Considérations relatives à l'activation des AWS régions optionnelles - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations relatives à l'activation des AWS régions optionnelles

Bien que la plupart Régions AWS soient actives par défaut pour vous Compte AWS, certaines régions ne sont activées que lorsque vous les sélectionnez manuellement. Dans le présent document, ces régions sont appelées « régions optionnelles ». En revanche, les régions actives par défaut, dès que la vôtre Compte AWS est créée, sont appelées régions commerciales, ou simplement régions.

Le terme « opt-in » a une base historique. Toute région Régions AWS introduite après le 20 mars 2019 est considérée comme une région optionnelle. Les régions optionnelles ont des exigences de sécurité plus strictes que les régions commerciales, en ce qui concerne le partage des données IAM via des comptes actifs dans les régions optionnelles. Toutes les données gérées via le service IAM sont considérées comme des données d'identité, y compris les utilisateurs, les groupes, les rôles, les politiques, les fournisseurs d'identité, leurs données associées (par exemple, les certificats de signature X.509 ou les informations d'identification spécifiques au contexte) et les autres paramètres au niveau du compte, tels que la politique de mot de passe et l'alias du compte.

Vous pouvez activer automatiquement les régions optionnelles lors de la configuration de la zone d'atterrissage, en les sélectionnant. Votre zone de landing devient active dans toutes les régions sélectionnées.

Si vous choisissez de sélectionner une région optionnelle comme région d'origine de votre AWS Control Tower, activez-la d'abord en suivant les étapes décrites dans Enabling a Region, une fois connecté à la console AWS de gestion. Pour transférer vos propres comptes d'archivage de journaux et d'audit existants depuis une région optionnelle, activez d'abord manuellement cette région.

Les régions AWS optionnelles incluent plusieurs régions dans lesquelles AWS Control Tower est disponible :

  • Région Asie-Pacifique (Hong Kong), ap-east-1

  • Région Asie-Pacifique (Jakarta), ap-southeast-3

  • Région Europe (Milan), eu-south-1

  • Région Afrique (Cape Town), af-south-1

  • Région du Moyen-Orient (Bahreïn), me-south-1

  • Israël (Tel Aviv), il-central-1

  • Région du Moyen-Orient (EAU), me-central-1

  • Région Europe (Espagne), eu-south-2

  • Région Asie-Pacifique (Hyderabad), ap-south-2

  • Région Europe (Zurich), eu-central-2

  • Région Asie-Pacifique (Melbourne), ap-southeast-4

  • Région du Canada Ouest (Calgary), ca-west-1

AWS Control Tower dispose de certains contrôles qui fonctionnent différemment dans les régions optionnelles et dans les régions commerciales. Pour plus d’informations, consultez Limites de contrôle. Voici quelques points à prendre en compte lorsque vous déployez des charges de travail dans des régions optionnelles.

Gouverner ou activer ?

N'oubliez pas que gouverner une région est une action que vous pouvez sélectionner depuis la console AWS Control Tower, afin que les contrôles puissent être appliqués dans la région. L'activation ou la désactivation d'une région optionnelle est une action différente que vous pouvez choisir dans la AWS console, qui ouvre la région à votre compte, afin que vous puissiez y déployer des ressources et des charges de travail.

Considérations comportementales

  • Si vous choisissez de gérer les régions optionnelles, nous vous recommandons de ne désactiver (de vous désinscrire) aucune de vos régions optionnelles gouvernées, car cela pourrait entraîner l'échec de vos charges de travail. AWS Control Tower n'autorise pas la désactivation d'une région gouvernée depuis la console AWS Control Tower, mais assurez-vous de ne pas désactiver les régions gouvernées depuis une source extérieure à AWS Control Tower, telle que la console de AWS facturation ou AWS le SDK.

  • Lorsqu'AWS Control Tower étend la gouvernance à une région optionnelle, elle active (opts-in) la région dans tous les comptes membres. Lorsque vous supprimez une région de la gouvernance, AWS Control Tower ne la désactive pas (ne désactive pas) la région dans les comptes des membres.

  • Lors de la désélection d'une région, AWS Control Tower ne supprime pas les ressources d'une région optionnelle si cette région a été désactivée manuellement pour un compte provenant d'une source extérieure à AWS Control Tower, telle que la console de AWS facturation ou le SDK. AWS Nous vous recommandons de supprimer les ressources des régions que vous avez désactivées, sous peine de recevoir des frais de facturation imprévus pour ces ressources.

  • Si votre zone de landing zone est mise hors service, AWS Control Tower nettoie les ressources dans toutes les régions gouvernées, y compris les régions optionnelles. Cependant, AWS Control Tower ne désactive pas les régions optionnelles. Vous pouvez désactiver les régions optionnelles comme étape supplémentaire après la mise hors service.

  • Si votre région d'origine est une région optionnelle, et si vous avez l'intention d'inscrire des comptes existants en tant que comptes d'archivage des journaux et d'audit, vous devez activer manuellement la région optionnelle avant de pouvoir la sélectionner comme région d'origine pour votre zone d'atterrissage. Voir Activation d'une région.

  • Si AWS Control Tower est configurée avec une région optionnelle comme région d'origine, et si vous visitez le service AWS Control Tower depuis la AWS console d'une autre région, la console ne vous redirige pas automatiquement vers la région d'origine.

  • L'API sous-jacente comporte des limites de capacité, ce qui peut augmenter le temps de latence de quelques minutes à plusieurs heures, en fonction du nombre de régions, de comptes et de la charge de service. Il est recommandé de n'opter que pour celles dans Régions AWS lesquelles vous allez exécuter les charges de travail, et d'opter pour une région à la fois.

Limitations importantes en matière de gouvernance et de contrôles

  • Si vous avez actuellement activé un contrôle AWS Control Tower qui n'est pas pris en charge dans une région optionnelle, vous ne pourrez pas étendre la gouvernance d'AWS Control Tower à cette région optionnelle tant que le contrôle ne sera pas pris en charge dans cette région. Pour plus d’informations, consultez Limites de contrôle.

  • Si vous étendez la gouvernance d'AWS Control Tower à une région optionnelle dans laquelle aucun contrôle spécifique n'est pris en charge, vous ne pourrez activer ce contrôle dans aucune région tant que le contrôle n'est pas pris en charge dans toutes les régions que vous gérez avec AWS Control Tower. Pour plus d'informations, consultez Limites de contrôle

  • Si les 22 régions commerciales dans lesquelles AWS Control Tower est disponible sont activées, y compris les régions optionnelles, la limite supérieure du nombre de comptes par unité organisationnelle (UO), lors de l'extension de la gouvernance à une UO, est réduite. La limite est de 220 comptes au lieu de 300. Cette réduction est due à StackSet des limitations. Si vous souhaitez étendre la gouvernance aux unités d'organisation comptant plus de 220 comptes, réduisez le nombre de régions activées.