设置着陆区的管理提示

• 你工作最多的 AWS 地区应该是你的家乡地区。

• 设置你的着陆区，然后从你的家乡区域部署你的 Account Factory 账户。

• 如果您在多个 AWS 区域进行投资，请确保您的云资源位于您要完成大部分云管理工作和运行工作负载的区域。

• 通过将工作负载和日志保存在同一个 AWS 区域，可以降低与跨区域移动和检索日志信息相关的成本。

• 审计和其他 Amazon S3 存储桶是在您启动 AWS Control Tower 的同一 AWS 区域创建的。我们建议您不要移动这些存储桶。

• 您可以在日志存档账户中创建自己的日志存储桶，但不建议这样做。请务必保留 AWS Control Tower 创建的存储桶。

• 您的 Amazon S3 访问日志必须与源存储桶位于同一 AWS 区域。

• 启动时，必须在 AWS Control Tower 支持的所有区域的管理账户中激活 AWS 安全令牌服务 (STS) 终端节点。否则，启动可能会在配置过程中半途而废。

• AWS Control Tower 仅支持为已启用的控件添加标签。有关更多信息，请参阅 AWS Control Tower 支持为已启用的控件添加标签。

• 我们建议为 AWS Control Tower 管理的每个账户启用多重身份验证 (MFA)。

关于 VPC 的注意事项

• AWS Control Tower 创建的 VPC 仅限于可用 AWS 控制塔的范围。 AWS 区域 一些在不支持的区域运行工作负载的客户可能希望禁用使用您的 Account Factory 账户创建的 VPC。他们可能更喜欢使用 Service Catalog 产品组合创建新 VPC，或者创建仅在所需区域运行的自定义 VPC。

• AWS Control Tower 创建的 VPC 与为所有人创建的默认 VPC 不同 AWS 账户。在支持 AWS Control Tower 的区域，AWS Control Tower 在创建 AWS Control Tower VPC 时会删除默认 VPC。

• 如果您删除自己所在 AWS 区域的默认 VPC，则最好在所有其他 AWS 区域将其删除。