ComoAWSAs regiões funcionam com o AWS Control Tower - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

ComoAWSAs regiões funcionam com o AWS Control Tower

No momento, o AWS Control Tower está disponívelAWSRegiões:

  • Leste dos EUA (N. da Virgínia)

  • Leste dos EUA (Ohio)

  • Oeste dos EUA (Oregon)

  • Região do Canadá (Central)

  • Ásia-Pacífico (Sydney)

  • Região Ásia-Pacífico (Singapura)

  • Região Europa (Frankfurt)

  • Europa (Irlanda)

  • Região Europa (Londres)

  • Região Europa (Estocolmo)

  • Região Ásia-Pacífico (Mumbai)

  • Região Ásia-Pacífico (Seul)

  • Região Ásia-Pacífico (Tóquio)

  • Região Europa (Paris)

  • South America (São Paulo) Region

Sobre sua região inicial

Quando você criar uma landing zone, a região que você está usando para acessar oAWSO console de gerenciamento se torna sua casaAWSRegião para o AWS Control Tower. Durante o processo de criação, alguns recursos são provisionados na região inicial. Outros recursos, como UOsAWScontas, são globais.

Depois de selecionar uma região inicial, você não poderá alterá-la.

Proteções e regiões

No momento, todas as proteções preventivas funcionam globalmente. No entanto, as proteções detectoras funcionam somente em regiões nas quais o AWS Control Tower é compatível. Para obter mais informações sobre o comportamento das proteções quando você ativar a AWS Control Tower em uma nova região, consulteConfigurar suas regiões da AWS Control Tower.

Configurar suas regiões da AWS Control Tower

Esta seção descreve o comportamento que você pode esperar ao estender sua landing zone da AWS Control Tower para uma novaAWSRegião. ou remover uma região da configuração da sua landing zone. Geralmente, essa ação é executada por meio doAtualizaçãofunção do console da AWS Control Tower.

nota

Recomendamos que você evite expandir sua landing zone da AWS Control Tower paraAWSRegiões nas quais suas cargas de trabalho não precisam ser executadas. A desativação de uma região não impede a implantação de recursos nessa região, mas esses recursos permanecerão fora da governança da AWS Control Tower.

Durante a configuração de uma nova região, o AWS Control Tower atualiza a landing zone, o que significa quelinhas de basesua landing zone —

  • operar ativamente em todas as regiões recém-selecionadas, e

  • para deixar de governar recursos em regiões desmarcadas.

As contas individuais dentro das unidades organizacionais (UOs) gerenciadas pela AWS Control Tower não são atualizadas como parte deste processo de atualização landing zone. Portanto, você deve atualizar suas contas registrando novamente suas OUs.

Ao configurar suas regiões da AWS Control Tower, esteja ciente das seguintes recomendações e limitações:

  • Selecione regiões nas quais planeja hospedarAWSrecursos ou cargas de trabalho.

  • A desativação de uma região não impede a implantação de recursos nessa região, mas esses recursos permanecerão fora da governança da AWS Control Tower.

Quando você configura sua landing zone para novas regiões, os guarda-corpos de detetives da AWS Control Tower seguem as seguintes regras:

  • O que existe permanece da mesma forma. O comportamento da proteção, tanto de detecção quanto de prevenção, é inalterado para contas existentes, nas UOs e nas regiões existentes.

  • Você não pode aplicar novas proteções de detecção a UOs existentes que contenham contas desatualizadas. Ao configurar sua landing zone da AWS Control Tower em uma nova região (atualizando sua landing zone), você deve atualizar as contas existentes em suas UOs existentes antes de habilitar novas proteções de detecção nessas UOs e contas.

  • As proteções de detecção existentes começam a trabalhar nas regiões recém-configuradas assim que as contas são atualizadas. Quando você atualizar sua landing zone da AWS Control Tower para configurar novas regiões e, depois, atualizar uma conta, as proteções de detecção que já estiverem ativadas na UO começarão a trabalhar nessa conta nas regiões recém-configuradas.

Configurar regiões da AWS Control Tower

  1. Faça login no console da AWS Control Tower emhttps://console.aws.amazon.com/controltower

  2. No menu de navegação do painel à esquerda, selecioneConfigurações da zona de pouso.

  3. NoConfigurações da zona de pousopágina, naDetalhes, escolha aModificar as configuraçõesno canto superior direito. Você é direcionado para o fluxo de trabalho de atualização landing zone, porque governar novas regiões ou remover regiões da governança exige que você atualize para a versão mais recente da landing zone.

  4. UnderadicionaisAWSRegiões para a governança, procure as regiões que você deseja governar (ou pare de governar). OEstadoindica quais regiões você governa atualmente e quais você não governa.

  5. Marque a caixa de seleção para cada região adicional a ser governada. Desmarque a caixa de seleção para cada região da qual você está removendo a governança.

    nota

    Se você optar por não governar uma região, ainda poderá implantar recursos nessa região, mas esses recursos permanecerão fora da governança da AWS Control Tower.

  6. Preencha o restante do fluxo de trabalho e escolhaAtualizar landing zone.

  7. Quando a configuração da landing zone for concluída,Fazer novamenteas OUs para atualizar as contas em suas novas regiões. Para obter mais informações, consulte Atualizar OUs e contas existentes.

Um método alternativo de provisionamento ou atualização de contas individuais após a configuração de novas regiões é usara estrutura da API deAWS Service CatalogeaAWS CLIpara atualizar as contas em um processo em lote. Para obter mais informações, consulte Provisionamento e atualização de contas usando automação de script.