Consideraciones a la hora de activar las regiones con AWS suscripción - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consideraciones a la hora de activar las regiones con AWS suscripción

Aunque la mayoría Regiones de AWS están activas de forma predeterminada Cuenta de AWS, algunas regiones solo se activan cuando las seleccionas manualmente. En este documento se hace referencia a esas regiones como regiones de suscripción voluntaria. Por el contrario, las regiones que están activas de forma predeterminada, tan pronto como Cuenta de AWS se crea la suya, se denominan regiones comerciales o, simplemente, regiones.

El término suscripción voluntaria tiene una base histórica. Todas las regiones que Regiones de AWS se introduzcan después del 20 de marzo de 2019 se considerarán regiones de suscripción voluntaria. Las regiones de suscripción voluntaria tienen requisitos de seguridad más estrictos que las regiones comerciales en lo que respecta al intercambio de datos de IAM a través de cuentas que están activas en las regiones de suscripción. Todos los datos gestionados a través del servicio de IAM se consideran datos de identidad, incluidos los usuarios, los grupos, las funciones, las políticas, los proveedores de identidad, sus datos asociados (por ejemplo, los certificados de firma X.509 o las credenciales específicas del contexto) y otros ajustes a nivel de cuenta, como la política de contraseñas y el alias de la cuenta.

Puedes activar automáticamente las regiones de suscripción durante la configuración de la landing zone, seleccionándolas. Tu landing zone se activará en todas las regiones seleccionadas.

Si elige seleccionar una región de suscripción como región de origen de AWS Control Tower, actívela primero siguiendo los pasos que se indican en Habilitar una región cuando haya iniciado sesión en la consola AWS de administración. Para crear sus propias cuentas de registro, archivado y auditoría existentes de una región que haya optado por participar, active primero esa región manualmente.

Las regiones AWS opcionales incluyen varias regiones en las que AWS Control Tower está disponible:

  • Región de Asia Pacífico (Hong Kong), ap-east-1

  • Región de Asia Pacífico (Yakarta), ap-southeast-3

  • Región Europa (Milán), eu-south-1

  • Región de África (Ciudad del Cabo), af-south-1

  • Región de Medio Oriente (Bahréin), me-south-1

  • Israel (Tel Aviv), il-central-1

  • Región de Oriente Medio (EAU), me-central-1

  • Región Europa (España), eu-south-2

  • Región Asia Pacífico (Hyderabad), ap-south-2

  • Región Europa (Zúrich), eu-central-2

  • Región Asia Pacífico (Melbourne), ap-southeast-4

  • Región Canadá Oeste (Calgary), ca-west-1

AWS Control Tower tiene algunos controles que funcionan de forma diferente en las regiones de suscripción que en las regiones comerciales. Para obtener más información, consulte Limitaciones de control. Estas son algunas consideraciones que debe tener en cuenta al implementar cargas de trabajo en las regiones en las que se ha optado por participar.

¿Gobernar o activar?

Recuerde que gobernar una región es una acción que puede seleccionar en la consola de AWS Control Tower para que los controles se puedan aplicar en la región. Activar o desactivar una región optativa es otra acción que puede elegir en la AWS consola, que abre la región en su cuenta para que pueda implementar recursos y cargas de trabajo en la región.

Consideraciones sobre el comportamiento

  • Si decide regir las regiones de suscripción voluntaria, le recomendamos que no desactive (excluya) ninguna de las regiones de suscripción reguladas, ya que esto podría provocar fallos en sus cargas de trabajo. La Torre de Control de AWS no permite la desactivación de una región gobernada desde la consola de la Torre de Control de AWS, pero asegúrese de no desactivar las regiones gobernadas desde una fuente ajena a la Torre de Control de AWS, como la consola de AWS facturación o AWS el SDK.

  • Cuando AWS Control Tower extiende la gobernanza a una región de suscripción voluntaria, se activa (opta por participar) en la región en todas las cuentas de los miembros. Al eliminar una región de la gobernanza, AWS Control Tower no desactiva (excluye) la región en las cuentas de los miembros.

  • Al anular la selección de una región, AWS Control Tower omite la eliminación de recursos de una región que haya optado por participar si dicha región se desactivó manualmente para una cuenta de una fuente ajena a la Torre de Control de AWS, como la consola de AWS facturación o el SDK. AWS Le recomendamos que elimine los recursos de las regiones que ha desactivado o podría recibir cargos de facturación inesperados por esos recursos.

  • Si su landing zone se retira del servicio, AWS Control Tower limpia los recursos de todas las regiones gobernadas, incluidas las regiones en las que se ha optado por participar. Sin embargo, AWS Control Tower no desactiva las regiones de suscripción. Puede desactivar las regiones opcionales como paso adicional tras el desmantelamiento.

  • Si tu región de origen es una región de suscripción voluntaria y pretendes inscribir las cuentas existentes como tus cuentas de archivo de registros y auditoría, debes activar manualmente la región de suscripción antes de poder seleccionarla como región de origen para tu landing zone. Consulte Habilitar una región.

  • Si AWS Control Tower está configurada con una región opcional como región de origen y si visita el servicio AWS Control Tower desde la consola de cualquier otra región, la AWS consola no lo redireccionará automáticamente a la región de origen.

  • La API subyacente tiene límites de capacidad, lo que puede aumentar la latencia de unos minutos a varias horas, en función del número de regiones, cuentas y carga de servicios. Como práctica recomendada, opte solo por aquellas en las que ejecutará las Regiones de AWS cargas de trabajo y opte por una región a la vez.

Limitaciones importantes de la gobernanza y los controles

  • Si actualmente ha activado un control de la Torre de Control de AWS que no es compatible en una región de suscripción voluntaria, no podrá extender la gobernanza de la Torre de Control de AWS a esa región de suscripción hasta que el control sea compatible en esa región. Para más información, consulte Limitaciones de control.

  • Si extiende la gobernanza de la Torre de Control de AWS a una región opcional en la que no se admite un control específico, no podrá habilitar ese control en ninguna región hasta que el control sea compatible con todas las regiones que gobierna con AWS Control Tower. Para obtener más información, consulte Limitaciones de control

  • Si se activan las 22 regiones comerciales en las que está disponible la Torre de Control de AWS, incluidas las regiones con suscripción voluntaria, se reduce el límite máximo de cuentas por unidad organizativa (OU) al extender la gobernanza a una OU. El límite es de 220 en lugar de 300 cuentas. Esta reducción se debe a StackSet limitaciones. Si necesita extender la gobernanza a las unidades organizativas con más de 220 cuentas, reduzca el número de regiones activadas.