本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
登陸區域設定的管理提示
以下是設定和設定登陸區域的一些提示。
-
您執行最多工作的 AWS 區域應該是您的主區域。
-
設定您的登陸區域,並從您主區域部署 Account Factory 帳戶。
-
如果您要投資多個 AWS 區域,請確定您的雲端資源位於您將執行大部分雲端管理工作的區域中,並執行工作負載。
-
透過將工作負載和日誌保留在同一個 AWS 區域中,您可以降低在跨區域移動和擷取日誌資訊的相關成本。
-
稽核和其他 Amazon S3 儲存貯體會在您啟動 AWS Control Tower 的相同 AWS 區域中建立。建議不要移動這些儲存貯體。
-
您可以在 Log Archive 帳戶中建立自己的日誌儲存貯體,但不建議這樣做。請務必保留 AWS Control Tower 建立的儲存貯體。
您的 Amazon S3 存取日誌必須與來源儲存貯體位於相同的 AWS 區域。
-
啟動時,必須針對 AWS Control Tower 支援的所有區域,在 管理帳戶中啟用 AWS 安全權杖服務 (STS) 端點。否則,啟動可能會在組態過程中途發生失敗。
-
AWS Control Tower 僅支援已啟用控制項的標記。如需詳細資訊,請參閱AWSControl Tower 支援已啟用控制項的標籤。
-
建議您針對 AWS Control Tower 管理的每個帳戶啟用多重要素驗證 (MFA)。
關於 的考量 VPCs
-
AWS Control Tower VPC建立的 僅限於提供 AWS Control Tower AWS 區域 的 。有些工作負載在不支援的區域中執行的客戶可能會想要停用使用 Account Factory 帳戶建立VPC的 。他們可能偏好VPC使用 Service Catalog 產品組合建立新的 ,或建立僅在所需區域中VPC執行的自訂。
-
AWS Control Tower VPC建立的 與為所有 建立VPC的預設值不同 AWS 帳戶。在支援 AWS Control Tower 的區域中,AWSControl Tower 會在建立 AWS Control Tower VPC時刪除預設值VPC。
-
如果您在VPC主要 AWS 區域中刪除預設值,最好在所有其他 AWS 區域中將其刪除。
