Consejos administrativos para la configuración de la zona de aterrizaje

A continuación se ofrecen algunos consejos para instalar y configurar su zona de aterrizaje.

La región de AWS donde efectúe la mayor parte del trabajo debe ser su región de inicio.
Configure su zona de aterrizaje e implemente sus cuentas del generador de cuentas desde la región de inicio.
Si invierte en varias regiones de AWS, asegúrese de que sus recursos en la nube se encuentran en la región donde hará la mayor parte de su trabajo administrativo en la nube y ejecutará sus cargas de trabajo.
Al mantener las cargas de trabajo y los registros en la misma región de AWS, reduce el coste asociado al traslado y la recuperación de información de registro en todas las regiones.
La auditoría y otros buckets de Amazon S3 se crean en la misma región de AWS desde la que se inicia AWS Control Tower. Le recomendamos que no mueva estos buckets.
Puede crear sus propios buckets de registro en la cuenta de archivo de registro, pero no se recomienda. Asegúrese de dejar los buckets creados por AWS Control Tower.
Sus registros de acceso de Amazon S3 deben estar en la misma región de AWS que los buckets de origen.
Al lanzar, los puntos de conexión de AWS Security Token Service (STS) deben estar activados en la cuenta de administración para todas las regiones compatibles con AWS Control Tower. De lo contrario, el lanzamiento puede generar un error a mitad del proceso de configuración.
AWS Control Tower solo admite etiquetado para los controles habilitados. Para obtener más información, consulte API de etiquetado de control de AWS Control Tower.
Recomendamos habilitar la autenticación multifactor (MFA) para todas las cuentas que administra AWS Control Tower.
Como alternativa, puede usar la característica de administración de acceso raíz de AWS, que permite realizar acciones raíz en las cuentas de miembros y elimina la necesidad de habilitar MFA para todas las cuentas. Para obtener más información, consulte Administración centralizada del acceso raíz para clientes utilizando AWS Organizations.

Consideraciones sobre las VPC

La VPC creada por AWS Control Tower está limitada a las Regiones de AWS en la que está disponible AWS Control Tower. Es posible que algunos clientes cuyas cargas de trabajo se ejecutan en regiones no compatibles deseen deshabilitar la VPC que se crea con su cuenta del generador de cuentas. Es posible que prefieran crear una VPC nueva utilizando la cartera de Service Catalog o una VPC personalizada que se ejecute únicamente en las regiones requeridas.
La VPC creada por AWS Control Tower no es la misma que la VPC predeterminada que se crea para todas las Cuentas de AWS. En las regiones en las que se admite AWS Control Tower, AWS Control Tower elimina la VPC predeterminada cuando crea la VPC de AWS Control Tower.
Si elimina la VPC predeterminada en su región de inicio de AWS, es mejor eliminarla en todas las demás regiones de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas: configurar una zona de aterrizaje de varias cuentas de AWS

Recomendaciones para la configuración de grupos, roles y políticas