Considerações sobre a ativação de regiões opcionais AWS - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Considerações sobre a ativação de regiões opcionais AWS

Embora a maioria Regiões da AWS esteja ativa por padrão para você Conta da AWS, determinadas regiões são ativadas somente quando você as seleciona manualmente. Este documento se refere a essas regiões como regiões opcionais. Por outro lado, as regiões que estão ativas por padrão, assim que a sua Conta da AWS é criada, são chamadas de regiões comerciais ou simplesmente de regiões.

O termo opt-in tem uma base histórica. Todas as Regiões da AWS introduzidas após 20 de março de 2019 são consideradas regiões optativas. As regiões opt-in têm requisitos de segurança mais altos do que as regiões comerciais no que diz respeito ao compartilhamento de dados do IAM por meio de contas ativas nas regiões opt-in. Todos os dados gerenciados por meio do serviço IAM são considerados dados de identidade, incluindo usuários, grupos, funções, políticas, provedores de identidade, seus dados associados (por exemplo, certificados de assinatura X.509 ou credenciais específicas do contexto) e outras configurações no nível da conta, como política de senha e o alias da conta.

Você pode ativar regiões opcionais automaticamente durante a configuração da landing zone, selecionando-as. Sua landing zone fica ativa em todas as regiões selecionadas.

Se você optar por selecionar uma região opcional como sua região de origem do AWS Control Tower, ative-a primeiro seguindo as etapas em Habilitar uma região, quando estiver conectado ao AWS Management Console. Para trazer suas próprias contas existentes de Arquivo de Registros e Auditoria de uma região opcional, primeiro ative manualmente essa região.

As regiões AWS opcionais incluem várias regiões nas quais o AWS Control Tower está disponível:

  • Região Ásia-Pacífico (Hong Kong), ap-east-1

  • Região Ásia-Pacífico (Jacarta), ap-southeast-3

  • Região da Europa (Milão), eu-south-1

  • Região da África (Cidade do Cabo), af-south-1

  • Região do Oriente Médio (Bahrein), me-south-1

  • Israel (Tel Aviv), il-central-1

  • Região do Oriente Médio (EAU), me-central-1

  • Região da Europa (Espanha), eu-south-2

  • Região Ásia-Pacífico (Hyderabad), ap-south-2

  • Região da Europa (Zurique), eu-central-2

  • Região Ásia-Pacífico (Melbourne), ap-southeast-4

  • Região Oeste do Canadá (Calgary), ca-west-1

O AWS Control Tower tem alguns controles que funcionam de forma diferente nas regiões opcionais e nas regiões comerciais. Para ter mais informações, consulte Limitações de controle. Aqui estão algumas considerações que você deve ter em mente ao implantar cargas de trabalho em regiões opcionais.

Governando ou ativando?

Lembre-se de que governar uma região é uma ação que você pode selecionar no console do AWS Control Tower, para que os controles possam ser aplicados na região. Ativar ou desativar uma região opcional é uma ação diferente que você pode escolher no AWS console, que abre a região em sua conta, para que você possa implantar recursos e cargas de trabalho na região.

Considerações comportamentais

  • Se você optar por governar regiões de aceitação, recomendamos que você não desative (desative) nenhuma de suas regiões de aceitação governadas, pois isso pode levar à falha de suas cargas de trabalho. O AWS Control Tower não permite a desativação de uma região governada de dentro do console da AWS Control Tower, mas certifique-se de não desativar regiões governadas de uma fonte fora da AWS Control Tower, como o console de AWS faturamento ou o SDK. AWS

  • Quando o AWS Control Tower estende a governança para uma região opcional, ela é ativada (aceita) a região em todas as contas membros. Quando você remove uma região da governança, o AWS Control Tower não desativa (exclui) a região nas contas dos membros.

  • Durante a desseleção da região, o AWS Control Tower ignora a remoção de recursos de uma região opcional se essa região tiver sido desativada manualmente para uma conta de uma fonte fora da AWS Control Tower, como o console de AWS faturamento ou o SDK. AWS Recomendamos que você remova recursos das regiões que você desativou ou poderá receber cobranças inesperadas por esses recursos.

  • Se sua landing zone for desativada, o AWS Control Tower limpa os recursos em todas as regiões governadas, incluindo as regiões optativas. No entanto, o AWS Control Tower não desativa as regiões opcionais. Você pode desativar as regiões opcionais como uma etapa adicional após o descomissionamento.

  • Se sua região de origem for uma região opcional e se você pretende inscrever contas existentes como suas contas de Arquivo de Registro e Auditoria, você deve ativar manualmente a região de inscrição antes de selecioná-la como a região de origem do seu landing zone. Consulte Ativação de uma região.

  • Se o AWS Control Tower estiver configurado com uma região opcional como sua região de origem e se você visitar o serviço AWS Control Tower a partir do AWS console em qualquer outra região, o console não o redirecionará automaticamente para a região de origem.

  • A API subjacente tem limites de capacidade, o que pode aumentar a latência de alguns minutos para várias horas, dependendo do número de regiões, contas e carga de serviço. Como prática recomendada, opte apenas por aqueles em Regiões da AWS que você executará as cargas de trabalho e opte por uma região por vez.

Limitações importantes para governança e controles

  • Se você atualmente habilitou um controle da AWS Control Tower que não é suportado em uma região opcional, você não poderá estender a governança da AWS Control Tower para essa região opcional até que o controle seja suportado nessa região. Para obter mais informações, consulte Limitações de controle.

  • Se você estender a governança da AWS Control Tower para uma região opcional na qual um controle específico não é suportado, você não poderá habilitar esse controle em nenhuma região até que o controle seja suportado em todas as regiões que você governa com o AWS Control Tower. Para obter mais informações, consulte Limitações de controle

  • Se todas as 22 regiões comerciais em que o AWS Control Tower está disponível forem ativadas, incluindo regiões opcionais, o limite superior do número de contas por unidade organizacional (OU), ao estender a governança a uma OU, será reduzido. O limite é 220 em vez de 300 contas. Essa redução se deve a StackSet limitações. Se você precisar estender a governança para OUs com mais de 220 contas, reduza o número de regiões ativadas.