Dicas administrativas para configuração da landing zone - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Dicas administrativas para configuração da landing zone

  • A AWS região onde você trabalha mais deve ser sua região de origem.

  • Configure sua landing zone e implante suas contas Account Factory de dentro da sua região natal.

  • Se você estiver investindo em várias AWS regiões, certifique-se de que seus recursos de nuvem estejam na região em que você fará a maior parte do trabalho administrativo da nuvem e executará suas cargas de trabalho.

  • Ao manter suas cargas de trabalho e registros na mesma AWS região, você reduz o custo associado à movimentação e recuperação de informações de registro entre regiões.

  • A auditoria e outros buckets do Amazon S3 são criados na mesma AWS região a partir da qual você executa o AWS Control Tower. Recomendamos que você não mova esses buckets.

  • Você pode criar seus próprios buckets de log na conta do Log Archive, mas isso não é recomendado. Certifique-se de deixar os buckets criados pelo AWS Control Tower.

  • Seus logs de acesso ao Amazon S3 devem estar na mesma AWS região dos buckets de origem.

  • Durante o lançamento, os endpoints do AWS Security Token Service (STS) devem ser ativados na conta de gerenciamento para todas as regiões suportadas pelo AWS Control Tower. Caso contrário, a execução pode falhar no meio do processo de configuração.

  • O AWS Control Tower oferece suporte à marcação somente para controles habilitados. Para ter mais informações, consulte O AWS Control Tower oferece suporte à marcação para controles habilitados.

  • Recomendamos habilitar a autenticação multifator (MFA) para cada conta gerenciada pelo AWS Control Tower.

Considerações sobre VPCs

  • A VPC criada pela AWS Control Tower é limitada àquela Regiões da AWS em que a AWS Control Tower está disponível. Alguns clientes cujas cargas de trabalho são executadas em regiões não suportadas podem querer desativar a VPC criada com sua conta Account Factory. Eles podem preferir criar uma nova VPC usando o portfólio do Service Catalog ou criar uma VPC personalizada que seja executada somente nas regiões necessárias.

  • A VPC criada pelo AWS Control Tower não é a mesma que a VPC padrão criada para todos. Contas da AWS Nas regiões em que a AWS Control Tower é suportada, a AWS Control Tower exclui a VPC padrão ao criar a VPC da AWS Control Tower.

  • Se você excluir sua VPC padrão em sua AWS região de origem, é melhor excluí-la em todas as outras AWS regiões.