View a markdown version of this page

Cómo AWS Las regiones funcionan con AWS Control Tower - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo AWS Las regiones funcionan con AWS Control Tower

AWS Control Tower es compatible en las siguientes AWS regiones:

  • Este de EE. UU. (Norte de Virginia)

  • Este de EE. UU. (Ohio)

  • Oeste de EE. UU. (Oregón)

  • Canadá (centro)

  • Asia-Pacífico (Sídney)

  • Asia-Pacífico (Singapur)

  • Europa (Fráncfort)

  • Europa (Irlanda)

  • Europe (Londres)

  • Europa (Estocolmo)

  • Asia-Pacífico (Mumbai)

  • Asia-Pacífico (Seúl)

  • Asia-Pacífico (Tokio)

  • Europa (París)

  • América del Sur (São Paulo)

  • Oeste de EE. UU. (Norte de California)

  • Asia-Pacífico (Hong Kong)

  • Asia-Pacífico (Yakarta)

  • Asia-Pacífico (Osaka)

  • Europa (Milán)

  • África (Ciudad del Cabo)

  • Middle East (Bahrain)

  • Israel (Tel Aviv)

  • Medio Oriente (EAU)

  • Europa (España)

  • Asia-Pacífico (Hyderabad)

  • Europa (Zúrich)

  • Asia-Pacífico (Melbourne)

  • Oeste de Canadá (Calgary)

  • Malasia (Kuala Lumpur)

  • Asia-Pacífico (Tailandia)

  • México (centro)

  • Asia-Pacífico (Taipéi)

Acerca de la región de origen

Cuando crea una landing zone, la región que utiliza para acceder a la consola de AWS administración se convierte en su AWS región de origen para AWS Control Tower. Durante el proceso de creación, algunos recursos se aprovisionan en la región de origen. Otros recursos, como OU y cuentas de AWS , son globales.

Una vez que haya elegido una región de origen, no podrá cambiarla.

Controles y regiones

En la actualidad, todas los controles preventivos funcionan a nivel mundial. Sin embargo, los controles de detección y proactivos solo funcionan en las regiones en las que se admite AWS Control Tower. Para obtener más información sobre el comportamiento de los controles cuando se activa AWS Control Tower en una nueva región, consulte Configuración de las regiones de AWS Control Tower.

Configuración de las regiones de AWS Control Tower

En esta sección se describe el comportamiento que puede esperar al extender la zona de aterrizaje de la Torre de Control de AWS a una nueva AWS región o al eliminar una región de la configuración de la zona de aterrizaje. Generalmente, esta acción se realiza a través de la función Actualizar de la consola de AWS Control Tower.

nota

Le recomendamos que evite ampliar la zona de aterrizaje de AWS Control Tower a regiones de AWS en las que no necesite que se ejecuten las cargas de trabajo. La exclusión voluntaria de una región no le impide implementar recursos en dicha región, pero tales recursos permanecerán fuera de la gobernanza de AWS Control Tower.

Durante la configuración de una nueva región, AWS Control Tower actualiza la zona de aterrizaje, lo que significa que sirve de base de referencia a la zona de aterrizaje para:

  • operar activamente en todas las regiones recién seleccionadas, y

  • dejar de gobernar los recursos en las regiones no seleccionadas.

Las cuentas individuales de las OU administradas por AWS Control Tower no se actualizan en el marco de este proceso de actualización de la zona de aterrizaje. Por lo tanto, debe actualizar las cuentas volviendo a registrar las OU.

Tenga en cuenta las siguientes recomendaciones y limitaciones cuando configure las regiones de AWS Control Tower:

  • Seleccione las regiones en las que planea alojar AWS recursos o cargas de trabajo.

  • La exclusión voluntaria de una región no le impide implementar recursos en dicha región, pero tales recursos permanecerán fuera de la gobernanza de AWS Control Tower.

Cuando configure la zona de aterrizaje para nuevas regiones, los controles de detección de AWS Control Tower cumplirán las siguientes reglas:

  • Lo que existe permanece igual. El comportamiento de los controles, tanto de detección como preventivos, no cambia para las cuentas existentes, en las OU existentes y en las regiones existentes.

  • No puede aplicar nuevos controles de detección a las OU existentes que contengan cuentas que no se hayan actualizado. Cuando haya configurado la zona de aterrizaje de AWS Control Tower en una nueva región (mediante la actualización de la zona de aterrizaje), debe actualizar las cuentas existentes en las OU existentes antes de poder habilitar nuevos controles de detección en dichas OU y cuentas.

  • Los controles de detección existentes comienzan a funcionar en las regiones recién configuradas en cuanto actualice las cuentas. Cuando actualice la zona de aterrizaje de AWS Control Tower para configurar nuevas regiones y, a continuación, actualice una cuenta, los controles de detección que ya están habilitados en la OU comenzarán a funcionar en esa cuenta en las regiones recién configuradas.

Configuración de regiones de AWS Control Tower
  1. Inicie sesión en la consola de AWS Control Tower en https://console.aws.amazon.com/controltower

  2. En el menú de navegación izquierdo, elija Configuración de la zona de almacenamiento.

  3. En la página Configuración de la zona de almacenamiento, en la sección Detalles, seleccione el botón Modificar configuración en la parte superior derecha. Se le redirigirá al flujo de trabajo de actualización de la zona de aterrizaje, ya que para gobernar nuevas regiones o eliminar regiones de la gobernanza es necesario actualizar a la última versión de la zona de aterrizaje.

  4. En AWS Regiones adicionales para la gobernanza, busca las regiones que quieres gobernar (o dejar de gobernar). La columna Estado indica qué regiones gobiernas actualmente y cuáles no.

  5. Marque la casilla de verificación de cada región cuya gobernanza desee eliminar. Desmarque la casilla de verificación de cada región cuya gobernanza desee eliminar.

    nota

    Si opta por no gobernar una región, podrá seguir implementando recursos en dicha región, pero tales recursos permanecerán fuera de la gobernanza de AWS Control Tower.

  6. Complete el resto del flujo de trabajo y, a continuación, seleccione Actualizar zona de almacenamiento.

  7. Cuando se complete la configuración de la zona de aterrizaje, Re-registerlas unidades organizativas actualizarán las cuentas en tus nuevas regiones. Para obtener más información, consulte Cuándo actualizar las OU y las cuentas de AWS Control Tower.

Un método alternativo para aprovisionar o actualizar cuentas individuales después de la configuración de nuevas regiones consiste en utilizar el marco de API de Service Catalog y la AWS CLI para actualizar las cuentas en un proceso por lotes. Para obtener más información, consulte Aprovisionamiento y actualización de cuentas mediante automatización.

Las consideraciones para la OU-level región niegan el control

La consideración principal acerca de la OU-level zona de denegación de control es determinar cómo interactuará con la zona de landing zone denegada de control, si ambas están activadas. Para obtener más información, consulte Region deny control applied to the OU.

También puede consultar Configure the Region deny control.