faturamento consolidado e você quiser habilitar todos os recursos, consulte Enabling all features in your organization.

  • Habilite o acesso confiável para o serviço de gerenciamento de AWS contas. Para configurar isso, consulte Habilitar o acesso confiável para o Gerenciamento de Contas da AWS.

AWS Management Console
Para habilitar ou desabilitar uma região na organização
  1. Entre no AWS Organizations console com as credenciais da conta de gerenciamento da sua organização.

  2. Na página Contas da AWS, selecione a conta que você deseja atualizar.

  3. Selecione a guia Configurações da conta.

  4. Em Regiões, selecione a região que você deseja habilitar ou desabilitar.

  5. Escolha Ações e, em seguida, escolha a opção Habilitar ou Desabilitar.

  6. Se você tiver escolhido a opção Habilitar, analise o texto exibido e escolha Habilitar região.

  7. Se você tiver escolhido a opção Desabilitar, analise o texto exibido, digite desabilitar para confirmar e, em seguida, escolha Desabilitar região.

AWS CLI & SDKs

Você pode ativar, desativar, ler e listar o status de opção da região para contas de membros da organização usando os seguintes AWS CLI comandos ou suas operações equivalentes de AWS SDK:

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

Permissões mínimas

Para executar as etapas a seguir, é necessário ter a permissão que é mapeada para essa operação:

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

Se você usar essas permissões individuais, poderá conceder a alguns usuários a capacidade de ler somente as informações de opção de ativação e desativação da região e conceder a outros a capacidade de ler e gravar.

O exemplo a seguir habilita uma região para a conta-membro especificada em uma organização. As credenciais usadas devem pertencer à conta de gerenciamento da organização ou à conta de administrador delegado do serviço de Gerenciamento de Contas.

Você também pode desabilitar uma região usando o mesmo comando e, depois, substituindo enable-region por disable-region.

aws account enable-region --account-id 123456789012 --region-name af-south-1

Se for bem-sucedido, esse comando não produzirá uma saída.

nota

Uma organização só pode ter até 20 solicitações de região em um determinado momento. Caso contrário, você receberá uma TooManyRequestsException.

A operação é assíncrona. O comando a seguir permitirá que você veja o status mais recente da solicitação.

aws account get-region-opt-status --account-id 123456789012 --region-name af-south-1 { "RegionName": "af-south-1", "RegionOptStatus": "ENABLING" }