本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
激活 AWS 选择加入区域的注意事项
尽管默认情况下 AWS 区域 ,大多数区域都处于活动状态 AWS 账户,但某些区域只有在您手动选择时才会被激活。本文档将这些区域称为可选区域。相比之下,在创建后,默认处于活动状态的区域被称为商业区域,或者简称为 “区域”。 AWS 账户
“选择加入” 一词有其历史依据。2019 年 3 月 20 日之后 AWS 区域 推出的任何区域均被视为可选区域。在通过在选择加入区域中处于活跃状态的账户共享IAM数据方面,选择加入区域比商业区域具有更高的安全要求。通过该IAM服务管理的所有数据均被视为身份数据,包括用户、群组、角色、策略、身份提供者、其关联数据(例如 X.509 签名证书或特定于上下文的凭证)以及其他账户级别设置,例如密码策略和账户别名。
在设置着陆区期间,您可以通过选择选择加入区域来自动激活这些区域。您的着陆区在所有选定区域都处于活动状态。
如果您选择选择一个可选区域作为您的 Cont AWS rol Tower 主区域,请在登录 AWS 管理控制台后,按照启用区域中的步骤先将其激活。要从选择加入的区域中引入您自己的现有日志存档和审核账户,请先手动激活该区域。
AWS 可选区域包括几个可用 Cont AWS rol Tower 的区域:
-
亚太地区(香港)区域,ap-east-1
-
亚太地区(雅加达)区域,ap-southeast-3
-
欧洲(米兰)区域,eu-south-1
-
非洲(开普敦)区域,af-south-1
-
中东(巴林)区域,me-south-1
以色列(特拉维夫),il-central-1
中东 (UAE) 区域,me-central-1
欧洲(西班牙)区域,eu-south-2
亚太地区(海得拉巴)区域,ap-south-2
欧洲(苏黎世)区域,eu-central-2
亚太地区(墨尔本)区域,ap-southeast-4
加拿大西部(卡尔加里)区域,ca-west-1
AWSControl Tower 有一些控件,这些控件在选择加入区域中的工作方式与在商业区域中的工作方式不同。有关更多信息,请参阅 控制限制。在将工作负载部署到可选区域时,请记住以下注意事项。
治理还是激活?
请记住,管理区域是您可以从 Cont AWS rol Tower 控制台中选择的操作,以便可以在该区域中应用控件。激活或停用可选区域是你可以在控制台中选择的不同操作, AWS 控制台会向你的账户开放该区域,这样你就可以在该区域部署资源和工作负载。
行为注意事项
-
如果您选择管理可选区域,我们建议您不要停用(选择退出)任何受管控的选择加入区域,因为这可能会导致您的工作负载失败。AWSControl Tower 不允许从AWS控制塔控制台中停用受管辖区域,但请确保不要从AWS控制塔以外的来源(例如 AWS 账单控制台或)停用受管辖区域。 AWS SDK
-
当 C AWS ontrol Tower 将治理范围扩展到可选加入区域时,它会在所有成员账户中激活(选择加入)该区域。当您将某个区域从治理中移除时,C AWS ontrol Tower 不会在成员账户中停用(选择退出)该区域。
-
在取消区域选择期间,如果已为来自AWS控制塔外部来源(例如账单AWS控制台或)的账户手动停用了可选区域的资源,Control Tower 会跳过从该区域移除该 AWS 区域的资源。 AWS SDK我们建议您从已停用的区域中移除资源,否则这些资源可能会收到意想不到的账单费用。
-
如果您的着陆区已停用,Cont AWS rol Tower 会清理所有受管辖区域(包括可选区域)中的资源。但是,Cont AWS rol Tower 不会停用可选区域。停用后,您可以通过额外步骤停用可选区域。
-
如果您的主区域是可选区域,并且您打算将现有账户注册为日志存档和审计账户,则必须先手动激活选择加入区域,然后才能将其选择为着陆区域的主区域。请参阅启用区域。
-
如果将 Cont AWS rol Tower 设置为可选区域作为您的主区域,并且如果您从任何其他区域的主机访问AWS AWS 控制塔服务,则控制台不会自动将您重定向到主区域。
底层API有容量限制,这可能会将延迟从几分钟增加到数小时,具体取决于区域、账户和服务负载的数量。作为最佳实践,请仅选择将要运行工作负载的 AWS 区域 区域,并且一次只能选择加入一个区域。
治理和账户的重要限制
-
如果有 16 个或更多可用 Cont AWS rol Tower 的商业区域(包括选择加入区域)受到管辖,则在注册 OU 时,每个组织单位 (OU) 的账户数量上限将降低。有关更多信息,请参阅基于底层 AWS 服务的限制。
