Considerações sobre como ativar as regiões opcionais da AWS

Embora a maioria das Regiões da AWS esteja ativa por padrão para a Conta da AWS, determinadas regiões são ativadas somente quando você as seleciona manualmente. Este documento se refere a essas regiões como regiões opcionais. Entretanto, as regiões que estão ativas por padrão, assim que a Conta da AWS é criada, são chamadas de regiões comerciais ou simplesmente de regiões.

O termo opcional tem uma base histórica. As Regiões da AWS introduzidas após 20 de março de 2019 são consideradas regiões opcionais. As regiões opcionais têm requisitos de segurança mais altos do que as regiões comerciais, no que diz respeito ao compartilhamento de dados do IAM por meio de contas ativas nas regiões opcionais. Todos os dados gerenciados por meio do serviço IAM são considerados dados de identidade, incluindo usuários, grupos, perfis, políticas, provedores de identidade, os dados associados (por exemplo, certificados de assinatura X.509 ou credenciais específicas do contexto) e outras configurações no nível da conta, como política de senha e o alias da conta.

É possível ativar regiões opcionais automaticamente durante a configuração da zona de pouso, selecionando-as. A zona de pouso fica ativa em todas as regiões selecionadas.

Se você optar por selecionar uma região opcional como a região de origem do AWS Control Tower, ative-a primeiro seguindo as etapas em Enabling a Region, ao fazer login no Console de Gerenciamento da AWS. Para trazer suas próprias contas existentes de auditoria e de arquivamento de logs de uma região opcional, primeiro ative manualmente essa região.

As regiões opcionais da AWS incluem várias regiões nas quais o AWS Control Tower está disponível:

Região Ásia-Pacífico (Hong Kong), ap-east-1
Região Ásia-Pacífico (Jacarta), ap-southeast-3
Região Europa (Milão), eu-south-1
Região África (Cidade do Cabo), af-south-1
Região Oriente Médio (Bahrein), me-south-1
Israel (Tel Aviv), il-central-1
Região Oriente Médio (EAU), me-central-1
Região Europa (Espanha), eu-south-2
Região Ásia-Pacífico (Hyderabad), ap-south-2
Região Europa (Zurique), eu-central-2
Região Ásia-Pacífico (Melbourne), ap-southeast-4
Região Oeste do Canadá (Calgary), ca-west-1

O AWS Control Tower tem alguns controles que funcionam de forma diferente nas regiões opcionais e nas regiões comerciais. Consulte mais informações em Limitações de controle. Aqui estão algumas considerações que você deve ter em mente ao implantar workloads em regiões opcionais.

Governar ou ativar?

Lembre-se de que governar uma região é uma ação que você pode selecionar no console do AWS Control Tower, para que os controles possam ser aplicados à região. Ativar ou desativar uma região opcional é uma ação diferente que você pode escolher no console da AWS, que abre a região em sua conta, para que você possa implantar recursos e workloads na região.

Considerações comportamentais

Se você decidir governar regiões opcionais, recomendamos que não desative (cancele) nenhuma das regiões opcionais governadas, pois isso pode causar falha nas suas workloads. O AWS Control Tower não permite desativar uma região governada pelo console do AWS Control Tower, mas certifique-se de não desativar regiões governadas de uma fonte fora do AWS Control Tower, como o Console de Faturamento da AWS ou o AWS SDK.
Quando o AWS Control Tower estende a governança para uma região opcional, ele ativa (aceita) a região em todas as contas-membros. Quando você remove uma região da governança, o AWS Control Tower não desativa (cancela) a região nas contas-membros.
Ao cancelar a seleção da região, o AWS Control Tower ignorará a remoção de recursos de uma região opcional se essa região tiver sido desativada manualmente para uma conta de uma fonte fora do AWS Control Tower, como o Console de Faturamento da AWS ou o AWS SDK. Recomendamos que você remova recursos das regiões que desativou ou poderá receber cobranças inesperadas por esses recursos.
Se a zona de pouso for desativada, o AWS Control Tower limpará os recursos em todas as regiões governadas, incluindo as regiões opcionais. No entanto, o AWS Control Tower não desativa as regiões opcionais. É possível desativar as regiões opcionais como uma etapa adicional após a desativação.
Se a região de origem for uma região opcional e se você pretende inscrever contas existentes como contas de auditoria e arquivamento de logs, ative manualmente a região opcional antes de selecioná-la como a região de origem da zona de pouso. Consulte Enabling a Region.
Se o AWS Control Tower estiver configurado com uma região opcional como a região de origem e se você acessar o serviço AWS Control Tower pelo Console da AWS em qualquer outra região, o console não o redirecionará automaticamente para a região de origem.
A API subjacente tem limites de capacidade, o que pode aumentar a latência de alguns minutos para várias horas, dependendo do número de regiões, contas e carga de serviço. Como prática recomendada, opte apenas pelas Regiões da AWS onde você executará as workloads e opte por uma região por vez.

Limitações importantes para governança e contas

Se 16 ou mais regiões comerciais nas quais o AWS Control Tower está disponível forem administradas, incluindo regiões opcionais, o limite máximo do número de contas por unidade organizacional (UO) será reduzido ao registrar uma UO. Consulte mais informações em Limitations based on underlying AWS services.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Evitar governança mista ao configurar regiões

Configurar o controle de negação de região