登录区设置方面的管理技巧

• 你工作最多的 AWS 地区应该是你的家乡地区。

• 设置您的登录区，并从您的主区域中部署您的 Account Factory 账户。

• 如果您在多个 AWS 区域进行投资，请确保您的云资源位于您将完成大部分云管理工作和运行工作负载的区域。

• 通过将工作负载和日志保存在同一个 AWS 区域，可以降低与跨区域移动和检索日志信息相关的成本。

• 审计和其他 Amazon S3 存储桶是在您启动 AWS Control Tower 的同一 AWS 区域创建的。我们建议您不要移动这些存储桶。

• 您可以在日志存档账户中创建自己的日志存储桶。但不建议这样做。请务必保留 AWS Control Tower 创建的存储桶。

• 您的 Amazon S3 访问日志必须与源存储桶位于同一 AWS 区域。

• 启动时，必须在 AWS Control Tower 支持的所有区域的管理账户中激活 AWS 安全令牌服务 (STS) 终端节点。否则，启动可能会在配置过程中半途而废。

• AWS Control Tower 仅支持对已启用的控件进行标记。有关更多信息，请参阅 AWS Control Tower 支持为已启用的控件添加标签。

• 我们建议对 AWS Control Tower 管理的每个账户启用多重身份验证（MFA）。

有关的注意事项 VPCs

• AWS Control Tower 创建的 VPC 仅限于可用 AWS 控制塔的范围。 AWS 区域 其工作负载在不受支持的区域中运行的某些客户可能希望禁用使用您的 Account Factory 账户创建的 VPC。他们可能倾向于使用 Service Catalog 产品组合创建新的 VPC，或创建仅在所需区域中运行的自定义 VPC。

• AWS Control Tower 创建的 VPC 与为所有 AWS 账户创建的默认 VPC 不同。在支持 AWS Control Tower 的区域中，AWS Control Tower 会在创建 AWS Control Tower VPC 时删除默认 VPC。

• 如果您删除自己所在 AWS 区域的默认 VPC，则最好在所有其他 AWS 区域将其删除。