登陸區域設定的管理秘訣

• 您執行最多工作的 AWS 區域應該是您的主區域。

• 設定您的登陸區域，並從您所屬區域內部署您的 Account Factory 帳戶。

• 如果您投資多個 AWS 區域，請確定您的雲端資源位於您將執行大部分雲端管理工作並執行工作負載的區域中。

• 透過將工作負載和日誌保留在相同 AWS 區域中，您可以降低在跨區域移動和擷取日誌資訊時的相關成本。

• 稽核和其他 Amazon S3 儲存貯體都是在您啟動 AWS Control Tower 的相同 AWS 區域中建立。建議不要移動這些儲存貯體。

• 您可以在 Log Archive 帳戶中建立自己的日誌儲存貯體，但不建議這麼做。請務必保留 AWS Control Tower 建立的儲存貯體。

• 您的 Amazon S3 存取日誌必須與來源儲存貯體位於相同的 AWS 區域。

• 啟動時，必須在管理帳戶中針對 AWS Control Tower 支援的所有區域啟用 AWS 安全字符服務 (STS) 端點。否則，啟動可能會在組態過程中途發生失敗。

• AWS Control Tower 僅支援已啟用控制項的標記。如需詳細資訊，請參閱AWS Control Tower 支援已啟用控制項的標記。

• 我們建議為 AWS Control Tower 管理的每個帳戶啟用多重要素驗證 (MFA)。

關於 VPCs考量

• AWS Control Tower 建立的 VPC 僅限於可使用 AWS Control Tower AWS 區域 的 。有些工作負載在不支援的區域中執行的客戶可能想要停用使用 Account Factory 帳戶建立的 VPC。他們可能偏好使用 Service Catalog 產品組合建立新的 VPC，或建立只在所需區域中執行的自訂 VPC。

• AWS Control Tower 建立的 VPC 與為所有 建立的預設 VPC 不同 AWS 帳戶。在支援 AWS Control Tower 的區域中，AWS Control Tower 會在建立 AWS Control Tower VPC 時刪除預設 VPC。

• 如果您在主要 AWS 區域中刪除預設 VPC，最好在所有其他 AWS 區域中將其刪除。