登录区设置方面的管理技巧

• 您执行大部分工作所在的 AWS 区域应该是您的主区域。

• 设置您的登录区，并从您的主区域中部署您的 Account Factory 账户。

• 如果您要投资多个 AWS 区域，请确保您的云资源位于您将在其中执行大部分云管理工作并运行工作负载的区域中。

• 通过将您的工作负载和日志保留在同一 AWS 区域中，您可以降低与跨区域移动和检索日志信息关联的成本。

• 审计和其他 Amazon S3 存储桶是在您启动 AWS Control Tower 的同一 AWS AWS 区域中创建的。我们建议您不要移动这些存储桶。

• 您可以在日志存档账户中创建自己的日志存储桶。但不建议这样做。请务必保留 AWS Control Tower 创建的存储桶。

• 您的 Amazon S3 访问日志必须与源存储桶位于同一 AWS 区域中。

• 启动时，必须在管理账户中为受 AWS Control Tower 支持的所有区域激活 AWS Security Token Service（STS）端点。否则，启动可能会在配置过程中半途而废。

• AWS Control Tower 仅支持对已启用的控件进行标记。有关更多信息，请参阅 AWS Control Tower 支持为已启用的控件添加标签。

• 我们建议对 AWS Control Tower 管理的每个账户启用多重身份验证（MFA）。

关于 VPC 的注意事项

• AWS Control Tower 创建的 VPC 仅限于 AWS Control Tower 可用的 AWS 区域。其工作负载在不受支持的区域中运行的某些客户可能希望禁用使用您的 Account Factory 账户创建的 VPC。他们可能倾向于使用 Service Catalog 产品组合创建新的 VPC，或创建仅在所需区域中运行的自定义 VPC。

• AWS Control Tower 创建的 VPC 与为所有 AWS 账户创建的默认 VPC 不同。在支持 AWS Control Tower 的区域中，AWS Control Tower 会在创建 AWS Control Tower VPC 时删除默认 VPC。

• 如果您在主 AWS 区域中删除默认 VPC，最好在所有其他 AWS 区域中将其删除。