AWS Control Tower e VPCs - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Control Tower e VPCs

Esta seção destina-se principalmente a administradores de rede. O administrador de rede da sua empresa geralmente é a pessoa que seleciona o intervalo CIDR geral para a sua organização CIDR da sua organização da AWS Control Tower. Depois, o administrador da rede aloca sub-redes dentro desse intervalo para fins específicos.

Aqui estão alguns fatos essenciais sobre as VPCs da AWS Control Tower:

  • A VPC criada pela AWS Control Tower quando você provisiona uma conta no Account Factory não é a mesma que a VPC padrão da AWS.

  • Quando o AWS Control Tower configurar uma nova conta em uma região da AWS compatível, o AWS Control Tower excluirá automaticamente a VPC padrão da AWS e configurará uma nova VPC configurada pela AWS Control Tower.

  • Cada conta da AWS Control Tower tem permissão para uma VPC criada pela AWS Control Tower. Uma conta pode ter VPCs da AWS adicionais dentro do limite da conta.

  • Cada VPC da AWS Control Tower tem três zonas de disponibilidade. Por padrão, a cada zona de disponibilidade são atribuídas uma sub-rede pública e duas sub-redes privadas. Portanto, cada VPC da AWS Control Tower contém nove sub-redes por padrão, divididas em três zonas de disponibilidade.

  • Cada uma das nove sub-redes na VPC da AWS Control Tower recebe um intervalo exclusivo, de mesmo tamanho.

  • O número de sub-redes em uma VPC é configurável. Para obter mais informações sobre como alterar a configuração da sub-rede da VPC, consulte o tópico Fábrica de contas.

  • Como os endereços IP não se sobrepõem, as nove sub-redes dentro da VPC da AWS Control Tower podem se comunicar entre si de forma irrestrita.

Importante

Se você provisionar contas do Account Factory com as configurações de acesso à Internet da VPC ativadas, essa configuração do Account Factory substituirá o guardrailNão permitir acesso à Internet para uma instância da Amazon VPC gerenciada por um cliente. Para evitar a ativação do acesso à Internet para contas recém-provisionadas, você deve alterar a configuração em Account Factory. Para obter mais informações, consulte Passo a passo do: Configurando a AWS Control Tower sem uma VPC.

Se a configuração padrão ou os recursos da VPC da AWS Control Tower não atenderem às suas necessidades, você poderá usar outros serviços da AWS para configurar sua VPC. Para obter mais informações sobre como trabalhar com VPCs e a AWS Control Tower, consulteCriar uma infraestrutura de rede AWS de várias VPCs escaláveis e seguras.

nota

Se você definir a configuração da VPC da Account Factory para que as sub-redes públicas sejam habilitadas ao provisionar uma nova conta, a Account Factory configurará a VPC para criar um gateway NAT. Você será cobrado pelo uso da Amazon VPC.

Ao trabalhar com VPCs, o AWS Control Tower não faz distinção no nível da região. Cada sub-rede é alocada do intervalo CIDR exato que você especificar. As sub-redes da VPC podem existir em qualquer região.