Como AWS as regiões funcionam com a AWS Control Tower - AWS Control Tower
Configure suas regiões AWS da Control TowerConsiderações sobre o controle de negação de região no nível da UO

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como AWS as regiões funcionam com a AWS Control Tower

Atualmente, AWS o Control Tower é suportado nas seguintes AWS regiões:

  • Leste dos EUA (Norte da Virgínia)

  • Leste dos EUA (Ohio)

  • Oeste dos EUA (Oregon)

  • Canadá (Central)

  • Ásia-Pacífico (Sydney)

  • Ásia-Pacífico (Singapura)

  • Europa (Frankfurt)

  • Europa (Irlanda)

  • Europe (London)

  • Europa (Estocolmo)

  • Ásia-Pacífico (Mumbai)

  • Ásia-Pacífico (Seul)

  • Ásia-Pacífico (Tóquio)

  • Europa (Paris)

  • América do Sul (São Paulo)

  • Oeste dos EUA (Norte da Califórnia)

  • Ásia-Pacífico (Hong Kong)

  • Ásia-Pacífico (Jacarta)

  • Ásia Pacifico (Osaka)

  • Europa (Milão)

  • África (Cidade do Cabo)

  • Oriente Médio (Bahrein)

  • Israel (Tel Aviv)

  • Oriente Médio (UAE)

  • Europa (Espanha)

  • Ásia-Pacífico (Hyderabad)

  • Europa (Zurique)

  • Ásia-Pacífico (Melbourne)

  • Oeste do Canadá (Calgary)

  • Malásia (Kuala Lumpur)

Sobre sua região de origem

Quando você cria uma landing zone, a região que você está usando para acessar o console de AWS gerenciamento se torna sua AWS região de origem para o AWS Control Tower. Durante o processo de criação, alguns recursos são provisionados na região de origem. Outros recursos, como AWS contas OUs e contas, são globais.

Depois de escolher uma região de origem, não é possível alterá-la.

Controles e regiões

No momento, todos os controles preventivos funcionam globalmente. No entanto, controles detectivos e proativos só funcionam em regiões onde o AWS Control Tower é suportado. Para obter mais informações sobre o comportamento dos controles ao ativar a AWS Control Tower em uma nova região, consulteConfigure suas regiões AWS da Control Tower.

Configure suas regiões AWS da Control Tower

Esta seção descreve o comportamento que você pode esperar ao estender sua zona de pouso da AWS Control Tower para uma nova AWS região ou remover uma região da configuração da sua zona de pouso. Geralmente, essa ação é executada por meio da função Update do console AWS Control Tower.

nota

Recomendamos que você evite expandir sua zona de pouso do AWS Control Tower para AWS regiões nas quais você não exija que suas cargas de trabalho sejam executadas. Optar por não participar de uma região não impede que você implante recursos nessa região, mas esses recursos permanecerão fora da governança da AWS Control Tower.

Durante a configuração de uma nova região, a AWS Control Tower atualiza a zona de pouso, o que significa que ela define como base sua zona de pouso —

  • para operar ativamente em todas as regiões recém-selecionadas, e

  • para deixar de administrar recursos em regiões não selecionadas.

As contas individuais dentro de suas unidades organizacionais (OUs) que são gerenciadas pela AWS Control Tower não são atualizadas como parte desse processo de atualização da landing zone. Portanto, você deve atualizar suas contas registrando novamente seu. OUs

Ao configurar suas regiões do AWS Control Tower, esteja ciente das seguintes recomendações e limitações:

  • Selecione regiões nas quais você planeja hospedar AWS recursos ou cargas de trabalho.

  • Optar por não participar de uma região não impede que você implante recursos nessa região, mas esses recursos permanecerão fora da governança da AWS Control Tower.

Quando você configura seu landing zone para novas regiões, os controles de detetive da AWS Control Tower seguem as seguintes regras:

  • O que existe permanece da mesma forma. O comportamento de controle, tanto de detetive quanto de prevenção, permanece inalterado nas contas existentes, nas regiões existentes OUs e nas existentes.

  • Você não pode aplicar novos controles de detetive às contas OUs existentes que não estão atualizadas. Depois de configurar sua zona de pouso da AWS Control Tower em uma nova região (atualizando sua zona de pouso), você deve atualizar as contas existentes na sua existente OUs antes de poder ativar novos controles de detetive sobre elas OUs e contas.

  • Os controles de detecção existentes começam a funcionar nas regiões recém-configuradas assim que as contas são atualizadas. Quando você atualiza sua zona de pouso da AWS Control Tower para configurar novas regiões e depois atualizar uma conta, os controles de detetive que já estão habilitados na OU começarão a trabalhar nessa conta nas regiões recém-configuradas.

Configurar regiões AWS da Control Tower

  1. Faça login no console do AWS Control Tower em https://console.aws.amazon.com/controltower

  2. No menu de navegação do painel esquerdo, selecione Configurações de zona inicial.

  3. Na página Configurações de zona inicial, na seção Detalhes, escolha o botão Modificar configurações no canto superior direito. Isso redireciona ao fluxo de trabalho de atualização da zona de pouso, porque administrar novas regiões ou remover regiões da governança exige uma atualização para a versão mais recente da zona de pouso.

  4. Em AWS Regiões adicionais para governança, pesquise as regiões que você deseja governar (ou parar de governar). A coluna Estado indica quais regiões você administra atualmente e quais não.

  5. Marque a caixa de seleção para cada região adicional a ser administrada. Desmarque a caixa de seleção de cada região da qual você está removendo a governança.

    nota

    Se você optar por não governar uma região, ainda poderá implantar recursos nessa região, mas esses recursos permanecerão fora da governança da AWS Control Tower.

  6. Conclua o restante do fluxo de trabalho e selecione Atualizar zona de pouso.

  7. Quando a configuração da landing zone for concluída, registre-se novamente OUs para atualizar as contas em suas novas regiões. Para obter mais informações, consulte Quando atualizar a AWS Control Tower OUs e as contas.

Um método alternativo de provisionar ou atualizar contas individuais após a configuração de novas regiões é usar a API estrutura do Service Catalog and the AWS CLI para atualizar as contas em um processo em lote. Para obter mais informações, consulte Provisionar e atualizar contas usando automação.

Considerações sobre o controle de negação de região no nível da UO

A principal consideração sobre o controle de negação de região no nível da UO é determinar como ele interagirá com o controle de negação de região da zona de pouso, se ambos estiverem ativados. Consulte mais informações em Region deny control applied to the OU.

Talvez você também queira consultar Configure the Region deny control.