Habilitar o deshabilitar Regiones de AWS en su cuenta - AWS Account Management
Referencia de disponibilidad regionalObservaciones antes de habilitar o deshabilitar regionesTiempos de procesamiento y límites de solicitudesHabilitar o deshabilitar una región para cuentas independientesHabilitar o deshabilitar una región en su organización

Habilitar o deshabilitar Regiones de AWS en su cuenta

Una Región de AWS es una ubicación física en el mundo donde AWS tiene varias zonas de disponibilidad. Las zonas de disponibilidad constan de uno o varios centros de datos de AWS separados, cada uno de ellos con alimentación, redes y conectividad redundantes, que se alojan en instalaciones independientes. Esto significa que cada Región de AWS está aislada físicamente y es independiente de las demás regiones. Las regiones proporcionar tolerancia a errores, estabilidad y resistencia, y también pueden reducir la latencia. Ejecutar las cargas de trabajo en una Región de AWS que se encuentra más cerca de los usuarios finales puede mejorar el rendimiento y reducir la latencia. Para consultar un mapa de las regiones disponibles y futuras, consulte Regiones y zonas de disponibilidad. Para obtener más información sobre las Regiones de AWS y la arquitectura de resiliencia para sus cargas de trabajo, consulte Aspectos básicos de varias regiones de AWS.

En términos generales, las Regiones de AWS se dividen en dos categorías de disponibilidad de cuentas:

  • Regiones predeterminadas: las regiones lanzadas antes del 20 de marzo de 2019 se encuentran habilitadas de forma predeterminada. Puede crear y administrar recursos en estas regiones predeterminadas inmediatamente después de la activación de su cuenta. Las regiones predeterminadas no se pueden activar ni desactivar.

  • Regiones de suscripción: las regiones que se lanzaron después del 20 de marzo de 2019 se encuentran deshabilitadas de forma predeterminada y se denominan regiones de suscripción. Las regiones de suscripción inhabilitadas no se muestran en la barra de navegación de la consola y no puede usarlas para crear cargas de trabajo hasta que no estén habilitadas. Para usar estas regiones de suscripción, primero debe habilitarlas en su Cuenta de AWS. Tras activar una región de suscripción, puede seleccionarla en la barra de navegación, y crear y gestionar los recursos en esa región. Para habilitar la región de suscripción en sus cuentas independientes, consulte Habilitar o deshabilitar una región para cuentas independientes, y para habilitar la región de suscripción en sus cuentas de miembros, consulte Habilitar o deshabilitar una región en su organización.

Cuando se registra en una Cuenta de AWS, AWS le recomienda una región de suscripción en función del país de la dirección de contacto. Los clientes de un país con una región de suscripción de AWS reciben una recomendación en la página de información de contacto para habilitar la región de suscripción en ese país. Los clientes de un país que cuenta con una región de suscripción y una región predeterminada, como India, Australia o Canadá, reciben una recomendación para seleccionar la región de suscripción si esta se encuentra más cerca de ellos que la región predeterminada. Una vez activada una cuenta, puede habilitar otras regiones de suscripción de AWS en su cuenta o elegir deshabilitar la región de suscripción que habilitó al registrarse.

Al crear una Cuenta de AWS, sus datos y credenciales de IAM se configuran automáticamente para funcionar en todas las regiones predeterminadas, lo que permite que el usuario raíz y las identidades de IAM con los permisos adecuados accedan a los servicios de AWS de estas regiones con sus credenciales existentes. Las regiones de suscripción de AWS están deshabilitadas de forma predeterminada y, en un principio, los datos y las credenciales de IAM no están disponibles en esas regiones, lo que impide el acceso a los servicios de AWS en dicha región. Cuando decide habilitar una región de suscripción, AWS propaga sus datos y credenciales de IAM a esa región. Una vez finalizada la propagación y habilitada la región de suscripción, el usuario raíz y las identidades de IAM pueden acceder a los servicios de AWS de la región de suscripción recién habilitada con las mismas credenciales de IAM que utilizan en las regiones predeterminadas.

Cuando deshabilita una región de suscripción, sus credenciales de IAM se desactivan y pierde el acceso de IAM a los recursos de dicha región. Al deshabilitar una región de suscripción no se eliminan los recursos de esa región y los cargos por los recursos (si los hubiera) en esa región de suscripción deshabilitada se siguen acumulando a la tarifa estándar.

AWS agrupa a las regiones en particiones. Cada región está exactamente en una partición y cada partición tiene una o más regiones. Las particiones tienen instancias independientes de AWS Identity and Access Management (IAM) y proporcionan un límite estricto entre las regiones de las distintas particiones. Las regiones comerciales de AWS están en la partición aws, las regiones de China están en la partición aws-cn y las regiones de AWS GovCloud (US) están en la partición aws-us-gov. Según sea la partición en la que haya creado su Cuenta de AWS, puede utilizar las Regiones de AWS dentro de esa partición.

  • Una cuenta en la partición aws proporciona acceso a varias regiones en la partición comercial de manera que se puedan lanzar recursos de AWS en ubicaciones que se ajustan a sus necesidades. Por ejemplo, podría desear lanzar instancias de Amazon EC2 en Europa, para estar más cerca de sus clientes europeos o para cumplir requisitos legales.

  • Una cuenta en la partición aws-us-gov proporciona acceso a la región de AWS GovCloud (Oeste de EE. UU.) y a la región de AWS GovCloud (Este de EE. UU.). Para obtener más información, consulte AWS GovCloud (US).

  • Una cuenta en la partición aws-cn proporciona acceso solo a las regiones de Pekín y Ningxia. Para obtener más información, consulte Amazon Web Services en China.

Referencia de disponibilidad regional

En las siguientes tablas se muestran las Regiones de AWS por tipo de disponibilidad. Las regiones predeterminadas se activan automáticamente y no se pueden deshabilitar, mientras que las regiones de suscripción deben habilitarse de manera manual para poder usarlas:

Opt-in Regions

Las siguientes regiones son regiones de suscripción que deben estar habilitadas para poder usarlas:

Nombre Código Estado
África (Ciudad del Cabo) af-south-1 GA
Asia-Pacífico (Hong Kong) ap-east-1 GA
Asia-Pacífico (Taipéi) ap-east-2 GA
Asia-Pacífico (Hyderabad) ap-south-2 GA
Asia-Pacífico (Yakarta) ap-southeast-3 GA
Asia-Pacífico (Melbourne) ap-southeast-4 GA
Asia-Pacífico (Malasia) ap-southeast-5 GA
Asia-Pacífico (Nueva Zelanda) ap-southeast-6 GA
Asia-Pacífico (Tailandia) ap-southeast-7 GA
Oeste de Canadá (Calgary) ca-west-1 GA
Europa (Zúrich) eu-central-2 GA
Europa (Milán) eu-south-1 GA
Europa (España) eu-south-2 GA
Israel (Tel Aviv) il-central-1 GA
Medio Oriente (EAU) me-central-1 GA
Medio Oriente (Baréin) me-south-1 GA
México (central) mx-central-1 GA
Default Regions

Las siguientes regiones están habilitadas de forma predeterminada y no se pueden deshabilitar:

Nombre Código
Asia-Pacífico (Tokio) ap-northeast-1
Asia-Pacífico (Seúl) ap-northeast-2
Asia-Pacífico (Osaka) ap-northeast-3
Asia-Pacífico (Mumbai) ap-south-1
Asia-Pacífico (Singapur) ap-southeast-1
Asia-Pacífico (Sídney) ap-southeast-2
Canadá (centro) ca-central-1
Europa (Fráncfort) eu-central-1
Europa (Estocolmo) eu-north-1
Europa (Irlanda) eu-west-1
Europa (Londres) eu-west-2
Europa (París) eu-west-3
América del Sur (São Paulo) sa-east-1
Este de EE. UU. (Norte de Virginia) us-east-1
Este de EE. UU. (Ohio) us-east-2
Oeste de EE. UU. (Norte de California) us-west-1
Oeste de EE. UU. (Oregón) us-west-2

Para obtener una lista de los nombres de las regiones y sus códigos correspondientes, consulte los puntos de conexión regionales en la Guía de referencia general de AWS. Para obtener una lista de los servicios de AWS admitidos en cada región (sin puntos de conexión), consulte la Lista de servicios de AWS por región.

importante

AWS recomienda utilizar los puntos de conexión de AWS Security Token Service (AWS STS) en lugar del punto de conexión global para reducir la latencia. Los tokens de sesión de puntos de conexión de AWS STS regionales son válidos en todas las regiones de AWS. Si utiliza puntos de conexión de AWS STS regionales, no es necesario hacer ningún cambio. Sin embargo, los tokens de sesión del punto de conexión de AWS STS global (https://sts.amazonaws.com) solo son válidos en Regiones de AWS si usted los habilita o si están habilitados de forma predeterminada. Si va a habilitar una nueva región en su cuenta, puede utilizar tokens de sesión de los puntos de conexión de AWS STS regionales o habilitar el punto de conexión de AWS STS global para emitir tokens de sesión que sean válidos en todas las Regiones de AWS. Los tokens de sesión que son válidos en todas las regiones son más grandes. Si almacena tokens de sesión, estos tokens más grandes podrían afectar a sus sistemas. Para obtener más información sobre cómo funcionan los puntos de conexión de AWS STS con las regiones de AWS, consulte Administración de AWS STS en una región de AWS.

Observaciones antes de habilitar o deshabilitar regiones

Antes de habilitar o deshabilitar una región, es importante que tenga en cuenta lo siguiente:

  • Puede utilizar todas las regiones de destino en una geografía de inferencia entre regiones, independientemente del estado de la región de suscripción: algunos servicios de AWS IA generativa, como Amazon Bedrock (consulte Aumentar el rendimiento con la inferencia entre regiones) y Amazon Q Developer (consulte Procesamiento entre regiones en Amazon Q Developer), utilizan la inferencia entre regiones. Si utiliza esos servicios, seleccionarán automáticamente la mejor Región de AWS, incluidas las regiones en las que no haya habilitado los recursos y los datos de IAM, dentro de la geografía que ha seleccionado. Esto mejora la experiencia del cliente al maximizar la disponibilidad de los modelos y los cálculos disponibles.

  • Puede utilizar los permisos de IAM para controlar el acceso a regiones: AWS Identity and Access Management (IAM) incluye cuatro permisos que le permiten controlar qué usuarios pueden habilitar, deshabilitar, obtener y enumerar regiones. Para obtener más información, consulte AWS: permite habilitar y deshabilitar Regiones de AWS en la Guía del usuario de IAM. También puede utilizar la clave de condición aws:RequestedRegion para controlar el acceso a Servicios de AWS o en una Región de AWS.

  • La habilitación y deshabilitación de una región es gratuita: no se aplica ningún cargo por habilitar o deshabilitar una región. Solamente se cobran los recursos que se crean en la nueva región.

  • Integración con Amazon EventBridge: puede suscribirse a las notificaciones de actualización del estado de suscripción de región en EventBridge. Se creará una notificación de EventBridge para cada cambio de estado, lo que permitirá a los clientes automatizar los flujos de trabajo.

  • Estado de suscripción/exclusión de región expresivo: debido a que las regiones suscritas se habilitan y deshabilitan de forma asincrónica, hay cuatro posibles estados para una solicitud de suscripción/exclusión de región:

    • ENABLING

    • DISABLING

    • ENABLED

    • DISABLED

    No puede cancelar una suscripción o exclusión si se encuentra en uno de los estados ENABLING o DISABLING. De lo contrario, se lanzará una ConflictException. Una solicitud de suscripción/exclusión de región completada (Habilitada/Deshabilitada) depende del aprovisionamiento de los principales servicios de AWS subyacentes. Es posible que algunos servicios de AWS no se puedan utilizar inmediatamente a pesar de que se encuentren en el estado ENABLED.

Tiempos de procesamiento y límites de solicitudes

Cuando habilita o deshabilita las regiones, tenga en cuenta las siguientes limitaciones de tiempo y solicitud:

  • Habilitar una región tarda entre unos minutos y varias horas en algunos casos: cuando habilita una región, AWS realiza acciones para preparar su cuenta en dicha región, como la distribución de sus recursos de IAM a la región. Este proceso tarda unos minutos para la mayoría de las cuentas, pero a veces puede tardar varias horas. No puede utilizar la región hasta que este proceso finalice.

  • La deshabilitación de una región no siempre está visible de forma inmediata: es posible que los servicios y las consolas estén visibles temporalmente después de deshabilitar una región. La deshabilitación de una región puede tardar entre unos minutos y varias horas en surtir efecto.

  • Una sola cuenta puede tener 6 solicitudes de suscripción/exclusión de región en curso en un momento dado: una solicitud equivale a habilitar o deshabilitar una región en particular para una cuenta.

  • Las organizaciones pueden tener 50 solicitudes de suscripción/exclusión de región abiertas en un momento dado en toda la organización de AWS: la cuenta de administración puede tener en cualquier momento 50 solicitudes abiertas pendientes de finalización para su organización. Una solicitud equivale a habilitar o deshabilitar una región concreta para una cuenta.

Habilitar o deshabilitar una región para cuentas independientes

Para actualizar a qué regiones tiene acceso su Cuenta de AWS, siga los pasos del procedimiento a continuación. El siguiente procedimiento de la Consola de administración de AWS siempre funciona solo en el contexto independiente. Puede usar la Consola de administración de AWS para ver o actualizar solo las regiones disponibles en la cuenta que utilizó para llamar a la operación.

Consola de administración de AWS
Cómo habilitar o deshabilitar una Cuenta de AWS independiente
Permisos mínimos

Para realizar los pasos del siguiente procedimiento, un rol o usuario de IAM debe tener los siguientes permisos:

  • account:ListRegions (necesario para ver la lista de Regiones de AWS y si están habilitadas o deshabilitadas actualmente).

  • account:EnableRegion

  • account:DisableRegion

  1. Inicie sesión en la Consola de administración de AWS como Usuario raíz de la cuenta de AWS o como rol o usuario de IAM con los permisos mínimos.

  2. En la parte superior derecha de la ventana, seleccione el nombre de cuenta y, a continuación, seleccione Cuenta.

  3. En la página de la cuenta, desplácese hacia abajo hasta la sección Regiones de AWS.

  4. Elija la región que desee habilitar o deshabilitar y, a continuación, elija la acción que desee, Activar o Desactivar. Verá una petición para confirmarlo.

  5. Si ha elegido la opción Habilitar, revise el texto que se muestra y, a continuación, seleccione Habilitar región.

    Si eligió la opción Deshabilitar, revise el texto que se muestra, escriba disable para confirmar y, a continuación, seleccione Deshabilitar región.

    Una vez habilitada la región de suscripción, puede seleccionarla en la barra de navegación regional. Para ver los pasos para seleccionar una región, consulte Elegir una región en la barra de navegación en la Consola de administración de AWS y, para ver la configuración de consola específica de la región en su cuenta, consulte Configurar la región predeterminada en la Consola de administración de AWS.

AWS CLI & SDKs

Puede habilitar, deshabilitar, leer y enumerar el estado de opción de una región mediante los siguientes comandos de la AWS CLI o sus operaciones equivalentes del SDK de AWS:

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

Permisos mínimos

Para realizar los siguientes pasos, debe tener el permiso correspondiente a esa operación:

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

Si utiliza estos permisos individuales, puede conceder a algunos usuarios la capacidad de solo leer la información de opción de región y conceder a otros la capacidad tanto de leer como de escribir.

En el siguiente ejemplo, se habilita una región para la cuenta de miembro especificada en una organización. Las credenciales que se usan deben ser de la cuenta de administración de la organización o de la cuenta de administrador delegado del servicio de Account Management.

Tenga en cuenta que también puede deshabilitar una región con el mismo comando y, a continuación, reemplazar enable-region con disable-region.

aws account enable-region --region-name af-south-1

Este comando no genera ningún resultado si se utiliza correctamente.

La operación es asíncrona. El siguiente comando le permitirá ver el estado más reciente de la solicitud.

aws account get-region-opt-status --region-name af-south-1
  {
    "RegionName": "af-south-1",
    "RegionOptStatus": "ENABLING"
  }

Habilitar o deshabilitar una región en su organización

Para actualizar las regiones habilitadas para cuentas de miembro de su AWS Organizations, siga los pasos del procedimiento a continuación.

nota

Las políticas administradas por AWS Organizations, AWSOrganizationsReadOnlyAccess o AWSOrganizationsFullAccess, se actualizan para permitir el acceso a las API de AWS Account Management, para que usted pueda acceder a los datos de las cuentas desde la consola de AWS Organizations. Para ver las políticas administradas actualizadas, consulte Updates to Organizations AWS managed policies.

nota

Para poder realizar estas operaciones desde la cuenta de administración o desde una cuenta de administrador delegado en una organización para utilizarlas con las cuentas de los miembros, debe hacer lo siguiente:

  • Habilite todas las características en su organización para administrar la configuración en sus cuentas de miembro. Esto le permite al administrador controlar las cuentas de miembro. Esto se establece de forma predeterminada cuando crea la organización. Si su organización está configurada únicamente para la facturación consolidada y desea habilitar todas las características, consulte Enabling all features in your organization.

  • Habilite el acceso de confianza para el servicio de AWS Account Management. Para configurarlo, consulte Habilitación del acceso de confianza para AWS Account Management.

Consola de administración de AWS
Cómo habilitar o deshabilitar una región en su organización

  1. Inicie sesión en la consola de AWS Organizations con las credenciales de la cuenta de administración de su organización.

  2. En la página Cuentas de AWS, seleccione la cuenta que desea actualizar.

  3. Elija la pestaña Configuración de la cuenta.

  4. En Regiones, seleccione la región que desea habilitar o deshabilitar.

  5. Seleccione Acciones y, a continuación, elija la opción Habilitar o Deshabilitar.

  6. Si ha elegido la opción Habilitar, revise el texto que se muestra y, a continuación, seleccione Habilitar región.

  7. Si eligió la opción Deshabilitar, revise el texto que se muestra, escriba deshabilitar para confirmar y, a continuación, seleccione Deshabilitar región.

AWS CLI & SDKs

Puede habilitar, deshabilitar, leer y enumerar el estado de opción de una región para cuentas de miembro de organización mediante los siguientes comandos de la AWS CLI o sus operaciones equivalentes del SDK de AWS:

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

Permisos mínimos

Para realizar los siguientes pasos, debe tener el permiso correspondiente a esa operación:

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

Si utiliza estos permisos individuales, puede conceder a algunos usuarios la capacidad de solo leer la información de opción de región y conceder a otros la capacidad tanto de leer como de escribir.

En el siguiente ejemplo, se habilita una región para la cuenta de miembro especificada en una organización. Las credenciales que se usan deben ser de la cuenta de administración de la organización o de la cuenta de administrador delegado del servicio de Account Management.

Tenga en cuenta que también puede deshabilitar una región con el mismo comando y, a continuación, reemplazar enable-region con disable-region.

aws account enable-region --account-id 123456789012 --region-name af-south-1

Este comando no genera ningún resultado si se utiliza correctamente.

nota

Una organización solo puede tener un máximo de 20 solicitudes de región en un momento dado. De lo contrario, recibirá una TooManyRequestsException.

La operación es asíncrona. El siguiente comando le permitirá ver el estado más reciente de la solicitud.

aws account get-region-opt-status --account-id 123456789012 --region-name af-south-1
  {
    "RegionName": "af-south-1",
    "RegionOptStatus": "ENABLING"
  }