Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bagaimana AWS Wilayah Bekerja Dengan AWS Control Tower
AWS Control Tower didukung di AWS Wilayah berikut:
+ Timur AS (N. Virginia)
+ AS Timur (Ohio)
+ AS Barat (Oregon)
+ Kanada (Pusat)
+ Asia Pasifik (Sydney)
+ Asia Pasifik (Singapura)
+ Eropa (Frankfurt)
+ Eropa (Irlandia)
+ Europe (London)
+ Eropa (Stockholm)
+ Asia Pasifik (Mumbai)
+ Asia Pasifik (Seoul)
+ Asia Pasifik (Tokyo)
+ Eropa (Paris)
+ Amerika Selatan (São Paulo)
+ AS Barat (California Utara)
+ Asia Pasifik (Hong Kong)
+ Asia Pasifik (Jakarta)
+ Asia Pasifik (Osaka)
+ Europe (Milan)
+ Africa (Cape Town)
+ Timur Tengah (Bahrain)
+ Israel (Tel Aviv)
+ Timur Tengah (UAE)
+ Eropa (Spanyol)
+ Asia Pasifik (Hyderabad)
+ Europe (Zurich)
+ Asia Pacific (Melbourne)
+ Kanada Barat (Calgary)
+ Malaysia (Kuala Lumpur)
+ Asia Pasifik (Thailand)
+ Meksiko (Tengah)
+ Asia Pasifik (Taipei)
**Tentang Wilayah asal Anda**
Saat Anda membuat landing zone, Wilayah yang Anda gunakan untuk akses ke konsol AWS Manajemen menjadi AWS Wilayah asal Anda untuk AWS Control Tower. Selama proses pembuatan, beberapa sumber daya disediakan di Wilayah asal. Sumber daya lain, seperti OUs dan AWS akun, bersifat global.
Setelah Anda memilih Wilayah rumah, Anda tidak dapat mengubahnya.
**Kontrol dan Wilayah**
Saat ini, semua kontrol pencegahan bekerja secara global. Kontrol detektif dan proaktif, bagaimanapun, hanya berfungsi di Wilayah yang didukung AWS Control Tower. Untuk informasi selengkapnya tentang perilaku kontrol saat Anda mengaktifkan AWS Control Tower di Wilayah baru, lihat[Konfigurasikan Wilayah AWS Control Tower](#deploying-to-new-region).
## Konfigurasikan Wilayah AWS Control Tower
Bagian ini menjelaskan perilaku yang dapat Anda harapkan saat memperluas landing zone AWS Control Tower Anda ke AWS Wilayah baru, atau menghapus Wilayah dari konfigurasi landing zone Anda. Umumnya, tindakan ini dilakukan melalui fungsi **Update** konsol AWS Control Tower.
**catatan**
Kami menyarankan agar Anda menghindari perluasan landing zone AWS Control Tower Anda ke AWS Wilayah di mana Anda tidak memerlukan beban kerja Anda untuk dijalankan. Memilih keluar dari Wilayah tidak mencegah Anda menerapkan sumber daya di Wilayah tersebut, tetapi sumber daya tersebut akan tetap berada di luar tata kelola AWS Control Tower.
Selama konfigurasi Wilayah baru, AWS Control Tower memperbarui landing zone, yang berarti bahwa itu menjadi *dasar landing zone* Anda —
+ untuk beroperasi secara aktif di semua Wilayah yang baru dipilih, dan
+ untuk menghentikan sumber daya yang mengatur di Wilayah yang tidak dipilih.
Akun individual dalam unit organisasi Anda (OUs) yang dikelola oleh AWS Control Tower tidak diperbarui sebagai bagian dari proses pembaruan landing zone ini. Oleh karena itu, Anda harus memperbarui akun Anda dengan mendaftarkan ulang akun Anda OUs.
Saat mengonfigurasi Wilayah AWS Control Tower Anda, perhatikan rekomendasi dan batasan berikut:
+ Pilih Wilayah tempat Anda berencana untuk meng-host AWS sumber daya atau beban kerja.
+ Memilih keluar dari Wilayah tidak mencegah Anda menerapkan sumber daya di Wilayah tersebut, tetapi sumber daya tersebut akan tetap berada di luar tata kelola AWS Control Tower.
Saat Anda mengonfigurasi landing zone untuk Wilayah baru, kontrol detektif AWS Control Tower mematuhi aturan berikut:
+ *Apa yang ada tetap sama.* Perilaku kontrol, detektif maupun preventif, tidak berubah untuk akun yang ada, di Wilayah yang ada OUs, di Wilayah yang ada.
+ *Anda tidak dapat menerapkan kontrol detektif baru ke akun OUs berisi yang sudah ada yang tidak diperbarui.* Saat mengonfigurasi landing zone AWS Control Tower menjadi Wilayah baru (dengan memperbarui landing zone), Anda harus memperbarui akun yang ada di akun yang ada OUs sebelum dapat mengaktifkan kontrol detektif baru pada akun tersebut OUs dan akun.
+ *Kontrol detektif Anda yang ada mulai bekerja di Wilayah yang baru dikonfigurasi segera setelah Anda memperbarui akun.* Saat Anda memperbarui landing zone AWS Control Tower untuk mengonfigurasi Wilayah baru dan kemudian memperbarui akun, kontrol detektif yang sudah diaktifkan di OU akan mulai bekerja pada akun tersebut di Wilayah yang baru dikonfigurasi.
**Konfigurasikan Wilayah AWS Control Tower**
1. Masuk ke konsol AWS Control Tower di [https://console.aws.amazon.com//controltower](https://console.aws.amazon.com//controltower)
1. Di menu navigasi panel kiri, pilih Pengaturan zona **pendaratan**.
1. Pada halaman **pengaturan zona pendaratan**, di bagian **Detail**, pilih tombol **Ubah pengaturan** di kanan atas. Anda diarahkan ke alur kerja landing zone pembaruan, karena mengatur Wilayah baru, atau menghapus Wilayah dari tata kelola, mengharuskan Anda memperbarui ke versi landing zone terbaru.
1. Di bawah ** AWS Wilayah Tambahan untuk tata kelola**, cari Wilayah yang ingin Anda atur (atau hentikan pemerintahan). Kolom **Negara** menunjukkan Wilayah mana yang saat ini Anda atur, dan mana yang tidak.
1. Pilih kotak centang untuk setiap Wilayah tambahan yang akan diatur. Hapus centang kotak untuk setiap Wilayah tempat Anda menghapus tata kelola.
**catatan**
Jika Anda memilih untuk tidak mengatur Wilayah, Anda masih dapat menerapkan sumber daya di Wilayah tersebut, tetapi sumber daya tersebut akan tetap berada di luar tata kelola AWS Control Tower.
1. Selesaikan sisa alur kerja, lalu pilih **Perbarui landing zone**.
1. Ketika pengaturan landing zone selesai, **Daftarkan ulang** OUs untuk memperbarui akun di Wilayah baru Anda. Untuk informasi selengkapnya, lihat [Kapan harus memperbarui AWS Control Tower OUs dan akun](update-existing-accounts.md).
[Metode alternatif untuk menyediakan atau memperbarui akun individual setelah mengonfigurasi Wilayah baru adalah dengan menggunakan [kerangka API Service Catalog](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_Reference.html) dan memperbarui akun dalam proses batch. AWS CLI](https://docs.aws.amazon.com//cli/latest/reference/servicecatalog/index.html) Untuk informasi selengkapnya, lihat [Menyediakan dan memperbarui akun menggunakan otomatisasi](update-accounts-by-script.md).
# Hindari tata kelola campuran saat mengonfigurasi Wilayah
Penting untuk memperbarui semua akun di OU setelah Anda memperluas tata kelola AWS Control Tower ke yang baru Wilayah AWS, dan setelah Anda menghapus tata kelola AWS Control Tower dari Wilayah.
*Tata kelola campuran* adalah situasi yang tidak diinginkan yang dapat terjadi jika kontrol yang mengatur OU tidak sepenuhnya cocok dengan kontrol yang mengatur setiap akun dalam OU. Tata kelola campuran terjadi di OU jika akun tidak diperbarui setelah AWS Control Tower memperluas tata kelola ke yang baru Wilayah AWS, atau menghapus tata kelola.
Dalam situasi ini, akun tertentu dalam OU mungkin memiliki kontrol yang berbeda yang diterapkan di Wilayah yang berbeda, jika dibandingkan dengan akun lain di OU, atau jika dibandingkan dengan postur tata kelola zona pendaratan secara keseluruhan.
Dalam OU dengan tata kelola campuran, jika Anda menyediakan akun baru, akun baru tersebut menerima postur tata kelola Wilayah dan OU yang sama (diperbarui) dengan landing zone. Namun, akun yang ada yang belum diperbarui tidak menerima postur tata kelola Wilayah yang diperbarui.
Secara umum, tata kelola campuran dapat membuat indikator status yang kontradiktif atau tidak akurat di konsol AWS Control Tower. Misalnya, selama tata kelola campuran, Wilayah keikutsertaan ditampilkan dengan status **Tidak diatur**, terdaftar OUs, untuk akun yang belum diperbarui.
**catatan**
AWS Control Tower tidak mengizinkan kontrol diaktifkan selama status tata kelola campuran.
**Perilaku kontrol selama tata kelola campuran**
+ Selama tata kelola campuran, AWS Control Tower tidak dapat secara konsisten menerapkan kontrol yang didasarkan pada AWS Config aturan (yaitu, kontrol detektif) di Wilayah yang sudah ditampilkan oleh OU sebagai **Governed**, karena beberapa akun di OU belum diperbarui. Anda mungkin menerima pesan `FAILED_TO_ENABLE` kesalahan.
+ Selama tata kelola campuran, jika Anda memperluas tata kelola zona pendaratan ke Wilayah keikutsertaan sementara akun apa pun di OU belum diperbarui, operasi `EnableControl` API di OU gagal untuk kontrol detektif dan proaktif. Anda akan menerima pesan `FAILED_TO_ENABLE` kesalahan, karena akun anggota yang tidak diperbarui dalam OU belum dipilih ke Wilayah tersebut.
+ Selama tata kelola campuran, kontrol yang merupakan bagian dari Standar yang **dikelola Layanan CSPM Security Hub: AWS Control Tower** tidak dapat melaporkan kepatuhan secara akurat di Wilayah di mana terdapat ketidakcocokan antara konfigurasi landing zone dan akun yang tidak diperbarui.
+ Tata kelola campuran tidak mengubah perilaku kontrol berbasis SCP (kontrol preventif), yang berlaku secara seragam untuk setiap akun di OU, di setiap Wilayah yang diatur.
**catatan**
Tata kelola campuran tidak sama dengan drift, dan tidak dilaporkan sebagai drift.
**Untuk memperbaiki tata kelola campuran**
+ Pelanggan sekarang dapat memperbaiki tata kelola campuran dengan mengatur ulang kontrol regional. Setiap kontrol non-global bersifat regional (kontrol detektif dan proaktif). Anda akan diberitahu bahwa OU Anda berada dalam tata kelola campuran melalui spanduk peringatan.
# Pertimbangan untuk mengaktifkan AWS Wilayah keikutsertaan
Meskipun sebagian besar aktif Wilayah AWS secara default untuk Anda Akun AWS, Wilayah tertentu diaktifkan hanya ketika Anda memilihnya secara manual. Dokumen ini mengacu pada Wilayah tersebut sebagai *Wilayah keikutsertaan*. Sebaliknya, Wilayah yang aktif secara default, segera setelah Anda Akun AWS dibuat, disebut sebagai *Wilayah komersial, Wilayah* *default*, atau hanya, *Wilayah*.
Istilah *opt-in* memiliki dasar historis. Setiap yang Wilayah AWS diperkenalkan setelah 20 Maret 2019 digunakan sebagai Wilayah keikutsertaan. Di Wilayah keikutsertaan, akun Anda tidak diaktifkan di dalam Wilayah tersebut—dan identitas Anda tidak direplikasi ke Wilayah tersebut—kecuali jika Anda memilih untuk memilih untuk menggunakan Wilayah tersebut. Semua data yang dikelola melalui layanan IAM dianggap sebagai data identitas, termasuk pengguna, grup, peran, kebijakan, penyedia identitas, data terkait mereka (misalnya, sertifikat penandatanganan X.509 atau kredensi khusus konteks), dan pengaturan tingkat akun lainnya, seperti kebijakan kata sandi dan alias akun.
Anda dapat mengaktifkan opt-in Regions secara otomatis selama pengaturan landing zone, dengan memilihnya. Landing zone Anda menjadi aktif di semua Wilayah yang dipilih.
Jika Anda memilih untuk memilih Wilayah keikutsertaan sebagai Wilayah beranda AWS Control Tower, aktifkan terlebih dahulu dengan mengikuti langkah-langkah di [Mengaktifkan Wilayah](https://docs.aws.amazon.com//general/latest/gr/rande-manage.html#rande-manage-enable), saat masuk ke Konsol AWS Manajemen. Untuk membawa akun Arsip Log dan Audit Anda sendiri dari Wilayah keikutsertaan, aktifkan Wilayah tersebut secara manual terlebih dahulu.
Wilayah AWS keikutsertaan mencakup beberapa Wilayah di mana AWS Control Tower tersedia:
+ Wilayah Asia Pasifik (Hong Kong), ap-east-1
+ Wilayah Asia Pasifik (Jakarta), ap-southeast-3
+ Wilayah Eropa (Milan), eu-south-1
+ Wilayah Afrika (Cape Town), af-south-1
+ Wilayah Timur Tengah (Bahrain), me-south-1
+ Israel (Tel Aviv), il-central-1
+ Wilayah Timur Tengah (UEA), me-central-1
+ Wilayah Eropa (Spanyol), eu-south-2
+ Wilayah Asia Pasifik (Hyderabad), ap-south-2
+ Wilayah Eropa (Zurich), eu-central-2
+ Wilayah Asia Pasifik (Melbourne), ap-southeast-4
+ Wilayah Kanada Barat (Calgary), ca-west-1
+ Asia Pasifik (Thailand), ap-tenggara - 7
+ Meksiko (Tengah), mx-central-1
+ Asia Pasifik (Taipei), ap-timur-2
+ Asia Pasifik (Selandia Baru), ap-tenggara - 6
AWS Control Tower memiliki beberapa kontrol yang bekerja secara berbeda di Wilayah keikutsertaan dibandingkan di Wilayah default (Wilayah komersial lainnya). Untuk informasi selengkapnya, lihat [Keterbatasan kontrol](control-limitations.md). Berikut adalah beberapa pertimbangan yang perlu diingat saat Anda menerapkan beban kerja ke Wilayah keikutsertaan.
**Mengatur atau mengaktifkan?**
Ingatlah bahwa mengatur Wilayah adalah tindakan yang dapat Anda pilih dari konsol AWS Control Tower, sehingga kontrol dapat diterapkan di Wilayah. Mengaktifkan atau menonaktifkan Wilayah keikutsertaan adalah tindakan berbeda yang dapat Anda pilih di AWS konsol, yang membuka Wilayah ke akun Anda, sehingga Anda dapat menerapkan sumber daya dan beban kerja di Wilayah.
**Pertimbangan perilaku**
+ Jika Anda memilih untuk mengatur Wilayah keikutsertaan, kami menyarankan agar Anda tidak menonaktifkan (memilih keluar dari) Wilayah keikutsertaan yang diatur, karena hal itu dapat menyebabkan kegagalan beban kerja Anda. AWS Control Tower tidak mengizinkan penonaktifan Wilayah yang diatur dari dalam konsol AWS Control Tower, tetapi pastikan Anda tidak menonaktifkan Wilayah yang diatur dari sumber di luar AWS Control Tower, seperti konsol AWS Penagihan atau SDK. AWS
+ Ketika AWS Control Tower memperluas tata kelola ke Wilayah keikutsertaan, AWS akan mengaktifkan (opts-in) ke Wilayah di semua akun anggota. Saat Anda menghapus Wilayah dari tata kelola, AWS Control Tower tidak menonaktifkan (memilih keluar dari) Wilayah di akun anggota.
+ Selama pembatalan pemilihan Wilayah, AWS Control Tower melewatkan penghapusan sumber daya dari Wilayah keikutsertaan jika Wilayah tersebut dinonaktifkan secara manual untuk akun dari sumber di luar AWS Control Tower, seperti konsol AWS Penagihan atau SDK. AWS Kami menyarankan Anda menghapus sumber daya dari Wilayah yang telah dinonaktifkan, atau Anda mungkin menerima biaya penagihan tak terduga untuk sumber daya tersebut.
+ Jika landing zone Anda dinonaktifkan, AWS Control Tower membersihkan sumber daya di semua Wilayah yang diatur, termasuk Wilayah keikutsertaan. Namun, AWS Control Tower tidak menonaktifkan Wilayah keikutsertaan. Anda dapat menonaktifkan Wilayah keikutsertaan sebagai langkah tambahan setelah dinonaktifkan.
+ Jika Wilayah asal Anda adalah Region keikutsertaan, dan jika Anda ingin mendaftarkan akun yang ada sebagai akun Arsip Log dan Audit, Anda harus mengaktifkan Region opt-in secara manual sebelum dapat memilihnya sebagai Wilayah asal untuk landing zone Anda. Lihat [Mengaktifkan Wilayah](https://docs.aws.amazon.com//general/latest/gr/rande-manage.html#rande-manage-enable).
+ Jika AWS Control Tower disiapkan dengan Wilayah keikutsertaan sebagai Wilayah asal Anda, dan jika Anda mengunjungi layanan AWS Control Tower dari AWS konsol di Wilayah lain mana pun, konsol tidak mengarahkan Anda secara otomatis ke Wilayah asal.
+ API yang mendasarinya memiliki batas kapasitas, yang dapat meningkatkan latensi dari beberapa menit menjadi beberapa jam, tergantung pada jumlah Wilayah, akun, dan beban layanan. Sebagai praktik terbaik, keikutsertaan hanya untuk orang-orang di Wilayah AWS mana Anda akan menjalankan beban kerja, dan ikut serta dalam satu Wilayah pada satu waktu.
**Batasan penting untuk tata kelola dan akun**
+ Jika 16 Wilayah komersial atau lebih tempat AWS Control Tower tersedia diatur, termasuk Wilayah keikutsertaan, batas atas jumlah akun per unit organisasi (OU), dikurangi, saat mendaftarkan OU. Untuk informasi selengkapnya, lihat [Batasan berdasarkan AWS layanan yang mendasarinya](https://docs.aws.amazon.com/controltower/latest/userguide/region-stackset-limitations.html).
# Konfigurasikan wilayah tolak kontrol
AWS Control Tower menawarkan dua kontrol penolakan Wilayah. Satu kontrol,`GRREGIONDENY`, ketika diaktifkan, berlaku untuk seluruh landing zone. Kontrol lain,`CTMULTISERVICEPV1`, ketika diaktifkan, dapat diterapkan ke spesifik OUs yang Anda tentukan. Untuk informasi selengkapnya, lihat [Tolak akses AWS berdasarkan kontrol penolakan yang diminta Wilayah AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html) [dan Wilayah yang diterapkan pada OU](https://docs.aws.amazon.com/controltower/latest/controlreference/ou-region-deny.html).
**Pertimbangan tentang Wilayah menolak kontrol untuk landing zone**
Wilayah menolak kontrol, [https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)unik, karena berlaku untuk landing zone secara keseluruhan, bukan untuk OU tertentu. Untuk mengonfigurasi kontrol penolakan wilayah, buka halaman **pengaturan zona pendaratan** dan pilih **Ubah pengaturan**.
+ Pengaturan ini dapat diubah di lain waktu.
+ Saat diaktifkan, kontrol ini berlaku untuk semua yang terdaftar OUs.
+ Kontrol ini tidak dapat dikonfigurasi untuk individu OUs.
**catatan**
Sebelum Anda mengaktifkan Wilayah tolak kontrol, pastikan bahwa Anda tidak memiliki sumber daya yang ada di Wilayah ini, karena Anda tidak akan memiliki akses ke sumber daya Anda setelah Anda menerapkan kontrol. Saat kontrol diaktifkan, Anda tidak akan dapat menyebarkan sumber daya di Wilayah yang ditolak.
Ketika Anda mengaktifkan kontrol, itu berlaku untuk semua terdaftar, tingkat atas OUs dalam hierarki Anda, dan itu diwarisi oleh yang OUs lebih rendah dalam rantai. Saat Anda menghapus kontrol, kontrol akan dihapus pada semua Wilayah yang terdaftar OUs dan tidak diatur di AWS Control Tower tetap dalam status **Tidak diatur**, dan Anda dapat menerapkan sumber daya di Wilayah di luar ketersediaan AWS Control Tower.
**Pengecualian**
Anda tidak dapat menolak akses ke Wilayah asal Anda. AWS Layanan global tertentu, seperti IAM dan AWS Organizations, dibebaskan dari Wilayah menolak kontrol. Untuk mempelajari lebih lanjut, lihat [Menolak akses AWS berdasarkan permintaan Wilayah AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html).
+ Nama kontrol penuh: **Tolak akses AWS berdasarkan AWS Wilayah yang diminta**
+ Deskripsi kontrol: Melarang akses ke operasi yang tidak terdaftar di layanan global dan regional di luar Wilayah yang ditentukan.
+ Ini adalah kontrol elektif dengan panduan pencegahan.
Untuk melihat template SCP kontrol penolakan Wilayah, lihat [Tolak akses AWS berdasarkan permintaan Wilayah AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html) dalam *referensi AWS Control Tower Control*. AWS Control Tower SCP mirip dengan [SCP untuk AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region), tetapi tidak identik.
Anda dapat menentukan titik akhir layanan Regional pada [halaman Layanan Regional](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services).
## Pertimbangan untuk Wilayah Tingkat OU menolak kontrol
Pertimbangan utama tentang kontrol penolakan Wilayah OU-level adalah untuk menentukan bagaimana ia akan berinteraksi dengan landing zone Region deny control, jika keduanya diaktifkan. Untuk informasi selengkapnya, lihat [Kontrol penolakan wilayah yang diterapkan pada OU](https://docs.aws.amazon.com/controltower/latest/controlreference/ou-region-deny.html).
Anda juga mungkin ingin meninjau [Konfigurasi wilayah tolak kontrol](https://docs.aws.amazon.com//controltower/latest/userguide/region-deny.html).