着陆区设置的管理提示

• 你工作最多的 AWS 地区应该是你的家乡地区。

• 设置你的着陆区，然后从你的家乡区域部署你的 Account Factory 账户。

• 如果您在多个 AWS 区域进行投资，请确保您的云资源位于您要完成大部分云管理工作和运行工作负载的区域。

• 通过将工作负载和日志保存在同一个 AWS 区域，可以降低与跨区域移动和检索日志信息相关的成本。

• 审计和其他 Amazon S3 存储桶是在您启动 Cont AWS rol Tower 的同一 AWS 区域创建的。我们建议您不要移动这些存储桶。

• 您可以在日志存档账户中创建自己的日志存储桶，但不建议这样做。请务必保留 Cont AWS rol Tower 创建的存储桶。

• 您的 Amazon S3 访问日志必须与源存储桶位于同一 AWS 区域。

• 启动时，必须在 Cont AWS rol Tower 支持的所有区域的管理账户中激活 AWS 安全令牌服务 (STS) 端点。否则，启动可能会在配置过程中半途而废。

• AWSControl Tower 仅支持为已启用的控件添加标签。有关更多信息，请参阅 AWSControl Tower 支持为已启用的控件添加标签。

• 我们建议为 Cont AWS rol Tower 管理的每个账户启用多重身份验证 (MFA)。

关于的注意事项 VPCs

• 由 Cont AWS rol Tower VPC 创建的 AWS 区域 仅限于可用的AWS控制塔。一些在不受支持的区域运行工作负载的客户可能希望禁用使用您VPC的 Account Factory 账户创建的。他们可能更喜欢VPC使用 Service Catalog 产品组合创建新的VPC，或者创建仅在所需区域运行的定制服务。

• 由 Cont AWS rol Tower VPC 创建的与为所有VPC人创建的默认值不同 AWS 账户。在支持AWS控制塔的区域，AWS控制塔在创建控制塔VPC时会删除默认AWS控制塔VPC。

• 如果您删除了自己所在VPC AWS 地区的默认设置，则最好在所有其他 AWS 地区将其删除。