本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 区域如何与 AWS Control Tower 配合使用
<a name="region-how"></a>

以下 AWS 区域支持 AWS Control Tower：
+ 美国东部（弗吉尼亚州北部）
+ 美国东部（俄亥俄州） 
+ 美国西部（俄勒冈州） 
+ 加拿大（中部） 
+ 亚太地区（悉尼）
+ 亚太地区（新加坡） 
+ 欧洲地区（法兰克福）
+ 欧洲地区（爱尔兰） 
+ Europe (London) 
+ 欧洲地区（斯德哥尔摩） 
+ 亚太地区（孟买） 
+ 亚太地区（首尔） 
+ 亚太地区（东京） 
+ 欧洲地区（巴黎） 
+ 南美洲（圣保罗） 
+ 美国西部（北加利福尼亚） 
+ 亚太地区（香港）
+ 亚太地区（雅加达） 
+ 亚太地区（大阪） 
+ 欧洲地区（米兰） 
+ 非洲（开普敦） 
+ 中东（巴林） 
+ 以色列（特拉维夫）
+ 中东（阿联酋）：
+ 欧洲（西班牙）
+ 亚太地区（海得拉巴）
+ 欧洲（苏黎世）
+ 亚太地区（墨尔本）
+ 加拿大西部（卡尔加里）
+ 马来西亚（吉隆坡）
+ 亚太地区（泰国）
+ 墨西哥（中部）
+ 亚太地区（台北）

**关于您的主区域**

当您创建着陆区时，您用于访问 AWS 管理控制台的区域将成为 AWS Control Tower 的主 AWS 区域。在创建过程中，将在主区域中预置一些资源。其他资源（例如 OUs 和 AWS 账户）是全球性的。

 选择主区域后，就无法对其进行更改。

**控件和区域**

目前，所有预防性控件的作用都是全局性的。但是，检测性和主动性控件仅适用于支持 AWS Control Tower 的区域。有关在新区域中激活 AWS Control Tower 时控件的行为的更多信息，请参阅[配置您的 AWS Control Tower 区域](#deploying-to-new-region)。

## 配置您的 AWS Control Tower 区域
<a name="deploying-to-new-region"></a>

本节介绍将您的 AWS Control Tower 着陆区扩展到新 AWS 区域或从着陆区配置中移除区域时可能出现的行为。通常，此操作是通过 AWS Control Tower 控制台的**更新**功能执行的。

**注意**  
我们建议您避免将 AWS Control Tower 登录区扩展到不需要在其中运行工作负载的 AWS 区域。选择退出某个区域并不会阻止您在该区域中部署资源，但这些资源将不在 AWS Control Tower 的监管范围内。

在配置新区域过程中，AWS Control Tower 会更新登录区，这意味着它会为登录区*设定基准*，以便
+ 在所有新选定的区域中主动运行；
+ 停止监管已取消选择的区域中的资源。

在此着陆区更新过程中，不会更新您的组织单位 (OUs) 中由 AWS Control Tower 管理的个人账户。因此，您必须通过重新注册来更新您的 OUs帐户。

配置 AWS Control Tower 区域时，请注意以下建议和限制：
+ 选择您计划托管 AWS 资源或工作负载的区域。
+ 选择退出某个区域并不会阻止您在该区域中部署资源，但这些资源将不在 AWS Control Tower 的监管范围内。

当您为新区域配置登录区时，AWS Control Tower 检测性控件将遵循以下规则：
+ *存在的东西保持不变。*现有区域、现有地区的现有账户的控制行为、侦查行为和预防行为均保持不变。 OUs
+ *您不能对 OUs包含未更新的现有账户应用新的侦探控件。*将 AWS Control Tower 着陆区配置为新区域（通过更新着陆区）后，必须先更新现有账户中的现有账户， OUs 然后才能对这些账户 OUs 和账户启用新的侦探控制。
+ *一旦您更新账户，您现有的检测性控件就会开始在新配置的区域中发挥作用。*在更新您的 AWS Control Tower 登录区以部署新区域，然后更新账户时，OU 上已启用的检测性控件将开始在新配置的区域中使用该账户。

**配置 AWS Control Tower 区域**

1. 登录 AWS Control Tower 控制台，网址为 [https://console.aws.amazon.com//controltower](https://console.aws.amazon.com//controltower)

1. 在左侧窗格导航菜单中，选择**登录区设置**。

1. 在**登录区设置**页面的**详细信息**部分中，选择右上角的**修改设置**按钮。您将被引导至更新登录区工作流，因为监管新区域或从监管范围内移除区域需要您更新到最新的登录区版本。

1. 在 “**其他监管 AWS 区域**” 下，搜索您想要管理（或停止治理）的区域。**状态**列显示您目前监管哪些区域，不监管哪些区域。

1. 选中要监管的每个其他区域对应的复选框。取消选中要从中移除监管的每个区域对应的复选框。
**注意**  
如果您选择不监管某个区域，您仍然可以在该区域中部署资源，但这些资源将不在 AWS Control Tower 的监管范围内。

1. 完成该工作流的其余部分，然后选择**更新登录区**。

1. landing zone 设置完成后，请**重新注册** OUs 以更新新区域中的账户。有关更多信息，请参阅 [何时更新 AWS Control Tower OUs 和账户](update-existing-accounts.md)。

配置新区域后，另一种预置或更新单个账户的方法是使用 [Service Catalog 的 API 框架](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_Reference.html)和 [AWS CLI](https://docs.aws.amazon.com//cli/latest/reference/servicecatalog/index.html) 来批量更新账户。有关更多信息，请参阅 [使用自动化预置和更新账户](update-accounts-by-script.md)。

# 配置区域时避免混合监管
<a name="mixed-governance"></a>

在将 AWS Control Tower 管理范围扩展到新的 AWS Control Tower 管理范围之后 AWS 区域，以及从某个区域中移除 AWS Control Tower 监管之后，更新组织单位中的所有账户非常重要。

 如果监管 OU 的控件与监管 OU 内每个账户的控件不完全匹配，就可能会出现*混合监管*这种不理想的情况。如果在 AWS Control Tower 将监管范围扩展到新的或移除监管后仍未更新账户 AWS 区域，则组织单位中就会出现混合治理。

在这种情况下，与 OU 中的其他账户相比，或者与登录区的整体监管状态相比，OU 中的某些账户在不同区域中应用的控件可能有所不同。

在出现混合监管的 OU 中，如果您预置新账户，则该新账户将获得与登录区相同的（更新的）区域和 OU 监管状态。但是，尚未更新的现有账户不会收到更新的区域监管状态。

通常，混合监管可能会在 AWS Control Tower 控制台中产生矛盾或不准确的状态指示器。例如，在混合治理期间，对于尚未更新的账户，选择加入区域显示为 “**未受管辖**” 状态，处于已注册 OUs状态。

**注意**  
AWS Control Tower 不允许在混合监管状态下启用控件。

**混合监管期间控件的行为**
+ 在混合治理期间，AWS Control Tower 无法在 OU 已显示为 “受管**辖**” 的区域中持续部署基于 AWS Config 规则（即侦探控件）的控件，因为 OU 中的某些账户尚未更新。您可能会收到一条 `FAILED_TO_ENABLE` 错误消息。
+ 在混合监管期间，如果您在 OU 中的任何账户尚未更新时将登录区的监管范围扩展到选择加入区域，则在 OU 上的 `EnableControl` API 操作将失败，无法启用检测性和主动性控件。您将收到一条 `FAILED_TO_ENABLE` 错误消息，因为 OU 中未更新的成员账户尚未被选入这些区域。
+ 在混合治理期间，作为 Sec **urity Hub CSPM 服务托管标准：AWS Control Tower 一部分的控制**措施无法准确报告着陆区域配置与未更新的账户不匹配的区域的合规性。
+ 混合监管不会更改基于 SCP 的控件（预防性控件）的行为，这些控件统一应用于每个受监管区域的组织中的每个账户。

**注意**  
混合监管与偏移不同，所以不会被报告为偏移。

**修复混合监管**
+ 现在，客户可以通过重置区域控制来修复混合治理。任何非全局控制都是区域性的（侦查和主动控制）。系统将通过警报横幅提醒您的 OU 处于混合治理状态。

# 激活 AWS 选择加入区域的注意事项
<a name="opt-in-region-considerations"></a>

尽管默认情况下 AWS 区域 ，大多数区域都处于活动状态 AWS 账户，但某些区域只有在您手动选择时才会被激活。本文档将这些区域称为*选择加入区域*。相比之下，在创建后，默认处于活动状态的区域被称为*商业区域、*默认区域**，或者简称为 “*区域*”。 AWS 账户 

*选择加入*一词有其历史依据。2019 年 3 月 20 日之后引入的任何 AWS 区域 均被部署为选择加入区域。在选择加入区域中，除非您选择使用该区域，否则您的账户不会在该区域内启用，并且您的身份也不会复制到该区域。通过 IAM 服务管理的所有数据均被视为身份数据，包括用户、组、角色、策略、身份提供者、其关联数据（例如 X.509 签名证书或特定于上下文的凭证）以及密码策略和账户别名等其他账户级别设置。

您可以在设置登录区过程中通过选择“选择加入区域”来自动激活这些区域。您的登录区在所有选定区域都处于活动状态。

如果您选择选择一个可选区域作为您的 AWS Control Tower 主区域，请在登录 AWS 管理控制台后，按照[启用区域](https://docs.aws.amazon.com//general/latest/gr/rande-manage.html#rande-manage-enable)中的步骤先将其激活。要从选择加入区域中引入您自己的现有日志存档和审计账户，请先手动激活该区域。

 AWS 选择加入的区域包括几个可用 AWS Control Tower 的区域：
+ 亚太地区（香港）区域，ap-east-1
+ 亚太地区（雅加达）区域，ap-southeast-3
+ 欧洲地区（米兰）区域，eu-south-1 
+ 非洲（开普敦）区域，af-south-1
+ 中东（巴林）区域，me-south-1 
+ 以色列（特拉维夫），il-central-1
+ 中东（阿联酋）区域，me-central-1
+ 欧洲（西班牙）区域，eu-south-2
+ 亚太地区（海得拉巴）区域，ap-south-2
+ 欧洲（苏黎世）区域，eu-central-2
+ 亚太地区（墨尔本）区域，ap-southeast-4
+ 加拿大西部（卡尔加里）区域，ca-west-1
+ 亚太地区（泰国），ap-southeast-7
+ 墨西哥（中部），mx-central-1
+ 亚太地区（台北），ap-east-2
+ 亚太地区（新西兰），ap-southeast-6 

AWS Control Tower 提供的一些控件在选择加入区域中的运行方式与在默认区域（其他商业区域）中的运行方式不同。有关更多信息，请参阅 [控件限制](control-limitations.md)。在将工作负载部署到选择加入区域时，请记住以下注意事项。

**监管还是激活？**  
请记住，监管区域是您可以从 AWS Control Tower 控制台中选择的操作，以便可以在该区域中应用控件。激活或停用选择加入区域是您可以在 AWS 控制台中选择的另一种操作，它会向您的账户开放该区域，这样您就可以在该区域中部署资源和工作负载。

**行为注意事项**
+ 如果您选择监管选择加入区域，建议您不要停用（选择退出）任何受监管的选择加入区域，因为这可能会导致您的工作负载失败。AWS Control Tower 不允许从 AWS Control Tower 控制台中停用受管控区域，但请确保不要从 AWS 控制塔之外的来源（例如 AWS 账单控制台或 AWS 软件开发工具包）停用受管区域。
+ 当 AWS Control Tower 将监管范围扩展到选择加入区域时，它会在所有成员账户中激活（选择加入）该区域。当您从监管中移除某个区域时，AWS Control Tower 不会在成员账户中停用（选择退出）该区域。
+ 在取消选择区域期间，如果选择加入的区域已为来自 AWS Control Tower 以外的来源（例如账 AWS 单控制台或软件开发工具包）的账户手动停用该区域，AWS Control Tower 将跳过从该区域移除该资源的操作。 AWS 我们建议您从已停用的区域中移除资源，否则您可能会收到这些资源的意外账单费用。
+ 如果您的登录区已停用，AWS Control Tower 会清理所有受监管区域（包括选择加入区域）中的资源。但是，AWS Control Tower 不会停用选择加入区域。停用后，作为额外步骤，您可以停用选择加入区域。
+ 如果您的主区域是选择加入区域，并且您打算将现有账户注册为日志存档和审计账户，则必须先手动激活选择加入区域，然后才能将其选择为登录区的主区域。请参阅[启用区域](https://docs.aws.amazon.com//general/latest/gr/rande-manage.html#rande-manage-enable)。
+ 如果 AWS Control Tower 设置为可选区域作为您的主区域，并且如果您从任何其他区域的控制 AWS 台访问 AWS Control Tower 服务，则控制台不会自动将您重定向到主区域。
+ 底层 API 有容量限制，这可能会将延迟从几分钟增加到数小时，具体取决于区域、账户和服务负载的数量。作为最佳实践，请仅选择将要运行工作负载的 AWS 区域 区域，并且一次只能选择加入一个区域。

**监管和账户方面的重要限制**
+ 如果有 16 个或更多可使用 AWS Control Tower 的商业区域（包括选择加入区域）受到监管，则在注册 OU 时，每个组织单元（OU）的账户数量上限会降低。有关更多信息，请参阅[基于底层 AWS 服务的限制](https://docs.aws.amazon.com/controltower/latest/userguide/region-stackset-limitations.html)。

# 配置区域拒绝控件
<a name="region-deny"></a>

AWS Control Tower 提供两种区域拒绝控件。一种控件是 `GRREGIONDENY`，激活后，可应用于整个登录区。另一个控件在激活后`CTMULTISERVICEPV1`，可以应用于您指定的 OUs 特定控件。有关更多信息，请参阅[AWS 根据请求拒绝访问 AWS 区域](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)和[应用于 OU 的区域拒绝控制](https://docs.aws.amazon.com/controltower/latest/controlreference/ou-region-deny.html)。

**关于登录区的区域拒绝控件的注意事项**

区域拒绝控件 [https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html) 是唯一的，因为它可应用于整个登录区，而不是任何特定的 OU。要配置该区域拒绝控件，请转到**登录区设置**页面，然后选择**修改设置**。
+ 稍后可更改此设置。
+ 启用后，此控件将应用于所有已注册的用户 OUs。
+ 无法为个人配置此控件 OUs。

**注意**  
在启用该区域拒绝控件之前，请确保这些区域中没有现有资源，因为在应用控件后，您将无法访问您的资源。启用该控件后，您将无法在被拒绝的区域中部署资源。

启用该控件后，它将应用于层次结构 OUs 中所有已注册的顶级控件，并由链中的 OUs 较低层继承。当您移除控件时，所有已注册的控件都会被移除 OUs，AWS Control Tower 中的所有非受**治理区域都将保持不受**管控状态，并且您可以在 AWS Control Tower 可用范围之外的区域部署资源。

**异常**  
您不能拒绝访问您的主区域。某些全球 AWS 服务（例如 IAM 和 AWS Organizations）不受区域拒绝控制的约束。要了解更多信息，请参阅 [Deny access to AWS based on the requested AWS 区域](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html)。
+ 完整控制名称：** AWS 根据请求的 AWS 区域拒绝访问权限**
+ 控件说明：禁止访问指定区域之外的全局和区域服务中未列出的操作。
+ 这是一种具有预防性指导的选择性控件。

要查看区域拒绝控件 SCP 的模板，请参阅《AWS Control Tower Control 参考》中的 [Deny access to AWS based on the requested AWS 区域](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html)。**AWS Control Tower SCP 与 [SCP](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region) 相似 AWS Organizations，但并不相同。

您可以在[区域服务](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services)页面上确定区域服务端点。

## OU 级别区域拒绝控件的注意事项
<a name="region-deny-for-ou"></a>

关于 OU 级别区域拒绝控件的主要注意事项是，要确定它将如何与登录区区域拒绝控件进行交互（如果两者均已激活）。有关更多信息，请参阅 [Region deny control applied to the OU](https://docs.aws.amazon.com/controltower/latest/controlreference/ou-region-deny.html)。

您可能还想查看[配置区域拒绝控件](https://docs.aws.amazon.com//controltower/latest/userguide/region-deny.html)。