Como AWS as regiões funcionam com a AWS Control Tower - AWS Control Tower
Configure suas regiões AWS da Control TowerConsiderações para que a região de nível da UE negue o controle

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como AWS as regiões funcionam com a AWS Control Tower

Atualmente, AWS o Control Tower é suportado nas seguintes AWS regiões:

  • Leste dos EUA (Norte da Virgínia)

  • Leste dos EUA (Ohio)

  • Oeste dos EUA (Oregon)

  • Canadá (Central)

  • Ásia-Pacífico (Sydney)

  • Ásia-Pacífico (Singapura)

  • Europa (Frankfurt)

  • Europa (Irlanda)

  • Europe (London)

  • Europa (Estocolmo)

  • Ásia-Pacífico (Mumbai)

  • Ásia-Pacífico (Seul)

  • Ásia-Pacífico (Tóquio)

  • Europa (Paris)

  • América do Sul (São Paulo)

  • Oeste dos EUA (N. da Califórnia)

  • Ásia-Pacífico (Hong Kong)

  • Ásia-Pacífico (Jacarta)

  • Ásia-Pacífico (Osaka)

  • Europa (Milão)

  • África (Cidade do Cabo)

  • Oriente Médio (Barém)

  • Israel (Tel Aviv)

  • Oriente Médio (UAE)

  • Europa (Espanha)

  • Ásia-Pacífico (Hyderabad)

  • Europa (Zurique)

  • Ásia-Pacífico (Melbourne)

  • Oeste do Canadá (Calgary)

Sobre sua região de origem

Quando você cria uma landing zone, a região que você está usando para acessar o console de AWS gerenciamento se torna sua AWS região de origem para o AWS Control Tower. Durante o processo de criação, alguns recursos são provisionados na região de origem. Outros recursos, como AWS contas OUs e contas, são globais.

Depois de selecionar uma região de origem, você não poderá alterá-la.

Controles e regiões

Atualmente, todos os controles preventivos funcionam globalmente. No entanto, controles detectivos e proativos só funcionam em regiões onde o AWS Control Tower é suportado. Para obter mais informações sobre o comportamento dos controles ao ativar a AWS Control Tower em uma nova região, consulteConfigure suas regiões AWS da Control Tower.

Configure suas regiões AWS da Control Tower

Esta seção descreve o comportamento que você pode esperar ao estender sua zona de pouso da AWS Control Tower para uma nova AWS região ou remover uma região da configuração da sua zona de pouso. Geralmente, essa ação é executada por meio da função Update do console AWS Control Tower.

nota

Recomendamos que você evite expandir sua zona de pouso do AWS Control Tower para AWS regiões nas quais você não exija que suas cargas de trabalho sejam executadas. Optar por não participar de uma região não impede que você implante recursos nessa região, mas esses recursos permanecerão fora da governança da AWS Control Tower.

Durante a configuração de uma nova região, a AWS Control Tower atualiza a zona de pouso, o que significa que ela define como base sua zona de pouso —

  • operar ativamente em todas as regiões recém-selecionadas, e

  • deixar de governar recursos em regiões não selecionadas.

As contas individuais dentro de suas unidades organizacionais (OUs) que são gerenciadas pela AWS Control Tower não são atualizadas como parte desse processo de atualização da landing zone. Portanto, você deve atualizar suas contas registrando novamente seu. OUs

Ao configurar suas regiões do AWS Control Tower, esteja ciente das seguintes recomendações e limitações:

  • Selecione regiões nas quais você planeja hospedar AWS recursos ou cargas de trabalho.

  • Optar por não participar de uma região não impede que você implante recursos nessa região, mas esses recursos permanecerão fora da governança da AWS Control Tower.

Quando você configura seu landing zone para novas regiões, os controles de detetive da AWS Control Tower seguem as seguintes regras:

  • O que existe permanece da mesma forma. O comportamento de controle, tanto de detetive quanto de prevenção, permanece inalterado nas contas existentes, nas regiões existentes OUs e nas existentes.

  • Você não pode aplicar novos controles de detetive às contas OUs existentes que não estão atualizadas. Depois de configurar sua zona de pouso da AWS Control Tower em uma nova região (atualizando sua zona de pouso), você deve atualizar as contas existentes na sua existente OUs antes de poder ativar novos controles de detetive sobre elas OUs e contas.

  • Seus controles de detetive existentes começam a funcionar nas regiões recém-configuradas assim que você atualiza as contas. Quando você atualiza sua zona de pouso da AWS Control Tower para configurar novas regiões e depois atualizar uma conta, os controles de detetive que já estão habilitados na OU começarão a trabalhar nessa conta nas regiões recém-configuradas.

Configurar regiões AWS da Control Tower

  1. Faça login no console do AWS Control Tower em https://console.aws.amazon.com/controltower

  2. No menu de navegação do painel esquerdo, escolha Configurações da zona de pouso.

  3. Na página de configurações da zona de pouso, na seção Detalhes, escolha o botão Modificar configurações no canto superior direito. Você é direcionado para o fluxo de trabalho de atualização da zona de pouso, porque governar novas regiões ou remover regiões da governança exige que você atualize para a versão mais recente da zona de pouso.

  4. Em AWS Regiões adicionais para governança, pesquise as regiões que você deseja governar (ou parar de governar). A coluna Estado indica quais regiões você governa atualmente e quais não.

  5. Marque a caixa de seleção para cada região adicional a ser governada. Desmarque a caixa de seleção de cada região da qual você está removendo a governança.

    nota

    Se você optar por não governar uma região, ainda poderá implantar recursos nessa região, mas esses recursos permanecerão fora da governança da AWS Control Tower.

  6. Conclua o resto do fluxo de trabalho e escolha Atualizar landing zone.

  7. Quando a configuração da landing zone for concluída, registre-se novamente OUs para atualizar as contas em suas novas regiões. Para obter mais informações, consulte Quando atualizar a AWS Control Tower OUs e as contas.

Um método alternativo de provisionar ou atualizar contas individuais após a configuração de novas regiões é usar a API estrutura do Service Catalog and the AWS CLI para atualizar as contas em um processo em lote. Para obter mais informações, consulte Provisione e atualize contas usando automação.

Considerações para que a região de nível da UE negue o controle

A principal consideração sobre o controle de negação da região no nível da OU é determinar como ele interagirá com o controle de negação da região da landing zone, se ambos estiverem ativados. Para obter mais informações, consulte Controle de negação de região aplicado à OU.

Talvez você também queira revisar Configurar o controle de negação da região.