啟用 AWS 選擇加入區域的考量事項 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 AWS 選擇加入區域的考量事項

雖然您的 預設為 AWS 區域 作用中 AWS 帳戶,但只有在您手動選取特定區域時,才會啟用這些區域。本文件將那些區域稱為選擇加入區域。相反地,當您 AWS 帳戶 建立 時,預設為作用中的區域會稱為商業區域,或簡稱為區域

選擇加入一詞有歷史依據。任何在 2019 年 3 月 20 日之後 AWS 區域 引進的 都會視為選擇加入區域。選擇加入區域對於透過在選擇加入區域中作用中的帳戶共享 IAM 資料的安全性要求高於商業區域。透過 IAM 服務管理的所有資料都被視為身分資料,包括使用者、群組、角色、政策、身分提供者、其相關資料 (例如 X.509 簽署憑證或內容特定登入資料),以及其他帳戶層級設定,例如密碼政策和帳戶別名。

您可以在登陸區域設定期間自動啟用選擇加入區域,方法是選取這些區域。您的登陸區域會在所有選取的區域中變成作用中。

如果您選擇選擇加入區域做為 AWS Control Tower 主區域,請先依照啟用區域中的步驟,在登入 AWS 管理主控台時啟用該區域。若要從選擇加入的區域攜帶您自己的現有 Log Archive 和 Audit 帳戶,請先手動啟用該區域。

選擇 AWS 加入的區域包括數個可使用 AWS Control Tower 的區域:

  • 亞太區域 (香港) 區域,ap-east-1

  • 亞太區域 (雅加達) 區域,ap-southeast-3

  • 歐洲 (米蘭) 區域,eu-south-1

  • 非洲 (開普敦) 區域,af-south-1

  • 中東 (巴林) 區域,Me-South-1

  • 以色列 (特拉維夫)、il-central-1

  • 中東 (阿拉伯聯合大公國) 區域,me-central-1

  • 歐洲 (西班牙) 區域,eu-south-2

  • 亞太區域 (海德拉巴) 區域,ap-south-2

  • 歐洲 (蘇黎世) 區域,eu-central-2

  • 亞太區域 (墨爾本) 區域,ap-southeast-4

  • 加拿大西部 (卡加利) 區域,ca-west-1

AWS Control Tower 有一些控制項在選擇加入區域中的運作方式與在商業區域中的運作方式不同。如需詳細資訊,請參閱控制限制。當您將工作負載部署到選擇加入區域時,請注意以下幾點。

管理或啟用?

請記住,管理區域是您可以從 AWS Control Tower 主控台中選取的動作,因此可以在區域中套用控制項。啟用或停用選擇加入區域是不同的動作,您可以在 主控台中選擇 AWS ,這會將區域開啟至您的帳戶,讓您可以在區域中部署資源和工作負載。

行為考量事項

  • 如果您選擇管理選擇加入區域,建議您不要停用 (選擇退出) 任何受管選擇加入區域,因為這可能會導致工作負載失敗。AWS Control Tower 不允許從 AWS Control Tower 主控台內停用受管區域,但請務必不要從 AWS Control Tower 外部的來源停用受管區域,例如 AWS Billing 主控台或 AWS SDK。

  • 當 AWS Control Tower 將管控擴展到選擇加入區域時,它會啟用 (選擇加入) 至所有成員帳戶中的區域。當您從控管中移除區域時,AWS Control Tower 不會停用 (選擇退出) 成員帳戶中的區域。

  • 在取消選取區域期間,如果已從 AWS Control Tower 外部的來源手動停用該區域的帳戶,例如 AWS 帳單主控台或 AWS SDK,AWS Control Tower 會略過從選擇加入區域移除資源。我們建議您從已停用的區域移除資源,否則您可能會收到這些資源的意外帳單費用。

  • 如果您的登陸區域已停用,AWS Control Tower 會清除所有受管區域中的資源,包括選擇加入的區域。不過,AWS Control Tower 不會停用選擇加入區域。您可以停用選擇加入區域,做為停用後的額外步驟。

  • 如果您的主要區域是選擇加入區域,而且如果您想要將現有帳戶註冊為 Log Archive 和 Audit 帳戶,您必須先手動啟用選擇加入區域,才能選取它做為登陸區域的主要區域。請參閱啟用區域

  • 如果將 AWS Control Tower 設定為選擇加入區域做為您的主區域,而且如果您從任何其他區域的 AWS 主控台存取 AWS Control Tower 服務,則主控台不會自動將您重新導向至主區域。

  • 基礎 API 具有容量限制,這可能會根據區域、帳戶和服務負載的數量,將延遲從幾分鐘增加到數小時。最佳實務是,僅選擇加入您要執行工作負載 AWS 區域 的 ,並一次選擇加入一個區域。

控管和帳戶的重要限制

  • 如果 16 個以上可使用 AWS Control Tower 的商業區域受管,包括選擇加入區域,則註冊 OU 時,每個組織單位 (OU) 的帳戶數量上限會減少。如需詳細資訊,請參閱以基礎 AWS 服務為基礎的限制