AWS 區域如何使用 AWS Control Tower

目前，下列 AWS 區域支援 AWS Control Tower：

關於您的主要區域

當您建立登陸區域時，您用來存取 AWS 管理主控台的區域會成為 AWS Control Tower 的主 AWS 區域。在建立過程中，某些資源會在主區域中佈建。其他資源，例如 OUs和 AWS 帳戶，都是全域資源。

選取主要區域之後，就無法變更。

控制項和區域

目前，所有預防性控制都適用於全球。不過，偵測和主動控制僅適用於支援 AWS Control Tower 的區域。如需在新區域中啟用 AWS Control Tower 時控制項行為的詳細資訊，請參閱設定 AWS Control Tower 區域。

設定 AWS Control Tower 區域

本節說明當您將 AWS Control Tower 登陸區域擴展到新的 AWS 區域，或從登陸區域組態中移除區域時，您可以預期的行為。一般而言，此動作是透過 AWS Control Tower 主控台的更新函數執行。

建議您避免將 AWS Control Tower 登陸區域擴展到您不需要執行工作負載的 AWS 區域中。選擇退出該區域並不會阻止您在該區域中部署資源，但這些資源將保留在 AWS Control Tower 管理範圍之外。

在新區域的組態期間，AWSControl Tower 會更新登陸區域，這表示它會為您的登陸區域建立基準：

您組織單位（OUs）中由 AWS Control Tower 管理的個別帳戶不會在此登陸區域更新程序中更新。因此，您必須重新註冊來更新帳戶OUs。

設定 AWS Control Tower 區域時，請注意下列建議和限制：

當您為新區域設定登陸區域時，AWSControl Tower 偵測控制項會遵循下列規則：

已存在的項目保持不變。在現有區域中，現有帳戶中的控制行為、偵測和預防功能保持不變OUs。
您無法將新的偵測控制項套用至OUs包含未更新之帳戶的現有。當您將 AWS Control Tower 登陸區域設定為新區域（透過更新登陸區域）時，您必須先更新現有中的現有帳戶，OUs才能啟用這些 OUs和帳戶的新偵測控制。
您現有的偵測控制項會在您更新帳戶後，開始在新設定的區域中運作。當您更新 AWS Control Tower 登陸區域以設定新區域，然後更新帳戶時，已在 OU 上啟用的偵測控制項會開始在新設定的區域中使用該帳戶。

在登入 AWS Control Tower 主控台 https://console.aws.amazon.com/controltower
在左側窗格導覽選單中，選擇登陸區域設定 。
在登陸區域設定頁面的詳細資訊區段中，選擇右上角的修改設定按鈕。系統會將您導向至更新登陸區域工作流程，因為管理新區域，或從治理中移除區域，您需要更新至最新的登陸區域版本。
在 治理的其他 AWS 區域下，搜尋您要管理（或停止管理）的區域。狀態欄指出您目前管理的區域，以及不管理的區域。
選取要管理的每個額外區域的核取方塊。取消選取您要從中移除治理的每個區域的核取方塊。

注意
如果您選擇不管理區域，您仍然可以在該區域中部署資源，但這些資源將保留在 AWS Control Tower 管理之外。
完成工作流程的其餘部分，然後選擇更新登陸區域 。
當登陸區域設定完成時，重新註冊 OUs以更新新區域中的帳戶。如需詳細資訊，請參閱何時更新 AWS Control Tower OUs和帳戶。

設定新區域後佈建或更新個別帳戶的替代方法是使用 Service Catalog 和的API架構，在批次程序中更新帳戶。 AWS CLI如需詳細資訊，請參閱使用自動化佈建和更新帳戶。

OU 層級區域拒絕控制的主要考量是判斷如果兩者都啟用，其將如何與登陸區域區域拒絕控制互動。如需詳細資訊，請參閱套用至 OU 的區域拒絕控制項。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

管理資源

設定區域時避免混合管理