Visão geral do AWS Control Tower e VPCs
Aqui estão alguns fatos essenciais sobre o AWS Control Tower e as VPCs:
-
A VPC criada pelo AWS Control Tower quando você provisiona uma conta no Account Factory não é a mesma que a VPC padrão da AWS.
-
Quando o AWS Control Tower configura uma conta em uma região da AWS compatível, o AWS Control Tower exclui automaticamente a VPC padrão da AWS e configura uma nova VPC configurada pelo AWS Control Tower.
-
Cada conta do AWS Control Tower pode ter uma VPC criada pelo AWS Control Tower. Uma conta pode ter VPCs adicionais da AWS dentro do limite da conta.
-
Cada VPC do AWS Control Tower tem três zonas de disponibilidade em todas as regiões, exceto na região Oeste dos EUA (N. da Califórnia),
us-west-1, e duas zonas de disponibilidade emus-west-1. Por padrão, a cada zona de disponibilidade são atribuídas uma sub-rede pública e duas sub-redes privadas. Portanto, nas regiões, exceto no Oeste dos EUA (N. da Califórnia), cada VPC do AWS Control Tower contém nove sub-redes por padrão, divididas em três zonas de disponibilidade. Na região Oeste dos EUA (N. da Califórnia), seis sub-redes são divididas em duas zonas de disponibilidade. -
Um intervalo exclusivo, de mesmo tamanho é atribuído a cada uma das sub-redes na VPC do AWS Control Tower.
-
O número de sub-redes em uma VPC é configurável. Para obter mais informações sobre como alterar a configuração da sub-rede da VPC, consulte o tópico Fábrica de contas.
-
Como os endereços IP não se sobrepõem, as seis ou nove sub-redes na VPC do AWS Control Tower podem se comunicar entre si de forma irrestrita.
Ao trabalhar com VPCs, o AWS Control Tower não faz distinção no nível da região. Cada sub-rede é alocada do intervalo CIDR exato que você especificar. As sub-redes da VPC podem existir em qualquer região.
Observações
Gerenciar custos da VPC
Se você definir a configuração da VPC do Account Factory para que as sub-redes públicas sejam habilitadas ao provisionar uma nova conta, o Account Factory configurará a VPC para criar um gateway NAT. Você será cobrado pelo uso da Amazon VPC.
Configurações de VPC e controles
Se você provisionar contas do Account Factory com as configurações de acesso à internet da VPC habilitadas, essa configuração do Account Factory substituirá o controle Proibir o acesso à internet para uma instância da Amazon VPC gerenciada por um cliente. Para evitar a habilitação do acesso à internet para contas recém-provisionadas, você deve alterar a configuração no Account Factory. Consulte mais informações em Walkthrough: Configure AWS Control Tower Without a VPC.
