Bagaimana AWS Wilayah Bekerja Dengan AWS Control Tower - AWSControl Tower
Konfigurasikan Wilayah AWS Control Tower AndaHindari tata kelola campuran saat mengonfigurasi WilayahPertimbangan untuk Wilayah Tingkat OU menolak kontrol

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana AWS Wilayah Bekerja Dengan AWS Control Tower

Saat ini, AWS Control Tower didukung di AWS Wilayah berikut:

  • AS Timur (N. Virginia)

  • AS Timur (Ohio)

  • AS Barat (Oregon)

  • Kanada (Pusat)

  • Asia Pasifik (Sydney)

  • Asia Pasifik (Singapura)

  • Eropa (Frankfurt)

  • Eropa (Irlandia)

  • Europe (London)

  • Eropa (Stockholm)

  • Asia Pasifik (Mumbai)

  • Asia Pasifik (Seoul)

  • Asia Pasifik (Tokyo)

  • Eropa (Paris)

  • Amerika Selatan (São Paulo)

  • AS Barat (California Utara)

  • Asia Pasifik (Hong Kong)

  • Asia Pasifik (Jakarta)

  • Asia Pasifik (Osaka)

  • Eropa (Milan)

  • Afrika (Cape Town)

  • Timur Tengah (Bahrain)

  • Israel (Tel Aviv)

  • Timur Tengah (UEA)

  • Eropa (Spanyol)

  • Asia Pasifik (Hyderabad)

  • Eropa (Zürich)

  • Asia Pasifik (Melbourne)

  • Kanada Barat (Calgary)

Tentang Wilayah asal Anda

Saat Anda membuat landing zone, Wilayah yang Anda gunakan untuk akses ke konsol AWS Manajemen menjadi AWS Wilayah asal Anda untuk AWS Control Tower. Selama proses pembuatan, beberapa sumber daya disediakan di Wilayah asal. Sumber daya lain, seperti OU dan AWS akun, bersifat global.

Setelah Anda memilih Wilayah rumah, Anda tidak dapat mengubahnya.

Kontrol dan Wilayah

Saat ini, semua kontrol pencegahan bekerja secara global. Kontrol detektif dan proaktif, bagaimanapun, hanya berfungsi di Wilayah yang didukung AWS Control Tower. Untuk informasi selengkapnya tentang perilaku kontrol saat Anda mengaktifkan AWS Control Tower di Wilayah baru, lihatKonfigurasikan Wilayah AWS Control Tower Anda.

Konfigurasikan Wilayah AWS Control Tower Anda

Bagian ini menjelaskan perilaku yang dapat Anda harapkan saat memperluas landing zone AWS Control Tower Anda ke AWS Wilayah baru, atau menghapus Wilayah dari konfigurasi landing zone Anda. Umumnya, tindakan ini dilakukan melalui fungsi Update konsol AWS Control Tower.

catatan

Kami menyarankan agar Anda menghindari perluasan landing zone AWS Control Tower ke AWS Wilayah di mana Anda tidak memerlukan beban kerja untuk dijalankan. Memilih keluar dari Wilayah tidak mencegah Anda menerapkan sumber daya di Wilayah tersebut, tetapi sumber daya tersebut akan tetap berada di luar tata kelola AWS Control Tower.

Selama konfigurasi Wilayah baru, AWS Control Tower memperbarui landing zone, yang berarti bahwa itu menjadi dasar landing zone Anda —

  • untuk beroperasi secara aktif di semua Wilayah yang baru dipilih, dan

  • untuk menghentikan sumber daya yang mengatur di Wilayah yang tidak dipilih.

Akun individual dalam unit organisasi (OU) Anda yang dikelola oleh AWS Control Tower tidak diperbarui sebagai bagian dari proses pembaruan landing zone ini. Oleh karena itu, Anda harus memperbarui akun Anda dengan mendaftarkan ulang OU Anda.

Saat mengonfigurasi Wilayah AWS Control Tower Anda, perhatikan rekomendasi dan batasan berikut:

  • Pilih Wilayah tempat Anda berencana untuk meng-host AWS sumber daya atau beban kerja.

  • Memilih keluar dari Wilayah tidak mencegah Anda menerapkan sumber daya di Wilayah tersebut, tetapi sumber daya tersebut akan tetap berada di luar tata kelola AWS Control Tower.

Saat Anda mengonfigurasi landing zone untuk Wilayah baru, kontrol detektif AWS Control Tower mematuhi aturan berikut:

  • Apa yang ada tetap sama. Perilaku pagar pembatas, detektif maupun pencegahan, tidak berubah untuk akun yang ada, di OU yang ada, di Wilayah yang ada.

  • Anda tidak dapat menerapkan kontrol detektif baru ke OU yang ada yang berisi akun yang tidak diperbarui. Saat mengonfigurasi landing zone AWS Control Tower menjadi Wilayah baru (dengan memperbarui landing zone), Anda harus memperbarui akun yang ada di OU yang ada sebelum dapat mengaktifkan kontrol detektif baru pada OU dan akun tersebut.

  • Kontrol detektif Anda yang ada mulai bekerja di Wilayah yang baru dikonfigurasi segera setelah Anda memperbarui akun. Saat Anda memperbarui landing zone AWS Control Tower untuk mengonfigurasi Wilayah baru dan kemudian memperbarui akun, kontrol detektif yang sudah diaktifkan di OU akan mulai bekerja pada akun tersebut di Wilayah yang baru dikonfigurasi.

Konfigurasikan Wilayah AWS Control Tower

  1. Masuk ke konsol AWS Control Tower di https://console.aws.amazon.com/controltower

  2. Di menu navigasi panel kiri, pilih Pengaturan zona pendaratan.

  3. Pada halaman pengaturan zona pendaratan, di bagian Detail, pilih tombol Ubah pengaturan di kanan atas. Anda diarahkan ke alur kerja landing zone pembaruan, karena mengatur Wilayah baru, atau menghapus Wilayah dari tata kelola, mengharuskan Anda memperbarui ke versi landing zone terbaru.

  4. Di bawah AWS Wilayah Tambahan untuk tata kelola, cari Wilayah yang ingin Anda atur (atau hentikan pemerintahan). Kolom Negara menunjukkan Wilayah mana yang saat ini Anda atur, dan mana yang tidak.

  5. Pilih kotak centang untuk setiap Wilayah tambahan yang akan diatur. Hapus centang kotak untuk setiap Wilayah tempat Anda menghapus tata kelola.

    catatan

    Jika Anda memilih untuk tidak mengatur Wilayah, Anda masih dapat menerapkan sumber daya di Wilayah tersebut, tetapi sumber daya tersebut akan tetap berada di luar tata kelola AWS Control Tower.

  6. Selesaikan sisa alur kerja, lalu pilih Perbarui landing zone.

  7. Ketika pengaturan landing zone selesai, Daftarkan ulang OU untuk memperbarui akun di Wilayah baru Anda. Untuk informasi selengkapnya, lihat Kapan harus memperbarui AWS Control Tower OU dan akun.

Metode alternatif untuk menyediakan atau memperbarui akun individual setelah mengonfigurasi Wilayah baru adalah dengan menggunakan kerangka API Service Catalog dan memperbarui akun dalam proses batch. AWS CLI Untuk informasi selengkapnya, lihat Menyediakan dan memperbarui akun menggunakan otomatisasi.

Hindari tata kelola campuran saat mengonfigurasi Wilayah

Penting untuk memperbarui semua akun di OU setelah Anda memperluas tata kelola AWS Control Tower ke yang baru Wilayah AWS, dan setelah Anda menghapus tata kelola AWS Control Tower dari Wilayah.

Tata kelola campuran adalah situasi yang tidak diinginkan yang dapat terjadi jika kontrol yang mengatur OU tidak sepenuhnya cocok dengan kontrol yang mengatur setiap akun dalam OU. Tata kelola campuran terjadi di OU jika akun tidak diperbarui setelah AWS Control Tower memperluas tata kelola ke yang baru Wilayah AWS, atau menghapus tata kelola.

Dalam situasi ini, akun tertentu dalam OU mungkin memiliki kontrol yang berbeda yang diterapkan di Wilayah yang berbeda, jika dibandingkan dengan akun lain di OU, atau jika dibandingkan dengan postur tata kelola zona pendaratan secara keseluruhan.

Dalam OU dengan tata kelola campuran, jika Anda menyediakan akun baru, akun baru tersebut menerima postur tata kelola Wilayah dan OU yang sama (diperbarui) dengan landing zone. Namun, akun yang ada yang belum diperbarui tidak menerima postur tata kelola Wilayah yang diperbarui.

Secara umum, tata kelola campuran dapat membuat indikator status yang kontradiktif atau tidak akurat di konsol AWS Control Tower. Misalnya, selama tata kelola campuran, Wilayah keikutsertaan ditampilkan dengan status Tidak diatur, di OU terdaftar, untuk akun yang belum diperbarui.

catatan

AWS Control Tower tidak mengizinkan kontrol diaktifkan selama status tata kelola campuran.

Perilaku kontrol selama pemerintahan campuran

  • Selama tata kelola campuran, AWS Control Tower tidak dapat secara konsisten menerapkan kontrol yang didasarkan pada AWS Config aturan (yaitu, kontrol detektif) di Wilayah yang sudah ditampilkan oleh OU sebagai Governed, karena beberapa akun di OU belum diperbarui. Anda mungkin menerima pesan FAILED_TO_ENABLE kesalahan.

  • Selama tata kelola campuran, jika Anda memperluas tata kelola zona pendaratan ke Wilayah keikutsertaan sementara akun apa pun di OU belum diperbarui, operasi EnableControl API di OU gagal untuk kontrol detektif dan proaktif. Anda akan menerima pesan FAILED_TO_ENABLE kesalahan, karena akun anggota yang tidak diperbarui dalam OU belum dipilih ke Wilayah tersebut.

  • Selama tata kelola campuran, kontrol yang merupakan bagian dari Standar yang dikelola Layanan Security Hub: AWS Control Tower tidak dapat melaporkan kepatuhan secara akurat di Wilayah di mana terdapat ketidakcocokan antara konfigurasi landing zone dan akun yang tidak diperbarui.

  • Tata kelola campuran tidak mengubah perilaku kontrol berbasis SCP (kontrol preventif), yang berlaku secara seragam untuk setiap akun di OU, di setiap Wilayah yang diatur.

catatan

Tata kelola campuran tidak sama dengan drift, dan tidak dilaporkan sebagai drift.

Untuk memperbaiki tata kelola campuran

  • Pilih Perbarui akun untuk setiap akun di OU yang menampilkan Perbarui status yang tersedia di halaman Organizations di konsol.

  • Pilih Daftar Ulang OU di halaman Organizations, yang secara otomatis memperbarui semua akun di OU, untuk OU dengan kurang dari 300 akun.

Pertimbangan untuk Wilayah Tingkat OU menolak kontrol

Pertimbangan utama tentang kontrol penolakan Wilayah OU-level adalah untuk menentukan bagaimana ia akan berinteraksi dengan landing zone Region deny control, jika keduanya diaktifkan. Untuk informasi selengkapnya, lihat Kontrol penolakan wilayah yang diterapkan pada OU.