Specificate quali possono essere utilizzati dal Regioni AWS vostro account

An Regione AWSè una posizione fisica nel mondo in cui abbiamo più zone di disponibilità. Le zone di disponibilità sono costituite da uno o più data AWS center discreti, ciascuno con alimentazione, rete e connettività ridondanti, ospitati in strutture separate. Ciò significa che ciascuna Regione AWS è fisicamente isolata e indipendente dalle altre regioni. Le regioni forniscono la tolleranza ai guasti, la stabilità e la resilienza e possono anche ridurre la latenza. Per una mappa delle regioni disponibili e future, vedi Regioni e zone di disponibilità.

Le risorse create in una regione non esistono in nessun'altra regione a meno che non si utilizzi esplicitamente una funzionalità di replica offerta da un AWS servizio. Ad esempio, Amazon S3 e Amazon EC2 supportano la replica tra regioni. Alcuni servizi, come AWS Identity and Access Management (IAM), non dispongono di risorse regionali.

Il tuo account determina le regioni per te disponibili.

• An Account AWS fornisce più regioni in modo da poter lanciare AWS risorse in località che soddisfano i tuoi requisiti. Ad esempio, potresti voler lanciare istanze Amazon EC2 in Europa per essere più vicino ai tuoi clienti europei o per soddisfare i requisiti legali.

• Un account AWS GovCloud (Stati Uniti occidentali) fornisce l'accesso alla regione AWS GovCloud (Stati Uniti occidentali) e alla regione AWS GovCloud (Stati Uniti orientali). Per ulteriori informazioni, consulta AWS GovCloud (US).

• Un account Amazon AWS (Cina) consente l'accesso solo alle regioni di Pechino e Ningxia. Per ulteriori informazioni, consulta Amazon Web Services in Cina.

Per un elenco dei nomi delle regioni e dei codici corrispondenti, consulta Endpoint regionali nella Guida AWS generale di riferimento. Per un elenco dei AWS servizi supportati in ogni regione (senza endpoint), consulta l'Elenco dei servizi AWS regionali.

Importante

AWS consiglia di utilizzare gli endpoint regionali AWS Security Token Service (AWS STS) anziché l'endpoint globale per ridurre la latenza. I token di sessione degli AWS STS endpoint regionali sono validi in tutte le regioni. AWS Se utilizzi AWS STS endpoint regionali, non è necessario apportare modifiche. Tuttavia, i token di sessione dell' AWS STS endpoint globale (https://sts.amazonaws.com) sono validi solo se abilitati o se sono abilitati per impostazione predefinita. Regioni AWS Se intendi abilitare una nuova regione per il tuo account, puoi utilizzare i token di sessione dagli AWS STS endpoint regionali o attivare l'endpoint globale AWS STS per emettere token di sessione validi in tutti. Regioni AWS I token di sessione validi in tutte le regioni sono più grandi. Se memorizzi token di sessione, questi token più grandi potrebbero influire sui tuoi sistemi. Per ulteriori informazioni su come gli AWS STS endpoint funzionano con AWS le regioni, vedi Gestione AWS STS in una regione. AWS

Mostra piùMostra meno

Considerazioni prima di abilitare e disabilitare le regioni

Prima di abilitare o disabilitare una regione, è importante considerare quanto segue:

• Le aree introdotte prima del 20 marzo 2019 sono abilitate per impostazione predefinita: AWS inizialmente abilitate, tutte nuove Regioni AWS per impostazione predefinita, il che significa che puoi iniziare a creare e gestire risorse in queste aree immediatamente. Non è possibile abilitare o disabilitare una regione abilitata per impostazione predefinita. Oggi, quando si AWS aggiunge una regione, la nuova regione è disabilitata per impostazione predefinita. Se desideri che i tuoi utenti siano in grado di creare e gestire risorse in una nuova regione, devi prima abilitare quella regione. Le seguenti regioni sono disabilitate per impostazione predefinita.

  Nome	Codice
  Africa (Città del Capo)	af-south-1
  Asia Pacifico (Hong Kong)	ap-east-1
  Asia Pacific (Hyderabad)	ap-south-2
  Asia Pacifico (Giacarta)	ap-southeast-3
  Asia Pacifico (Melbourne)	ap-southeast-4
  Canada (Calgary)	ca-west-1
  Europa (Milano)	eu-south-1
  Europa (Spagna)	eu-south-2
  Europa (Zurigo)	eu-central-2
  Israele (Tel Aviv)	il-central-1
  Medio Oriente (Bahrein)	me-south-1
  Medio Oriente (Emirati Arabi Uniti)	me-central-1

• Puoi utilizzare le autorizzazioni IAM per controllare l'accesso alle regioni: AWS Identity and Access Management (IAM) include quattro autorizzazioni che consentono di controllare quali utenti possono abilitare, disabilitare, ottenere ed elencare le regioni. Per ulteriori informazioni, consulta AWS: Consente l'attivazione e la disabilitazione Regioni AWS nella Guida per l'utente IAM. Puoi anche utilizzare il tasto aws:RequestedRegioncondition per controllare l'accesso a Servizi AWS in un Regione AWS.

• L'attivazione di una regione è gratuita: l'abilitazione di una regione è gratuita. Ti vengono addebitati solo i costi delle risorse che crei nella nuova regione.

• La disabilitazione di una regione disabilita l'accesso IAM alle risorse nella regione: se disabiliti una regione che contiene ancora AWS risorse, come le istanze Amazon Elastic Compute Cloud (Amazon EC2), perdi l'accesso IAM alle risorse in quella regione. Ad esempio, non puoi utilizzare il per visualizzare o AWS Management Console modificare la configurazione di alcuna istanza EC2 in una regione disattivata.

• Gli addebiti per le risorse attive continuano se disabiliti una regione: se disabiliti una regione che contiene ancora AWS risorse, gli addebiti per tali risorse (se presenti) continuano ad essere addebitati alla tariffa standard. Ad esempio, se disabiliti una regione che contiene istanze Amazon EC2, devi ancora pagare i costi per tali istanze anche se queste non sono accessibili.

• La disabilitazione di una regione non è sempre immediatamente visibile: i servizi e le console potrebbero essere temporaneamente visibili dopo aver disabilitato una regione. La disabilitazione di una regione può richiedere da alcuni minuti a diverse ore per avere effetto.

• L'abilitazione di una regione richiede da alcuni minuti a diverse ore in alcuni casi: quando abiliti una regione, AWS esegue azioni per preparare l'account in quella regione, come la distribuzione delle risorse IAM nella regione. Questo processo richiede alcuni minuti per la maggior parte degli account, ma a volte può richiedere diverse ore. Non è possibile utilizzare la regione finché il processo viene completato.

• Le organizzazioni possono avere 50 richieste region-opt aperte in un determinato momento all'interno di un' AWS organizzazione: l'account di gestione può in qualsiasi momento avere 50 richieste aperte in attesa di completamento per la propria organizzazione. Una richiesta equivale all'attivazione o alla disabilitazione di una particolare regione per un account.

• Un singolo account può avere 6 richieste di opzione regionale in corso in un dato momento: una richiesta equivale all'attivazione o alla disabilitazione di una particolare regione per un account.

• EventBridge Integrazione con Amazon: i clienti possono iscriversi alle notifiche di aggiornamento dello stato di region-opt in. EventBridge Verrà creata una EventBridge notifica per ogni modifica di stato, che consentirà ai clienti di automatizzare i flussi di lavoro.

• Stato espressivo di opzione regionale: a causa della natura asincrona dell'abilitazione/disabilitazione di un'area opt-in, esistono quattro potenziali stati per una richiesta di opzione regionale:

  • ENABLING

  • DISABLING

  • ENABLED

  • DISABLED

  Non è possibile annullare un opt-in o un opt-out quando si trova in uno dei due stati. ENABLING DISABLING Altrimenti, ConflictException verrà lanciato un. Una richiesta region-opt completata (abilitata/disabilitata) dipende dalla fornitura dei principali servizi sottostanti. AWS Potrebbero esserci alcuni AWS servizi che non saranno immediatamente utilizzabili nonostante lo stato. ENABLED

• Integrazione completa con AWS Organizations: un account di gestione può modificare o leggere region-opt per qualsiasi account membro di quell' AWS organizzazione. Un account membro è anche in grado di leggere/scrivere lo stato della propria regione.

Mostra piùMostra meno

Abilita o disabilita una regione per gli account autonomi

Per aggiornare le Account AWS regioni a cui hai accesso, esegui i passaggi indicati nella procedura seguente. La AWS Management Console procedura riportata di seguito funziona sempre solo in un contesto autonomo. È possibile utilizzare il AWS Management Console per visualizzare o aggiornare solo le regioni disponibili nell'account utilizzato per chiamare l'operazione.

AWS Management Console

Per abilitare o disabilitare una regione per una versione autonoma Account AWS

Autorizzazioni minime

Per eseguire i passaggi della procedura seguente, un utente o un ruolo IAM deve disporre delle seguenti autorizzazioni:

• account:ListRegions(necessario per visualizzare l'elenco Regioni AWS e se sono attualmente abilitati o disabilitati).

• account:EnableRegion

• account:DisableRegion

1. Accedi a o AWS Management Consolecome utente Utente root dell'account AWS o ruolo IAM con le autorizzazioni minime.

2. Scegli il nome del tuo account in alto a destra nella finestra, quindi scegli Account.

3. Nella pagina Account, scorri verso il basso fino alla sezione Regioni AWS.

   Nota

   È possibile che ti venga richiesto di approvare l'accesso a queste informazioni. AWS invia una richiesta all'indirizzo e-mail associato all'account e al numero di telefono di contatto principale. Scegli il link nella richiesta per aprirlo nel tuo browser e approva l'accesso.

4. Accanto Regione AWS a ciascuna opzione nella colonna Azione, scegli Abilita o Disabilita, a seconda che tu voglia che gli utenti del tuo account siano in grado di creare e accedere alle risorse in quella regione.

5. Se richiesto, conferma la scelta.

6. Dopo aver apportato tutte le modifiche, scegli Aggiorna.

AWS CLI & SDKs

Puoi abilitare, disabilitare, leggere ed elencare lo stato delle opzioni regionali utilizzando AWS CLI i seguenti comandi o le relative operazioni equivalenti all' AWS SDK:

• EnableRegion

• DisableRegion

• GetRegionOptStatus

• ListRegions

Autorizzazioni minime

Per eseguire i seguenti passaggi, è necessario disporre dell'autorizzazione corrispondente a tale operazione:

• account:EnableRegion

• account:DisableRegion

• account:GetRegionOptStatus

• account:ListRegions

Se si utilizzano queste autorizzazioni individuali, è possibile concedere ad alcuni utenti la possibilità di leggere solo le informazioni sulle opzioni regionali e concedere ad altri la possibilità di leggere e scrivere.

L'esempio seguente abilita una regione per l'account membro specificato in un'organizzazione. Le credenziali utilizzate devono provenire dall'account di gestione dell'organizzazione o dall'account amministratore delegato di Account Management.

Tieni presente che puoi anche disabilitare una regione usando lo stesso comando e sostituendola enable-region con. disable-region

aws account enable-region --region-name af-south-1

Se ha esito positivo, questo comando non produrrà alcun output.

L'operazione è asincrona. Il comando seguente ti permetterà di vedere lo stato più recente della richiesta.

aws account get-region-opt-status --region-name af-south-1
  {
    "RegionName": "af-south-1",
    "RegionOptStatus": "ENABLING"
  }

Abilita o disabilita una regione nella tua organizzazione

Per aggiornare le regioni abilitate per gli account membro della tua AWS Organizations, procedi nel seguente modo.

Nota

Le politiche AWS Organizations AWSOrganizationsReadOnlyAccess gestite AWSOrganizationsFullAccess vengono aggiornate per consentire l'accesso alle API di gestione degli AWS account in modo da poter accedere ai dati dell'account dalla AWS Organizations console. Per visualizzare le policy gestite aggiornate, vedere Updates to Organizations AWS managed policy.

Nota

Prima di poter eseguire queste operazioni dall'account di gestione o da un account amministratore delegato di un'organizzazione da utilizzare con gli account dei membri, è necessario:

• Abilita tutte le funzionalità dell'organizzazione per gestire le impostazioni degli account dei membri. Ciò consente il controllo amministrativo sugli account dei membri. Questa impostazione è predefinita al momento della creazione dell'organizzazione. Se la tua organizzazione è impostata solo sulla fatturazione consolidata e desideri abilitare tutte le funzionalità, vedi Abilitazione di tutte le funzionalità nell'organizzazione.

• Abilita l'accesso affidabile per il servizio di gestione degli AWS account. Per configurarlo, consultaAbilitare l'accesso affidabile per la gestione degli AWS account.

Mostra piùMostra meno

AWS Management Console

Per abilitare o disabilitare una regione nell'organizzazione

1. Accedi alla AWS Organizations console con le credenziali dell'account di gestione dell'organizzazione.

2. Nella Account AWSpagina, seleziona l'account che desideri aggiornare.

3. Scegli la scheda Impostazioni dell'account.

4. In Regioni, seleziona la regione che desideri abilitare o disabilitare.

5. Scegli Azioni, quindi scegli l'opzione Abilita o Disabilita.

6. Se avete scelto l'opzione Abilita, controllate il testo visualizzato, quindi scegliete Abilita regione.

7. Se avete scelto l'opzione Disabilita, esaminate il testo visualizzato, digitate disabilita per confermare, quindi scegliete Disabilita regione.

AWS CLI & SDKs

Puoi abilitare, disabilitare, leggere ed elencare lo stato di optazione regionale per gli account dei membri dell'organizzazione utilizzando i seguenti AWS CLI comandi o le relative operazioni equivalenti all' AWS SDK:

• EnableRegion

• DisableRegion

• GetRegionOptStatus

• ListRegions

Autorizzazioni minime

Per eseguire i seguenti passaggi, è necessario disporre dell'autorizzazione corrispondente a tale operazione:

• account:EnableRegion

• account:DisableRegion

• account:GetRegionOptStatus

• account:ListRegions

Se si utilizzano queste autorizzazioni individuali, è possibile concedere ad alcuni utenti la possibilità di leggere solo le informazioni sulle opzioni regionali e concedere ad altri la possibilità di leggere e scrivere.

L'esempio seguente abilita una regione per l'account membro specificato in un'organizzazione. Le credenziali utilizzate devono provenire dall'account di gestione dell'organizzazione o dall'account amministratore delegato di Account Management.

Tieni presente che puoi anche disabilitare una regione usando lo stesso comando e sostituendola enable-region con. disable-region

aws account enable-region --account-id 123456789012 --region-name af-south-1 

Se ha esito positivo, questo comando non produrrà alcun output.

Nota

Un'organizzazione può avere solo fino a 20 richieste regionali alla volta. Altrimenti, riceverai unTooManyRequestsException.

L'operazione è asincrona. Il comando seguente ti permetterà di vedere lo stato più recente della richiesta.

aws account get-region-opt-status --account-id 123456789012 --region-name af-south-1
  {
    "RegionName": "af-south-1",
    "RegionOptStatus": "ENABLING"
  }