

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 操作方法 AWS 区域与 AWS Control Tower 配合使用
<a name="region-how"></a>

以下 AWS 区域支持 AWS Control Tower：
+ 美国东部（弗吉尼亚州北部）
+ 美国东部（俄亥俄州） 
+ 美国西部（俄勒冈州） 
+ 加拿大（中部） 
+ 亚太地区（悉尼）
+ 亚太地区（新加坡） 
+ 欧洲地区（法兰克福）
+ 欧洲地区（爱尔兰） 
+ Europe (London) 
+ 欧洲地区（斯德哥尔摩） 
+ 亚太地区（孟买） 
+ 亚太地区（首尔） 
+ 亚太地区（东京） 
+ 欧洲地区（巴黎） 
+ 南美洲（圣保罗） 
+ 美国西部（北加利福尼亚） 
+ 亚太地区（香港）
+ 亚太地区（雅加达） 
+ 亚太地区（大阪） 
+ 欧洲地区（米兰） 
+ 非洲（开普敦） 
+ 中东（巴林） 
+ 以色列（特拉维夫）
+ 中东（阿联酋）：
+ 欧洲（西班牙）
+ 亚太地区（海得拉巴）
+ 欧洲（苏黎世）
+ 亚太地区（墨尔本）
+ 加拿大西部（卡尔加里）
+ 马来西亚（吉隆坡）
+ 亚太地区（泰国）
+ 墨西哥（中部）
+ 亚太地区（台北）

**关于您的主区域**

当您创建着陆区时，您用于访问 AWS 管理控制台的区域将成为 AWS Control Tower 的主 AWS 区域。在创建过程中，将在主区域中预置一些资源。其他资源（如 OU 和 AWS 账户）是全局性的。

 选择主区域后，就无法对其进行更改。

**控件和区域**

目前，所有预防性控件的作用都是全局性的。但是，检测性和主动性控件仅适用于支持 AWS Control Tower 的区域。有关在新区域中激活 AWS Control Tower 时控件的行为的更多信息，请参阅[配置您的 AWS Control Tower 区域](#deploying-to-new-region)。

## 配置您的 AWS Control Tower 区域
<a name="deploying-to-new-region"></a>

本节介绍将您的 AWS Control Tower 着陆区扩展到新 AWS 区域或从着陆区配置中移除区域时可能出现的行为。通常，此操作是通过 AWS Control Tower 控制台的**更新**功能执行的。

**注意**  
我们建议您避免将 AWS Control Tower 登录区扩展到不需要在其中运行工作负载的 AWS 区域。选择退出某个区域并不会阻止您在该区域中部署资源，但这些资源将不在 AWS Control Tower 的监管范围内。

在配置新区域过程中，AWS Control Tower 会更新登录区，这意味着它会为登录区*设定基准*，以便
+ 在所有新选定的区域中主动运行；
+ 停止监管已取消选择的区域中的资源。

组织单元（OU）中由 AWS Control Tower 管理的单个账户不会作为此登录区更新过程的一部分进行更新。因此，必须通过重新注册 OU 来更新您的账户。

配置 AWS Control Tower 区域时，请注意以下建议和限制：
+ 选择您计划托管 AWS 资源或工作负载的区域。
+ 选择退出某个区域并不会阻止您在该区域中部署资源，但这些资源将不在 AWS Control Tower 的监管范围内。

当您为新区域配置登录区时，AWS Control Tower 检测性控件将遵循以下规则：
+ *存在的东西保持不变。*控件行为（检测性以及预防性）在现有区域、现有 OU 中对于现有账户保持不变。
+ *您无法将新的检测性控件应用到包含未更新的账户的现有 OU。*将 AWS Control Tower 登录区部署到新区域（通过更新它）后，您必须先更新现有 OU 中的现有账户，然后才能在这些 OU 和账户上启用新的检测性控件。
+ *一旦您更新账户，您现有的检测性控件就会开始在新配置的区域中发挥作用。*在更新您的 AWS Control Tower 登录区以部署新区域，然后更新账户时，OU 上已启用的检测性控件将开始在新配置的区域中使用该账户。

**配置 AWS Control Tower 区域**

1. 登录 AWS Control Tower 控制台，网址为 [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower)

1. 在左侧窗格导航菜单中，选择**登录区设置**。

1. 在**登录区设置**页面的**详细信息**部分中，选择右上角的**修改设置**按钮。您将被引导至更新登录区工作流，因为监管新区域或从监管范围内移除区域需要您更新到最新的登录区版本。

1. 在 “**其他监管 AWS 区域**” 下，搜索您想要管理（或停止治理）的区域。**状态**列显示您目前监管哪些区域，不监管哪些区域。

1. 选中要监管的每个其他区域对应的复选框。取消选中要从中移除监管的每个区域对应的复选框。
**注意**  
如果您选择不监管某个区域，您仍然可以在该区域中部署资源，但这些资源将不在 AWS Control Tower 的监管范围内。

1. 完成该工作流的其余部分，然后选择**更新登录区**。

1. landing zone 设置完成后，**Re-register**OU 将更新您的新区域中的账户。有关更多信息，请参阅 [何时更新 AWS Control Tower OU 和账户](update-existing-accounts.md)。

配置新区域后，另一种预置或更新单个账户的方法是使用 [Service Catalog 的 API 框架](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_Reference.html)和 [AWS CLI](https://docs.aws.amazon.com//cli/latest/reference/servicecatalog/index.html) 来批量更新账户。有关更多信息，请参阅 [使用自动化预置和更新账户](update-accounts-by-script.md)。

## OU-level 区域拒绝控制的注意事项
<a name="region-deny-for-ou"></a>

 OU-level 区域拒绝控制的主要考虑因素是确定如果两者都被激活，它将如何与着陆区域 Region deny 控制进行交互。有关更多信息，请参阅 [Region deny control applied to the OU](https://docs.aws.amazon.com/controltower/latest/controlreference/ou-region-deny.html)。

您可能还想查看[配置区域拒绝控件](https://docs.aws.amazon.com//controltower/latest/userguide/region-deny.html)。