AWS 区域如何与 Cont AWS rol Tower 配合使用 - AWS Control Tower
配置您的 Cont AWS rol Tower 区域OU 级别区域拒绝控制的注意事项

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 区域如何与 Cont AWS rol Tower 配合使用

目前,以下 AWS 区域支持 Cont AWS rol Tower:

  • 美国东部(弗吉尼亚州北部)

  • 美国东部(俄亥俄州)

  • 美国西部(俄勒冈州)

  • 加拿大(中部)

  • 亚太地区(悉尼)

  • 亚太地区(新加坡)

  • 欧洲地区(法兰克福)

  • 欧洲地区(爱尔兰)

  • Europe (London)

  • 欧洲地区(斯德哥尔摩)

  • 亚太地区(孟买)

  • 亚太地区(首尔)

  • Asia Pacific (Tokyo)

  • 欧洲地区(巴黎)

  • 南美洲(圣保罗)

  • 美国西部(加利福尼亚北部)

  • 亚太地区(香港)

  • 亚太地区(雅加达)

  • 亚太地区(大阪)

  • 欧洲地区(米兰)

  • 非洲(开普敦)

  • 中东(巴林)

  • 以色列(特拉维夫)

  • 中东 (UAE)

  • 欧洲(西班牙)

  • 亚太地区(海得拉巴)

  • 欧洲(苏黎世)

  • 亚太地区(墨尔本)

  • 加拿大西部(卡尔加里)

关于你的家乡地区

创建着陆区时,用于访问 AWS 管理控制台的区域将成为 Cont AWS rol Tower 的主 AWS 区域。在创建过程中,一些资源是在主区域中配置的。其他资源(例如OUs和 AWS 账户)是全球性的。

选择主区域后,您无法对其进行更改。

控件和区域

目前,所有预防性控制措施都在全球范围内发挥作用。但是,Detective 和主动控制仅在支持 Cont AWS rol Tower 的地区起作用。有关在新区域中激活 Contro AWS l Tower 时控件行为的更多信息,请参阅配置您的 Cont AWS rol Tower 区域

配置您的 Cont AWS rol Tower 区域

本节介绍将 Contro AWS l Tower 着陆区扩展到新 AWS 区域或从着陆区配置中移除区域时可能出现的行为。通常,此操作是通过 Cont AWS rol Tower 控制台的更新功能执行的。

注意

我们建议您避免将 Cont AWS rol Tower 着陆区扩展到不需要运行工作负载的 AWS 区域。选择退出某个区域并不会阻止您在该区域部署资源,但这些资源将不在 Cont AWS rol Tower 的管理范围内。

在配置新区域期间,Cont AWS rol Tower 会更新着陆区,这意味着它会为你的着陆区设定基线

  • 在所有新选定的地区积极开展业务,以及

  • 停止管理已取消选定地区的资源。

在此着陆区更新过程中,不会更新您的组织单位 (OUs) 中由 Cont AWS rol Tower 管理的个人帐户。因此,您必须通过重新注册来更新您的OUs帐户。

配置 Contro AWS l Tower 区域时,请注意以下建议和限制:

  • 选择您计划托管 AWS 资源或工作负载的区域。

  • 选择退出某个区域并不会阻止您在该区域部署资源,但这些资源将不在 Cont AWS rol Tower 的管理范围内。

当你为新区域配置着陆区时,Cont AWS rol Tower 侦探控件将遵守以下规则:

  • 存在的东西保持不变。现有区域、现有地区的现有账户的控制行为、侦查行为和预防行为均保持不变。OUs

  • 您不能对OUs包含未更新的现有账户应用新的侦探控件。将 Contro AWS l Tower 着陆区配置为新区域(通过更新着陆区)后,必须先更新现有账户,OUs然后才能对这些账户OUs和账户启用新的侦探控件。

  • 更新账户后,您现有的侦探控件就会开始在新配置的区域中起作用。当你更新 Cont AWS rol Tower 着陆区以配置新区域,然后更新账户时,已在 OU 上启用的侦探控件将开始在新配置的区域中使用该账户。

配置 Cont AWS rol Tower 区域

  1. 登录 Cont AWS rol Tower 控制台,网址为 https://console.aws.amazon.com/controltower

  2. 在左窗格导航菜单中,选择着陆区设置

  3. 着陆区设置页面的详细信息部分,选择右上角的修改设置按钮。您将被引导到更新着陆区工作流程,因为管理新区域或从管理中移除区域需要您更新到最新的着陆区版本。

  4. 在 “其他监管 AWS 区域” 下,搜索您想要管理(或停止治理)的区域。州/省 /市/自治区列显示您当前管理的区域,以及您不管理的区域。

  5. 选中要管理的每个其他地区的复选框。取消选中要从中移除监管的每个区域对应的复选框。

    注意

    如果您选择不管理某个区域,您仍然可以在该区域部署资源,但这些资源将不在 Cont AWS rol Tower 的管理范围内。

  6. 完成工作流程的其余部分,然后选择 Update landing zon e。

  7. landing zone 设置完成后,请重新注册OUs以更新新区域中的账户。有关更多信息,请参阅 何时更新 Cont AWS rol Tower OUs 和账号

配置新区域后,另一种配置或更新个人账户的方法是使用 S ervice Catalog API 框架和批量更新账户。 AWS CLI有关更多信息,请参阅 使用自动化配置和更新账户

OU 级别区域拒绝控制的注意事项

OU 级区域拒绝控制的主要考虑因素是确定如果两者都被激活,它将如何与着陆区域 Region deny 控件进行交互。有关更多信息,请参阅应用于 OU 的区域拒绝控制

您可能还想查看配置区域拒绝控制