AWS 區域 在您的帳戶中啟用或停用 - AWS 帳戶管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 區域 在您的帳戶中啟用或停用

AWS 區域 是世界上的實體位置,我們擁有多個可用區域。可用區域由一或多個離散 AWS 資料中心組成,每個資料中心都具有備援電源、聯網和連線能力,並存放在不同的設施中。這表示每個 AWS 區域 都已實際隔離,且與其他 區域無關。區域提供容錯能力、穩定性和恢復能力,也可降低延遲。如需可用和近期區域的地圖,請參閱 區域和可用區域

除非您明確使用 AWS 服務提供的複寫功能,否則您在一個區域中建立的資源不會存在於任何其他區域中。例如,Amazon S3 和 Amazon EC2 支援跨區域複寫。有些 服務,例如 AWS Identity and Access Management (IAM),沒有區域資源。

您的帳戶決定您可用的區域。

  • AWS 帳戶 提供多個區域,讓您可以在符合您需求的位置啟動 AWS 資源。例如,您可能想要在歐洲啟動 Amazon EC2 執行個體,以便更接近您的歐洲客戶或符合法律要求。

  • An AWS GovCloud (美國西部) 帳戶可讓您存取 AWS GovCloud (美國西部) 區域和 AWS GovCloud (美國東部) 區域。如需詳細資訊,請參閱AWS GovCloud (US)

  • Amazon AWS (中國) 帳戶僅提供北京和寧夏區域的存取權。如需詳細資訊,請參閱 Amazon Web Services in China (Amazon Web Services (中國))。

如需區域名稱及其對應代碼的清單,請參閱 AWS 一般參考指南中的區域端點。如需每個區域 (不含端點) 支援的 AWS 服務清單,請參閱AWS 區域服務清單

重要

AWS 建議您使用 regional AWS Security Token Service (AWS STS) 端點,而非全域端點來降低延遲。來自區域 AWS STS 端點的工作階段權杖在所有 AWS 區域中都有效。如果您使用區域 AWS STS 端點,則不需要進行任何變更。不過,來自 全域 AWS STS 端點 (https://sts.amazonaws.com) 的工作階段字符僅在您啟用 AWS 區域 的 中有效,或預設啟用的 中有效。如果您打算為帳戶啟用新的區域,您可以使用區域 AWS STS 端點的工作階段字符,或啟用全域 AWS STS 端點來發出在所有 中有效的工作階段字符 AWS 區域。在所有 區域中有效的工作階段字符較大。如果您存放工作階段字符,這些較大的字符可能會影響您的系統。如需 AWS STS 端點如何使用 AWS 區域的詳細資訊,請參閱AWS STS 在 AWS 區域中管理

啟用和停用區域之前的考量事項

啟用或停用區域之前,請務必考量下列事項:

  • 在 2019 年 3 月 20 日之前引進的區域預設為啟用 – AWS 預設會先啟用所有新的 AWS 區域 ,這表示您可以立即開始在這些區域中建立和管理資源。您無法啟用或停用預設啟用的區域。今天,當 AWS 新增區域時,預設會停用新區域。如果您希望使用者能夠在新區域中建立和管理資源,您首先需要啟用該區域。下列區域預設為啟用。

    名稱 代碼
    美國東部 (維吉尼亞北部) us-east-1
    美國東部 (俄亥俄) us-east-2
    美國西部 (加利佛尼亞北部) us-west-1
    美國西部 (奧勒岡) us-west-2
    亞太區域 (東京) ap-northeast-1
    亞太區域 (首爾) ap-northeast-2
    亞太區域 (大阪) ap-northeast-3
    亞太區域 (孟買) ap-south-1
    亞太區域 (新加坡) ap-southeast-1
    亞太區域 (悉尼) ap-southeast-2
    加拿大 (中部) ca-central-1
    歐洲 (法蘭克福) eu-central-1
    歐洲 (斯德哥爾摩) eu-north-1
    歐洲 (愛爾蘭) eu-west-1
    歐洲 (倫敦) eu-west-2
    Europe (Paris) eu-west-3
    南美洲 (聖保羅) sa-east-1
  • 您可以使用 IAM 許可來控制區域存取 – AWS Identity and Access Management (IAM) 包含四個許可,可讓您控制哪些使用者可以啟用、停用、取得和列出區域。如需詳細資訊,請參閱《IAM 使用者指南》中的AWS允許啟用和停用 AWS 區域。您也可以使用 aws:RequestedRegion 條件金鑰來控制 AWS 服務 中對 的存取 AWS 區域。

  • 啟用區域是免費的 – 啟用區域無需付費。您只需為在新區域中建立的資源付費。

  • 停用區域會停用 IAM 存取 區域中的資源 – 如果您停用仍包含 AWS 資源的區域,例如 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,則會失去該區域中資源的 IAM 存取。例如,您無法使用 AWS Management Console 檢視或變更停用區域中任何 EC2 執行個體的組態。

  • 如果您停用區域,作用中資源的費用會繼續 – 如果您停用仍包含 AWS 資源的區域,這些資源 (如果有的話) 的費用會繼續以標準費率累積。例如,若您停用的區域中含有 Amazon EC2 執行個體,即使您已無法存取該等執行個體,仍須為執行個體付費。

  • 停用區域不一定會立即顯示 – 停用區域後,服務和主控台可能會暫時顯示。停用區域可能需要幾分鐘到幾個小時才會生效。

  • 在某些情況下,啟用區域需要幾分鐘到幾個小時的時間 – 當您啟用區域時, AWS 會執行動作來準備您該區域中的帳戶,例如將 IAM 資源分發到該區域。大多數帳戶需要幾分鐘的時間,但有時可能需要幾個小時。直到此過程完成之前,您都無法使用區域。

  • 組織可以在 AWS 組織的特定時間開啟 50 個區域選擇請求 – 管理帳戶可以隨時有 50 個待處理請求待其組織完成。一個請求等於對一個帳戶啟用或停用一個特定區域。

  • 單一帳戶在任何指定時間都可以有 6 個進行中的區域選擇請求 – 一個請求等於對一個帳戶啟用或停用一個特定區域。

  • Amazon EventBridge 整合 – 客戶可以在 EventBridge 中訂閱區域選項狀態更新通知。系統會為每個狀態變更建立 EventBridge 通知,讓客戶能夠自動化工作流程。

  • 表達式區域選項狀態 – 由於啟用/停用選擇加入區域的非同步性質,區域選項請求有四種潛在狀態:

    • ENABLING

    • DISABLING

    • ENABLED

    • DISABLED

    當選擇加入或選擇退出處於 ENABLINGDISABLING 狀態時,您無法取消。否則,ConflictException將擲出 。已完成 (啟用/停用) 區域選項請求取決於金鑰基礎 AWS 服務的佈建。即使狀態為 ,有些 AWS 服務仍無法立即使用ENABLED

  • 與 完全整合 AWS Organizations – 管理帳戶可以修改或讀取該 AWS 組織任何成員帳戶的區域選項。成員帳戶也可以讀取/寫入其區域狀態。

啟用或停用獨立帳戶的 區域

若要更新您的 AWS 帳戶 可存取的區域,請執行下列程序的步驟。以下 AWS Management Console 程序一律僅適用於獨立內容。您可以使用 AWS Management Console 檢視或僅更新您用來呼叫 操作之帳戶中的可用區域。

AWS Management Console
啟用或停用獨立 的區域 AWS 帳戶
最低許可

若要執行下列程序中的步驟,IAM 使用者或角色必須具有下列許可:

  • account:ListRegions (需要檢視 的清單, AWS 區域 以及它們目前是否啟用或停用)。

  • account:EnableRegion

  • account:DisableRegion

  1. AWS Management Console 以具有最低許可的 AWS 帳戶根使用者 IAM 使用者或角色身分登入 。

  2. 選擇視窗右上角的帳戶名稱,然後選擇帳戶

  3. 帳戶頁面上,向下捲動至區段 AWS 區域

    注意

    系統可能會提示您核准存取此資訊。 AWS 會傳送請求到與帳戶相關聯的電子郵件地址,以及主要聯絡電話號碼。選擇請求中的連結,在瀏覽器中開啟連結,並核准存取權。

  4. 動作欄中 AWS 區域 具有 選項的每個旁邊,選擇啟用或停用,取決於您希望帳戶中的使用者能夠建立和存取該區域中的資源。

  5. 如果出現提示,請確認您的選擇。

  6. 完成所有變更後,請選擇更新

AWS CLI & SDKs

您可以使用下列 AWS CLI 命令或其 AWS SDK 對等操作來啟用、停用、讀取和列出區域選擇狀態:

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

最低許可

若要執行下列步驟,您必須擁有對應至該操作的許可:

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

如果您使用這些個別許可,您可以授予某些使用者僅讀取區域選擇資訊的能力,並授予其他人同時讀取和寫入的能力。

下列範例會啟用組織中指定成員帳戶的 區域。使用的登入資料必須來自組織的管理帳戶,或來自帳戶管理的委派管理員帳戶。

請注意,您也可以使用相同的命令來停用區域,然後使用 enable-region 取代 disable-region

aws account enable-region --region-name af-south-1

此命令如果成功就不會產生輸出。

操作是非同步的。下列命令可讓您查看請求的最新狀態。

aws account get-region-opt-status --region-name af-south-1 { "RegionName": "af-south-1", "RegionOptStatus": "ENABLING" }

啟用或停用組織中的區域

若要更新 成員帳戶已啟用的區域 AWS Organizations,請執行下列程序的步驟。

注意

受 AWS Organizations 管政策 AWSOrganizationsReadOnlyAccessAWSOrganizationsFullAccess已更新,以提供存取 AWS 帳戶管理 APIs許可,以便您可以從 AWS Organizations 主控台存取帳戶資料。若要檢視更新的 受管政策,請參閱 組織 AWS 受管政策的更新

注意

在您可以從管理帳戶或組織中的委派管理員帳戶執行這些操作,以搭配成員帳戶使用之前,您必須:

  • 啟用組織中的所有功能,以管理成員帳戶的設定。這可讓管理員控制成員帳戶。這會在您建立組織時預設為 。如果您的組織設定為僅合併計費,且您想要啟用所有功能,請參閱啟用組織中的所有功能

  • 啟用 AWS Account Management 服務的信任存取。若要設定此項目,請參閱 啟用受信任的存取 AWS 帳戶管理

AWS Management Console
啟用或停用組織中的區域
  1. 使用組織的管理帳戶登入資料登入 AWS Organizations 主控台。

  2. AWS 帳戶頁面上,選取您要更新的帳戶。

  3. 選擇帳戶設定索引標籤。

  4. 區域下,選取您要啟用或停用的區域。

  5. 選擇動作,然後選擇啟用或停用選項。

  6. 如果您選擇啟用選項,請檢閱顯示的文字,然後選擇啟用區域

  7. 如果您選擇停用選項,請檢閱顯示的文字,輸入停用進行確認,然後選擇停用區域

AWS CLI & SDKs

您可以使用下列 AWS CLI 命令或其 AWS SDK 對等操作來啟用、停用、讀取和列出組織成員帳戶的區域選擇狀態:

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

最低許可

若要執行下列步驟,您必須擁有對應至該操作的許可:

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

如果您使用這些個別許可,您可以授予某些使用者僅讀取區域選擇資訊的能力,並授予其他人同時讀取和寫入的能力。

下列範例會啟用組織中指定成員帳戶的 區域。使用的登入資料必須來自組織的管理帳戶,或來自帳戶管理的委派管理員帳戶。

請注意,您也可以使用相同的命令來停用區域,然後使用 enable-region 取代 disable-region

aws account enable-region --account-id 123456789012 --region-name af-south-1

此命令如果成功就不會產生輸出。

注意

組織在特定時間最多只能有 20 個區域請求。否則,您將收到 TooManyRequestsException

操作是非同步的。下列命令可讓您查看請求的最新狀態。

aws account get-region-opt-status --account-id 123456789012 --region-name af-south-1 { "RegionName": "af-south-1", "RegionOptStatus": "ENABLING" }