Cómo AWS Regions trabaja con AWS Control Tower - AWS Control Tower
Configure las regiones AWS de su Torre de ControlEvite la gobernanza mixta al configurar las regionesLas consideraciones para la región a nivel de la OU niegan el control

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo AWS Regions trabaja con AWS Control Tower

Actualmente, AWS Control Tower es compatible con lo siguiente AWS Regiones:

  • Este de EE. UU. (Norte de Virginia)

  • Este de EE. UU. (Ohio)

  • Oeste de EE. UU. (Oregón)

  • Canadá (centro)

  • Asia-Pacífico (Sídney)

  • Asia-Pacífico (Singapur)

  • Europe (Fráncfort)

  • Europa (Irlanda)

  • Europe (Londres)

  • Europa (Estocolmo)

  • Asia-Pacífico (Bombay)

  • Asia-Pacífico (Seúl)

  • Asia-Pacífico (Tokio)

  • Europa (París)

  • América del Sur (São Paulo)

  • Oeste de EE. UU. (Norte de California)

  • Asia-Pacífico (Hong Kong)

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

  • África (Ciudad del Cabo)

  • Medio Oriente (Baréin)

  • Israel (Tel Aviv)

  • Oriente Medio (UAE)

  • Europa (España)

  • Asia-Pacífico (Hyderabad)

  • Europa (Zúrich)

  • Asia-Pacífico (Melbourne)

  • Oeste de Canadá (Calgary)

Acerca de su región de origen

Cuando creas una landing zone, la región que utilizas para acceder a AWS La consola de administración se convierte en tu hogar AWS Región para la Torre AWS de Control. Durante el proceso de creación, algunos recursos se aprovisionan en la región de origen. Otros recursos, como y OUs AWS las cuentas son globales.

Una vez que hayas seleccionado una región local, no podrás cambiarla.

Controles y regiones

En la actualidad, todos los controles preventivos funcionan a nivel mundial. Sin embargo, los controles proactivos y de Detective solo funcionan en las regiones en las que se admite la Torre de AWS Control. Para obtener más información sobre el comportamiento de los controles al activar la Torre de AWS Control en una nueva región, consulteConfigure las regiones AWS de su Torre de Control.

Configure las regiones AWS de su Torre de Control

En esta sección se describe el comportamiento que puedes esperar al ampliar la zona de aterrizaje de la AWS Control Tower a una nueva. AWS Región o elimina una región de la configuración de tu landing zone. Por lo general, esta acción se realiza a través de la función de actualización de la consola de la Torre de AWS Control Tower.

nota

Te recomendamos que evites expandir la zona de aterrizaje AWS de la Torre de Control a AWS Regiones en las que no necesita que se ejecuten sus cargas de trabajo. La exclusión voluntaria de una región no le impide desplegar recursos en esa región, pero esos recursos permanecerán fuera del AWS control de la Torre de Control Tower.

Durante la configuración de una nueva región, la Torre de AWS Control actualiza la zona de aterrizaje, lo que significa que constituye la línea base de tu zona de aterrizaje:

  • para operar activamente en todas las regiones recién seleccionadas, y

  • dejar de gobernar los recursos en las regiones no seleccionadas.

Las cuentas individuales de tus unidades organizativas (OUs) gestionadas por AWS Control Tower no se actualizan como parte de este proceso de actualización de landing zone. Por lo tanto, debe actualizar sus cuentas volviendo a registrar suOUs.

Al configurar las regiones AWS de la Torre de Control, tenga en cuenta las siguientes recomendaciones y limitaciones:

  • Selecciona las regiones en las que planeas hospedarte AWS recursos o cargas de trabajo.

  • La exclusión voluntaria de una región no le impide desplegar recursos en esa región, pero esos recursos permanecerán fuera del AWS control de la Torre de Control Tower.

Cuando configuras tu landing zone para nuevas regiones, los controles de detective de la Torre de AWS Control Tower cumplen las siguientes reglas:

  • Lo que existe permanece igual. El comportamiento de Guardrail, tanto detectivesco como preventivo, no ha cambiado en las cuentas existentesOUs, en las regiones existentes.

  • No puedes aplicar nuevos controles de detección a cuentas existentes OUs que contengan cuentas que no estén actualizadas. Cuando hayas configurado la zona de aterrizaje de la Torre de AWS Control en una nueva región (actualizando tu zona de aterrizaje), tendrás que actualizar las cuentas existentes en la tuya OUs para poder activar nuevos controles de detective en esas cuentas OUs y en ellas.

  • Tus controles de detective actuales comenzarán a funcionar en las regiones recién configuradas en cuanto actualices las cuentas. Cuando actualices la zona de aterrizaje de la Torre de AWS Control Tower para configurar nuevas regiones y, a continuación, actualices una cuenta, los controles de detección que ya están habilitados en la OU comenzarán a funcionar en esa cuenta en las regiones recién configuradas.

Configurar las regiones AWS de la Torre de Control

  1. Inicie sesión en la consola de la Torre de AWS Control en https://console.aws.amazon.com/controltower

  2. En el menú de navegación del panel izquierdo, selecciona la configuración de la zona de aterrizaje.

  3. En la página de configuración de la zona de aterrizaje, en la sección Detalles, selecciona el botón Modificar la configuración en la esquina superior derecha. Se te redirige al flujo de trabajo de actualización de la zona de aterrizaje, ya que para gobernar nuevas regiones o eliminar regiones de la gobernanza es necesario que actualices a la versión más reciente de la zona de aterrizaje.

  4. En Adicional AWS Regiones para la gobernanza, busca las regiones que quieres gobernar (o dejar de gobernar). La columna Estado indica qué regiones gobiernas actualmente y cuáles no.

  5. Seleccione la casilla de verificación de cada región adicional que desee gobernar. Desactive la casilla de verificación de cada región de la que vaya a eliminar la gobernanza.

    nota

    Si optas por no gobernar una región, puedes seguir desplegando recursos en esa región, pero esos recursos permanecerán fuera del AWS control de la Torre de Control Tower.

  6. Completa el resto del flujo de trabajo y, a continuación, selecciona Actualizar landing zone.

  7. Cuando se complete la configuración de la landing zone, vuelve OUs a registrarla para actualizar las cuentas en tus nuevas regiones. Para obtener más información, consulte Cuándo actualizar las unidades organizativas y las cuentas de AWS Control Tower.

Un método alternativo para aprovisionar o actualizar cuentas individuales después de configurar nuevas regiones es utilizar el API marco de Service Catalog y el AWS CLIpara actualizar las cuentas en un proceso por lotes. Para obtener más información, consulte Aprovisione y actualice las cuentas mediante la automatización.

Evite la gobernanza mixta al configurar las regiones

Es importante actualizar todas las cuentas de una OU después de extender la gobernanza de la Torre de AWS Control a una nueva Región de AWS, y después de eliminar el gobierno AWS de la Torre de Control de una región.

La gobernanza mixta es una situación indeseable que puede producirse si los controles que rigen una OU no coinciden completamente con los controles que rigen cada una de las cuentas de una OU. La gobernanza mixta se produce en una OU si las cuentas no se actualizan después de que AWS Control Tower amplíe la gobernanza a una nueva Región de AWS, o elimina la gobernanza.

En esta situación, determinadas cuentas de una OU pueden tener controles diferentes en distintas regiones, en comparación con otras cuentas de la OU o con respecto a la postura de gobierno general de la zona de destino.

En una OU con gobierno mixto, si aprovisionas una cuenta nueva, esa nueva cuenta recibe la misma postura de gobierno regional y de OU (actualizada) que la landing zone. Sin embargo, las cuentas existentes que aún no se han actualizado no reciben la postura de gobernanza regional actualizada.

En general, la gobernanza mixta puede crear indicadores de estado contradictorios o imprecisos en la consola de la Torre de AWS Control Tower. Por ejemplo, durante el gobierno mixto, las regiones que se han suscrito se muestran con el estado No gobernado, cuando están registradasOUs, en el caso de las cuentas que aún no se han actualizado.

nota

AWSLa Torre de Control no permite activar los controles durante un estado de gobierno mixto.

Comportamiento de los controles durante la gobernanza mixta

  • Durante la gobernanza mixta, AWS Control Tower no puede implementar de manera consistente controles que se basen en AWS Config reglas (es decir, controles de detección) en las regiones que la OU ya muestra como gobernadas, porque algunas cuentas de la OU no se han actualizado. Es posible que reciba un mensaje FAILED_TO_ENABLE de error.

  • Durante la gobernanza mixta, si se amplía la gobernanza de la zona de aterrizaje a una región en la que se haya optado por participar y alguna cuenta de la OU aún no se ha actualizado, la EnableControl API operación en la OU fracasa debido a los controles preventivos y proactivos. Recibirá un mensaje de FAILED_TO_ENABLE error porque las cuentas de miembros no actualizadas de la OU aún no se han incluido en esas regiones.

  • Durante la gobernanza mixta, los controles que forman parte del Security Hub Service Managed Standard: AWS Control Tower no pueden informar de conformidad con precisión en las regiones en las que hay una discrepancia entre la configuración de landing zone y las cuentas que no están actualizadas.

  • La gobernanza mixta no modifica el comportamiento de los controles SCP basados (controles preventivos), que se aplican de manera uniforme a todas las cuentas de una unidad organizativa y en todas las regiones gobernadas.

nota

La gobernanza mixta no es lo mismo que una deriva y no se considera una desviación.

Reparar la gobernanza mixta

  • Elija Actualizar cuenta para cada cuenta de la OU que muestre el estado Actualizar disponible en la página Organizations de la consola.

  • Elija Reregistrar la OU en la página Organizations, que actualiza automáticamente todas las cuentas de la OU, para las cuentas OUs con menos de 1000 cuentas.

Las consideraciones para la región a nivel de la OU niegan el control

La consideración principal sobre el control de denegación de control de región a nivel de OU es determinar cómo interactuará con el control de denegación de control de la región de landing, si ambos están activados. Para obtener más información, consulte el control de denegación regional aplicado a la OU.