As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como AWS Regiões trabalham com o AWS Control Tower
O AWS Control Tower é suportado nas seguintes AWS regiões:
-
Leste dos EUA (Norte da Virgínia)
-
Leste dos EUA (Ohio)
-
Oeste dos EUA (Oregon)
-
Canadá (Central)
-
Ásia-Pacífico (Sydney)
-
Ásia-Pacífico (Singapura)
-
Europa (Frankfurt)
-
Europa (Irlanda)
-
Europe (London)
-
Europa (Estocolmo)
-
Ásia-Pacífico (Mumbai)
-
Ásia-Pacífico (Seul)
-
Ásia-Pacífico (Tóquio)
-
Europa (Paris)
-
América do Sul (São Paulo)
-
Oeste dos EUA (N. da Califórnia)
-
Ásia-Pacífico (Hong Kong)
-
Ásia-Pacífico (Jacarta)
-
Ásia-Pacífico (Osaka)
-
Europa (Milão)
-
África (Cidade do Cabo)
-
Oriente Médio (Bahrein)
-
Israel (Tel Aviv)
-
Oriente Médio (Emirados Árabes Unidos)
-
Europa (Espanha)
-
Ásia-Pacífico (Hyderabad)
-
Europa (Zurique)
-
Ásia-Pacífico (Melbourne)
-
Oeste do Canadá (Calgary)
-
Malásia (Kuala Lumpur)
-
Ásia-Pacífico (Tailândia)
-
México (Centro)
-
Ásia-Pacífico (Taipei)
Sobre sua região de origem
Quando você cria uma landing zone, a região que você está usando para acessar o console de AWS gerenciamento se torna sua AWS região de origem para o AWS Control Tower. Durante o processo de criação, alguns recursos são provisionados na região de origem. Outros recursos, como UOs e contas da AWS , são globais.
Depois de escolher uma região de origem, não é possível alterá-la.
Controles e regiões
No momento, todos os controles preventivos funcionam globalmente. No entanto, controles detectivos e proativos só funcionam em regiões nas quais o AWS Control Tower é compatível. Consulte mais informações sobre o comportamento de controles ao ativar o AWS Control Tower em uma nova região em Configurar regiões do AWS Control Tower.
Configurar regiões do AWS Control Tower
Esta seção descreve o comportamento que você pode esperar ao estender sua zona de pouso do AWS Control Tower para uma nova AWS região ou remover uma região da configuração da sua zona de pouso. Geralmente, essa ação é executada por meio da função Atualizar do console do AWS Control Tower.
nota
Recomendamos que você evite expandir a zona de pouso do AWS Control Tower para regiões da AWS nas quais as workloads não precisam ser executadas. O cancelamento de uma região não impede que você implante recursos nela, mas eles permanecerão fora da governança do AWS Control Tower.
Durante a configuração de uma nova região, o AWS Control Tower atualiza a zona de pouso, o que significa que ele define como linha de base a sua zona de pouso.
-
para operar ativamente em todas as regiões recém-selecionadas, e
-
para deixar de administrar recursos em regiões não selecionadas.
As contas individuais dentro das unidades organizacionais (UOs) gerenciadas pelo AWS Control Tower são atualizadas como parte deste processo de atualização da zona de pouso. Portanto, você deve atualizar suas contas registrando novamente suas OUs.
Ao configurar as regiões do AWS Control Tower, preste atenção a estas recomendações e limitações:
-
Selecione regiões nas quais você planeja hospedar AWS recursos ou cargas de trabalho.
-
O cancelamento de uma região não impede que você implante recursos nela, mas eles permanecerão fora da governança do AWS Control Tower.
Ao configurar a zona de pouso para novas regiões, os controles de detecção do AWS Control Tower seguem as seguintes regras:
-
O que existe permanece da mesma forma. O comportamento do controle, tanto de detecção quanto de prevenção, é inalterado para contas existentes, nas UOs e nas regiões existentes.
-
Você não pode aplicar novos controles de detecção a UOs existentes que contenham contas desatualizadas. Ao configurar a zona de pouso do AWS Control Tower em uma nova região (atualizando a zona de pouso), é necessário atualizar as contas existentes nas UOs existentes antes de habilitar novos controles de detecção nessas UOs e contas.
-
Os controles de detecção existentes começam a funcionar nas regiões recém-configuradas assim que as contas são atualizadas. Ao atualizar a zona de pouso do AWS Control Tower para configurar novas regiões e, então, atualizar uma conta, os controles de detecção que já estão habilitados na UO começarão a funcionar nessa conta nas regiões recém-configuradas.
Configurar regiões do AWS Control Tower
-
Faça login no console do AWS Control Tower em https://console.aws.amazon.com/controltower
-
No menu de navegação do painel esquerdo, selecione Configurações de zona inicial.
-
Na página Configurações de zona inicial, na seção Detalhes, escolha o botão Modificar configurações no canto superior direito. Isso redireciona ao fluxo de trabalho de atualização da zona de pouso, porque administrar novas regiões ou remover regiões da governança exige uma atualização para a versão mais recente da zona de pouso.
-
Em AWS Regiões adicionais para governança, pesquise as regiões que você deseja governar (ou parar de governar). A coluna Estado indica quais regiões você administra atualmente e quais não.
-
Marque a caixa de seleção para cada região adicional a ser administrada. Desmarque a caixa de seleção de cada região da qual você está removendo a governança.
nota
Se você optar por não administrar uma região, ainda poderá implantar recursos nela, mas eles permanecerão fora da governança do AWS Control Tower.
-
Conclua o restante do fluxo de trabalho e selecione Atualizar zona de pouso.
-
Quando a configuração da landing zone for concluída, Re-registeras OUs atualizarão as contas em suas novas regiões. Para obter mais informações, consulte Quando atualizar as UOs e contas do AWS Control Tower.
Um método alternativo de provisionar ou atualizar contas individuais depois de configurar novas regiões é usando o framework de API do Service Catalog e a AWS CLI para atualizar as contas em um processo em lote. Para obter mais informações, consulte Provisionar e atualizar contas usando automação.
Considerações para a OU-level Região negar o controle
A principal consideração sobre o controle de negação da OU-level região é determinar como ele interagirá com o controle de negação da região da landing zone, se ambos estiverem ativados. Consulte mais informações em Region deny control applied to the OU.
Talvez você também queira consultar Configure the Region deny control.