Überlegungen zur Aktivierung von AWS Opt-in-Regionen - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überlegungen zur Aktivierung von AWS Opt-in-Regionen

Obwohl die meisten Regionen standardmäßig für Sie aktiv AWS-Regionen sind AWS-Konto, werden bestimmte Regionen nur aktiviert, wenn Sie sie manuell auswählen. In diesem Dokument werden diese Regionen als Opt-in-Regionen bezeichnet. Im Gegensatz dazu werden Regionen, die standardmäßig aktiv sind, sobald Ihre AWS-Konto erstellt wurde, als kommerzielle Regionen oder einfach Regionen bezeichnet.

Der Begriff „Opt-In“ hat eine historische Grundlage. Alle Regionen, die nach dem 20. März 2019 AWS-Regionen eingeführt wurden, gelten als Opt-in-Regionen. Für Opt-in-Regionen gelten höhere Sicherheitsanforderungen als für kommerzielle Regionen, was die gemeinsame Nutzung von IAM-Daten über Konten angeht, die in Opt-in-Regionen aktiv sind. Alle über den IAM-Dienst verwalteten Daten gelten als Identitätsdaten. Dazu gehören Benutzer, Gruppen, Rollen, Richtlinien, Identitätsanbieter, die zugehörigen Daten (z. B. X.509-Signaturzertifikate oder kontextspezifische Anmeldeinformationen) und andere Einstellungen auf Kontoebene, wie die Kennwortrichtlinie und der Kontoalias.

Sie können Opt-in-Regionen bei der Einrichtung der landing zone automatisch aktivieren, indem Sie sie auswählen. Deine landing zone wird in allen ausgewählten Regionen aktiv.

Wenn Sie sich dafür entscheiden, eine Opt-in-Region als Ihre AWS Control Tower Tower-Heimatregion auszuwählen, aktivieren Sie sie zunächst, indem Sie die Schritte unter Region aktivieren befolgen, wenn Sie bei der AWS Management Console angemeldet sind. Wenn Sie Ihre eigenen bestehenden Log Archive- und Audit-Konten aus einer Opt-in-Region verwenden möchten, aktivieren Sie diese Region zunächst manuell.

Die AWS Opt-in-Regionen umfassen mehrere Regionen, in denen AWS Control Tower verfügbar ist:

  • Region Asien-Pazifik (Hongkong), ap-east-1

  • Region Asien-Pazifik (Jakarta), ap-southeast-3

  • Region Europa (Mailand), eu-south-1

  • Region Afrika (Kapstadt), af-south-1

  • Region Naher Osten (Bahrain), me-south-1

  • Israel (Tel Aviv), il-central-1

  • Region Naher Osten (VAE), me-central-1

  • Region Europa (Spanien), eu-south-2

  • Region Asien-Pazifik (Hyderabad), ap-south-2

  • Region Europa (Zürich), eu-central-2

  • Region Asien-Pazifik (Melbourne), ap-southeast-4

  • Region Kanada West (Calgary), ca-west-1

AWS Control Tower verfügt über einige Kontrollen, die in den Opt-in-Regionen anders funktionieren als in kommerziellen Regionen. Weitere Informationen finden Sie unter Einschränkungen der Kontrolle. Im Folgenden finden Sie einige Überlegungen, die Sie bei der Bereitstellung von Workloads in Opt-in-Regionen berücksichtigen sollten.

Regieren oder aktivieren?

Denken Sie daran, dass die Verwaltung einer Region eine Aktion ist, die Sie in der AWS Control Tower Tower-Konsole auswählen können, sodass die Kontrollen in der Region angewendet werden können. Das Aktivieren oder Deaktivieren einer Opt-in-Region ist eine andere Aktion, die Sie in der AWS Konsole auswählen können. Dadurch wird die Region für Ihr Konto geöffnet, sodass Sie Ressourcen und Workloads in der Region bereitstellen können.

Überlegungen in Bezug auf das Verhalten

  • Wenn Sie sich dafür entscheiden, Opt-in-Regionen zu verwalten, empfehlen wir, keine Ihrer kontrollierten Opt-in-Regionen zu deaktivieren (sich abzumelden), da dies zum Ausfall Ihrer Workloads führen kann. AWS Control Tower erlaubt die Deaktivierung einer regulierten Region nicht von der AWS Control Tower-Konsole aus. Achten Sie jedoch darauf, dass Sie regulierte Regionen nicht von einer Quelle außerhalb von AWS Control Tower deaktivieren, z. B. von der AWS Abrechnungskonsole oder dem AWS SDK.

  • Wenn AWS Control Tower die Verwaltung auf eine Opt-in-Region ausdehnt, wird es in allen Mitgliedskonten für die Region aktiviert (Opt-In). Wenn Sie eine Region aus der Verwaltung entfernen, deaktiviert AWS Control Tower die Region nicht in den Mitgliedskonten (Opt-Out).

  • Bei der Abwahl einer Region überspringt AWS Control Tower das Entfernen von Ressourcen aus einer Opt-in-Region, wenn diese Region manuell für ein Konto von einer Quelle außerhalb von AWS Control Tower deaktiviert wurde, z. B. die AWS Abrechnungskonsole oder das SDK. AWS Wir empfehlen Ihnen, Ressourcen aus den Regionen zu entfernen, die Sie deaktiviert haben, da Ihnen sonst unerwartete Abrechnungsgebühren für diese Ressourcen entstehen könnten.

  • Wenn Ihre landing zone außer Betrieb genommen wird, bereinigt AWS Control Tower die Ressourcen in allen kontrollierten Regionen, einschließlich der Opt-in-Regionen. AWS Control Tower deaktiviert die Opt-in-Regionen jedoch nicht. Sie können die Opt-in-Regionen als zusätzlichen Schritt nach der Außerbetriebnahme deaktivieren.

  • Wenn es sich bei Ihrer Heimatregion um eine Opt-in-Region handelt und Sie beabsichtigen, bestehende Konten als Ihre Log-Archiv- und Audit-Konten zu registrieren, müssen Sie die Opt-in-Region manuell aktivieren, bevor Sie sie als Heimatregion für Ihre landing zone auswählen können. Weitere Informationen finden Sie unter Region aktivieren.

  • Wenn AWS Control Tower mit einer Opt-in-Region als Heimatregion eingerichtet ist und Sie den AWS Control Tower Tower-Service von der AWS Konsole in einer anderen Region aus aufrufen, leitet Sie die Konsole nicht automatisch zur Heimatregion weiter.

  • Die zugrunde liegende API hat Kapazitätsgrenzen, wodurch sich die Latenz je nach Anzahl der Regionen, Konten und Dienstauslastung von einigen Minuten auf viele Stunden erhöhen kann. Als bewährte Methode sollten Sie sich nur für diejenigen entscheiden, AWS-Regionen in denen Sie Workloads ausführen, und sich jeweils für eine Region anmelden.

Wichtige Einschränkungen in Bezug auf Unternehmensführung und Kontrollen

  • Wenn Sie derzeit eine AWS Control Tower aktiviert haben, die in einer Opt-in-Region nicht unterstützt wird, können Sie die AWS Control Tower Tower-Governance nicht auf diese Opt-in-Region ausdehnen, bis die Steuerung in dieser Region unterstützt wird. Weitere Informationen finden Sie unter Einschränkungen der Kontrolle.

  • Wenn Sie AWS Control Tower Governance auf eine Opt-in-Region ausdehnen, in der eine bestimmte Kontrolle nicht unterstützt wird, können Sie diese Kontrolle in keiner Region aktivieren, bis die Kontrolle in allen Regionen unterstützt wird, die Sie mit AWS Control Tower verwalten. Weitere Informationen finden Sie unter Einschränkungen der Kontrolle

  • Wenn alle 22 kommerziellen Regionen, in denen AWS Control Tower verfügbar ist, aktiviert sind, einschließlich Opt-in-Regionen, wird die Obergrenze für die Anzahl der Konten pro Organisationseinheit (OU) bei der Ausweitung der Governance auf eine OU reduziert. Das Limit liegt bei 220 statt 300 Konten. Diese Reduzierung ist auf StackSet Einschränkungen zurückzuführen. Wenn Sie die Verwaltung auf Organisationseinheiten mit mehr als 220 Konten ausweiten möchten, reduzieren Sie die Anzahl der aktivierten Regionen.