Como as regiões da AWS funcionam com o AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como as regiões da AWS funcionam com o AWS Control Tower

Atualmente, o AWS Control Tower é compatível nas seguintes regiões da AWS:

  • Leste dos EUA (Norte da Virgínia)

  • Leste dos EUA (Ohio)

  • Oeste dos EUA (Oregon)

  • Região do Canadá (Central)

  • Ásia-Pacífico (Sydney)

  • Asia Pacific (Singapore) Region

  • Europe (Frankfurt) Region

  • Europa (Irlanda)

  • Região Europa (Londres)

  • Região Europa (Estocolmo)

  • Asia Pacific (Mumbai) Region

  • Asia Pacific (Seoul) Region

  • Asia Pacific (Tokyo) Region

  • Região Europa (Paris)

  • South America (São Paulo) Region

Sobre sua região inicial

Ao criar uma landing zone do, a região usada para acessar o AWS Management Console se torna sua região da AWS inicial da AWS para o AWS Control Tower. Durante o processo de criação, alguns recursos são provisionados na região inicial. Outros recursos, como UOs e contas da AWS, são globais.

Depois de selecionar uma região inicial, você não poderá alterá-la.

Proteções e regiões

No momento, todas as proteções preventivas funcionam globalmente. No entanto, as proteções de Detective funcionam somente em regiões nas quais o AWS Control Tower é compatível. Para obter mais informações sobre o comportamento das proteções ao ativar o AWS Control Tower em uma nova região, consulteConfigurar suas regiões da AWS Control Tower.

Configurar suas regiões da AWS Control Tower

Esta seção descreve o comportamento que você pode esperar ao estender sua landing zone da AWS Control Tower para uma nova região da AWS ou remover uma região da configuração da sua landing zone. Geralmente, essa ação é executada através doAtualizaçãofunção do console da AWS Control Tower.

nota

Recomendamos que você evite expandir sua landing zone da AWS Control Tower para regiões da AWS nas quais suas cargas de trabalho não precisam ser executadas. A desativação de uma região não impede que você implante recursos nessa região, mas esses recursos permanecerão fora da governança da AWS Control Tower.

Durante a configuração de uma nova região, o AWS Control Tower atualiza a landing zone do, o que significa que elalinhas de basesua landing zone —

  • para operar ativamente em todas as regiões recém-selecionadas, e

  • para deixar de governar os recursos em regiões desmarcadas.

As contas individuais dentro das unidades organizacionais (UOs) gerenciadas pela AWS Control Tower não são atualizadas como parte deste processo de atualização da landing zone. Portanto, você deve atualizar suas contas registrando novamente suas OUs.

Ao configurar suas regiões da AWS Control Tower, lembre-se das seguintes recomendações e limitações:

  • Selecione regiões nas quais você planeja hospedarAWSrecursos ou cargas de trabalho.

  • A desativação de uma região não impede que você implante recursos nessa região, mas esses recursos permanecerão fora da governança da AWS Control Tower.

Quando você configura sua landing zone para novas regiões, os guardrails de detetive da AWS Control Tower seguem as seguintes regras:

  • O que existe permanece da mesma forma. O comportamento da proteção, tanto de detecção quanto de prevenção, é inalterado para contas existentes, nas UOs e nas regiões existentes.

  • Você não pode aplicar novas proteções de detecção a UOs existentes que contenham contas desatualizadas. Quando você configurar sua landing zone do AWS Control Tower em uma nova região (atualizando sua landing zone), você deve atualizar as contas existentes nas UOs existentes antes de habilitar novas proteções de detecção nessas UOs e contas.

  • As proteções de detecção existentes começam a trabalhar nas regiões recém-configuradas assim que as contas são atualizadas. Quando você atualizar sua landing zone do AWS Control Tower para configurar novas regiões e, depois, atualizar uma conta, as proteções de detecção que já estiverem ativadas na UO começarão a trabalhar nessa conta nas regiões recém-configuradas.

Configurar regiões da AWS Control Tower

  1. Faça login no console da AWS Control Tower emhttps://console.aws.amazon.com/controltower

  2. No menu de navegação do painel esquerdo, selecioneConfigurações da zona de aterragem.

  3. NoConfigurações da zona de aterragemPágina, naDetalhesseção, escolha oModificar configuraçõesBotão no canto superior direito. Você é direcionado para o fluxo de trabalho de atualização landing zone, porque governar novas Regiões ou remover Regiões da governança exige que você atualize para a versão mais recente da landing zone.

  4. SobRegiões adicionais da AWS para governança, procure as Regiões que você deseja governar (ou parar de governar). OEstadocoluna indica quais regiões você governa atualmente e quais você não controla.

  5. Marque a caixa de seleção para cada região adicional a ser controlada. Desmarque a caixa de seleção de cada região da qual você está removendo a governança.

    nota

    Se você optar por não governar uma região, ainda poderá implantar recursos nessa região, mas esses recursos permanecerão fora da governança da AWS Control Tower.

  6. Preencha o restante do fluxo de trabalho e escolhaAtualizar landing zone.

  7. Quando a configuração da landing zone for concluída,Registrar novamenteas OUs para atualizar as contas em suas novas regiões. Para obter mais informações, consulte Atualizar OUs e contas existentes.

Um método alternativo de provisionamento ou atualização de contas individuais após a configuração de novas regiões é usandoa estrutura de API doAWS Service CatalogeaAWS CLIpara atualizar as contas em um processo em lote. Para obter mais informações, consulte Provisionamento e atualização de contas usando automação de scripts.