Conseils administratifs pour la configuration de la landing zone - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conseils administratifs pour la configuration de la landing zone

  • Dans laAWSLa région dans laquelle vous travaillez le plus doit être votre région d'origine.

  • Configurez votre landing zone et déployez vos comptes Account Factory depuis votre région d'origine.

  • Si vous investissez dans plusieursAWSRégions, assurez-vous que vos ressources cloud se trouvent dans la région dans laquelle vous effectuerez la plupart de vos tâches administratives et exécuterez vos charges de travail dans le cloud.

  • En maintenant vos charges de travail et vos journaux identiquesAWSRégion, vous réduisez les coûts associés au déplacement et à la récupération des informations de journal entre les régions.

  • L'audit et les autres compartiments Amazon S3 sont créés dans le mêmeAWSRégion à partir de laquelle vous lancez AWS Control Tower. Nous vous recommandons de ne pas déplacer ces compartiments.

  • Vous pouvez créer vos propres compartiments de journaux dans le compte Log Archive, mais cela n'est pas recommandé. Veillez à conserver les compartiments créés par AWS Control Tower.

  • Vos journaux d'accès Amazon S3 doivent être identiquesAWSRégion en tant que compartiments sources.

  • Lors du lancement,AWSLes points de terminaison Security Token Service (STS) doivent être activés dans le compte de gestion, pour toutes les régions prises en charge par AWS Control Tower. Sinon, le lancement peut échouer au milieu du processus de configuration.

  • Ne pas ajouter de balisesaux ressources de la landing zone de votre AWS Control Tower, car la configuration échouera. AWS Control Tower ne prend pas en charge le balisage.

  • Nous vous recommandons d'activer l'authentification multi-facteurs (MFA) pour chaque compte géré par AWS Control Tower.

Considérations sur les VPC

  • Le VPC créé par AWS Control Tower est limité àAWSRégions dans lesquelles AWS Control Tower est disponible. Certains clients dont les charges de travail s'exécutent dans des régions non prises en charge peuvent souhaiter désactiver le VPC créé avec votre compte Account Factory. Ils peuvent préférer créer un nouveau VPC à l'aide duAWS Service Catalogportefeuille, ou pour créer un VPC personnalisé qui s'exécute uniquement dans les régions requises.

  • Le VPC créé par AWS Control Tower n'est pas le même que le VPC par défaut créé pour tous les comptes AWS. Dans les régions où AWS Control Tower est prise en charge, AWS Control Tower supprime la valeur par défautAWSVPC lorsqu'il crée le VPC AWS Control Tower.

  • Si vous supprimez votre VPC par défaut dans votre maisonAWSRégion, il est préférable de la supprimer dans toutes les autresAWSRégions.