As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Considerações sobre a ativação de regiões opcionais AWS
Embora a maioria Regiões da AWS esteja ativa por padrão para você Conta da AWS, determinadas regiões são ativadas somente quando você as seleciona manualmente. Este documento se refere a essas regiões como regiões opcionais. Por outro lado, as regiões que estão ativas por padrão, assim que a sua Conta da AWS é criada, são chamadas de regiões comerciais ou simplesmente de regiões.
O termo opt-in tem uma base histórica. Todas as Regiões da AWS introduzidas após 20 de março de 2019 são consideradas regiões optativas. As regiões opt-in têm requisitos de segurança mais altos do que as regiões comerciais no que diz respeito ao compartilhamento de IAM dados por meio de contas ativas nas regiões opt-in. Todos os dados gerenciados por meio do IAM serviço são considerados dados de identidade, incluindo usuários, grupos, funções, políticas, provedores de identidade, seus dados associados (por exemplo, certificados de assinatura X.509 ou credenciais específicas do contexto) e outras configurações no nível da conta, como política de senha e o alias da conta.
Você pode ativar regiões opcionais automaticamente durante a configuração da landing zone, selecionando-as. Sua landing zone fica ativa em todas as regiões selecionadas.
Se você optar por selecionar uma região opcional como sua região de origem do AWS Control Tower, ative-a primeiro seguindo as etapas em Habilitando uma região, quando estiver conectado ao AWS Management Console. Para trazer suas próprias contas existentes de Arquivo de Registros e Auditoria de uma região opcional, primeiro ative manualmente essa região.
As regiões AWS opcionais incluem várias regiões nas quais o AWS Control Tower está disponível:
-
Região Ásia-Pacífico (Hong Kong), ap-east-1
-
Região Ásia-Pacífico (Jacarta), ap-southeast-3
-
Região da Europa (Milão), eu-south-1
-
Região da África (Cidade do Cabo), af-south-1
-
Região do Oriente Médio (Bahrein), me-south-1
Israel (Tel Aviv), il-central-1
Região do Oriente Médio (UAE), me-central-1
Região da Europa (Espanha), eu-south-2
Região Ásia-Pacífico (Hyderabad), ap-south-2
Região da Europa (Zurique), eu-central-2
Região Ásia-Pacífico (Melbourne), ap-southeast-4
Região Oeste do Canadá (Calgary), ca-west-1
AWSA Control Tower tem alguns controles que funcionam de forma diferente nas regiões opcionais e nas regiões comerciais. Para obter mais informações, consulte Limitações de controle. Aqui estão algumas considerações que você deve ter em mente ao implantar cargas de trabalho em regiões opcionais.
Governando ou ativando?
Lembre-se de que governar uma região é uma ação que você pode selecionar no console do AWS Control Tower para que os controles possam ser aplicados na região. Ativar ou desativar uma região opcional é uma ação diferente que você pode escolher no AWS console, que abre a região em sua conta, para que você possa implantar recursos e cargas de trabalho na região.
Considerações comportamentais
-
Se você optar por governar regiões de aceitação, recomendamos que você não desative (desative) nenhuma de suas regiões de aceitação governadas, pois isso pode levar à falha de suas cargas de trabalho. AWSA Control Tower não permite a desativação de uma região controlada de dentro do console da AWS Control Tower, mas certifique-se de não desativar regiões controladas de uma fonte fora da Control TowerAWS, como o AWS console de faturamento ou. AWS SDK
-
Quando a AWS Control Tower estende a governança para uma região de adesão, ela é ativada (aceita) a região em todas as contas dos membros. Quando você remove uma região da governança, a AWS Control Tower não desativa (exclui) a região nas contas dos membros.
-
Durante a desseleção da região, a AWS Control Tower ignora a remoção de recursos de uma região opcional se essa região tiver sido desativada manualmente para uma conta de uma fonte fora da Control TowerAWS, como o AWS console de faturamento ou. AWS SDK Recomendamos que você remova recursos das regiões que você desativou ou poderá receber cobranças inesperadas por esses recursos.
-
Se sua landing zone for desativada, a AWS Control Tower limpa os recursos em todas as regiões governadas, incluindo as regiões optativas. No entanto, AWS o Control Tower não desativa as regiões opcionais. Você pode desativar as regiões opcionais como uma etapa adicional após o descomissionamento.
-
Se sua região de origem for uma região opcional e se você pretende inscrever contas existentes como suas contas de Arquivo de Registro e Auditoria, você deve ativar manualmente a região de inscrição antes de selecioná-la como a região de origem do seu landing zone. Consulte Ativação de uma região.
-
Se a AWS Control Tower estiver configurada com uma região opcional como sua região de origem e se você visitar o serviço AWS Control Tower a partir do AWS console em qualquer outra região, o console não o redirecionará automaticamente para a região de origem.
O subjacente API tem limites de capacidade, o que pode aumentar a latência de alguns minutos para várias horas, dependendo do número de regiões, contas e carga de serviço. Como prática recomendada, opte apenas por aqueles em Regiões da AWS que você executará as cargas de trabalho e opte por uma região por vez.
Limitações importantes para governança e contas
-
Se 16 ou mais regiões comerciais nas quais o AWS Control Tower está disponível forem governadas, incluindo regiões opcionais, o limite superior do número de contas por unidade organizacional (OU) será reduzido ao registrar uma OU. Para obter mais informações, consulte Limitações com base nos AWS serviços subjacentes.