AWS 区域如何与 Cont AWS rol Tower 配合使用 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 区域如何与 Cont AWS rol Tower 配合使用

目前,以下 AWS 区域支持 Cont AWS rol Tower:

  • 美国东部(弗吉尼亚州北部)

  • 美国东部(俄亥俄州)

  • 美国西部(俄勒冈州)

  • 加拿大(中部)

  • 亚太地区(悉尼)

  • 亚太地区(新加坡)

  • 欧洲地区(法兰克福)

  • 欧洲地区(爱尔兰)

  • Europe (London)

  • 欧洲地区(斯德哥尔摩)

  • 亚太地区(孟买)

  • 亚太地区(首尔)

  • Asia Pacific (Tokyo)

  • 欧洲地区(巴黎)

  • 南美洲(圣保罗)

  • 美国西部(加利福尼亚北部)

  • 亚太地区(香港)

  • 亚太地区(雅加达)

  • 亚太地区(大阪)

  • 欧洲地区(米兰)

  • 非洲(开普敦)

  • 中东(巴林)

  • 以色列(特拉维夫)

  • 中东 (UAE)

  • 欧洲(西班牙)

  • 亚太地区(海得拉巴)

  • 欧洲(苏黎世)

  • 亚太地区(墨尔本)

  • 加拿大西部(卡尔加里)

  • 马来西亚(吉隆坡)

关于您的主区域

创建着陆区时,用于访问 AWS 管理控制台的区域将成为 Cont AWS rol Tower 的主 AWS 区域。在创建过程中,将在主区域中预置一些资源。其他资源(例如OUs和 AWS 账户)是全球性的。

选择主区域后,就无法对其进行更改。

控件和区域

目前,所有预防性控件的作用都是全局性的。但是,Detective 和主动控制仅在支持 Cont AWS rol Tower 的地区起作用。有关在新区域中激活 Contro AWS l Tower 时控件行为的更多信息,请参阅配置您的 Cont AWS rol Tower 区域

配置您的 Cont AWS rol Tower 区域

本节介绍将 Contro AWS l Tower 着陆区扩展到新 AWS 区域或从着陆区配置中移除区域时可能出现的行为。通常,此操作是通过 Cont AWS rol Tower 控制台的更新功能执行的。

注意

我们建议您避免将 Cont AWS rol Tower 着陆区扩展到不需要运行工作负载的 AWS 区域。选择退出某个区域并不会阻止您在该区域部署资源,但这些资源将不在 Cont AWS rol Tower 的管理范围内。

在配置新区域期间,Cont AWS rol Tower 会更新着陆区,这意味着它会为你的着陆区设定基线

  • 在所有新选定的区域中主动运行;

  • 停止监管已取消选择的区域中的资源。

在此着陆区更新过程中,不会更新您的组织单位 (OUs) 中由 Cont AWS rol Tower 管理的个人帐户。因此,您必须通过重新注册来更新您的OUs帐户。

配置 Contro AWS l Tower 区域时,请注意以下建议和限制:

  • 选择您计划托管 AWS 资源或工作负载的区域。

  • 选择退出某个区域并不会阻止您在该区域部署资源,但这些资源将不在 Cont AWS rol Tower 的管理范围内。

当你为新区域配置着陆区时,Cont AWS rol Tower 侦探控件将遵守以下规则:

  • 存在的东西保持不变。现有区域、现有地区的现有账户的控制行为、侦查行为和预防行为均保持不变。OUs

  • 您不能对OUs包含未更新的现有账户应用新的侦探控件。将 Contro AWS l Tower 着陆区配置为新区域(通过更新着陆区)后,必须先更新现有账户,OUs然后才能对这些账户OUs和账户启用新的侦探控件。

  • 一旦您更新账户,您现有的检测性控件就会开始在新配置的区域中发挥作用。当你更新 Cont AWS rol Tower 着陆区以配置新区域,然后更新账户时,已在 OU 上启用的侦探控件将开始在新配置的区域中使用该账户。

配置 Cont AWS rol Tower 区域
  1. 登录 Cont AWS rol Tower 控制台,网址为 https://console.aws.amazon.com/controltower

  2. 在左侧窗格导航菜单中,选择登录区设置

  3. 登录区设置页面的详细信息部分中,选择右上角的修改设置按钮。您将被引导至更新登录区工作流,因为监管新区域或从监管范围内移除区域需要您更新到最新的登录区版本。

  4. 在 “其他监管 AWS 区域” 下,搜索您想要管理(或停止治理)的区域。状态列显示您目前监管哪些区域,不监管哪些区域。

  5. 选中要监管的每个其他区域对应的复选框。取消选中要从中移除监管的每个区域对应的复选框。

    注意

    如果您选择不管理某个区域,您仍然可以在该区域部署资源,但这些资源将不在 Cont AWS rol Tower 的管理范围内。

  6. 完成该工作流的其余部分,然后选择更新登录区

  7. landing zone 设置完成后,请重新注册OUs以更新新区域中的账户。有关更多信息,请参阅 何时更新 Cont AWS rol Tower OUs 和账号

配置新区域后,另一种配置或更新个人账户的方法是使用 S ervice Catalog API 框架和批量更新账户。 AWS CLI有关更多信息,请参阅 使用自动化预置和更新账户

OU 级别区域拒绝控件的注意事项

关于 OU 级别区域拒绝控件的主要注意事项是,要确定它将如何与登录区区域拒绝控件进行交互(如果两者均已激活)。有关更多信息,请参阅 Region deny control applied to the OU

您可能还想查看配置区域拒绝控件