Habilitar ou desabilitar Regiões da AWS na conta
Uma Região da AWS é um local físico no mundo onde a AWS apresenta várias zonas de disponibilidade. As zonas de disponibilidade consistem em um ou mais data centers da AWS discretos, cada um com energia, rede e conectividade redundantes, hospedados em instalações separadas. Isso significa que cada Região da AWS é independente e isolada das outras Regiões. As regiões fornecem tolerância a falhas, estabilidade e resiliência e também podem reduzir a latência. Executar workloads em uma Região da AWS mais próxima dos usuários finais pode melhorar o desempenho e diminuir a latência. Para obter um mapa das regiões disponíveis e futuras, consulte Regiões e zonas de disponibilidade
As Regiões da AWS geralmente se enquadram em duas categorias de disponibilidade para contas:
-
Regiões padrão: regiões lançadas antes de 20 de março de 2019 são habilitadas por padrão. Você pode criar e gerenciar recursos nessas regiões padrão imediatamente após a ativação da sua conta. As regiões padrão não podem ser habilitadas ou desabilitadas.
-
Regiões de aceitação: regiões lançadas após 20 de março de 2019 são desabilitadas por padrão e são chamadas regiões de aceitação. As regiões de aceitação desativadas não são mostradas na barra de navegação do console e você não pode usar essas regiões para criar workloads até que estejam habilitadas. Para usar essas regiões de aceitação, você deverá primeiro habilitá-las em suaConta da AWS. Depois de habilitar uma região de aceitação, será possível selecionar essa região na barra de navegação e criar e gerenciar recursos nessa região. Para habilitar a região de aceitação para suas contas autônomas, consulte Habilitar ou desabilitar região para contas autônomas e para habilitar a região de aceitação para suas contas de membros, consulte Habilitar ou desabilitar uma região na organização.
Quando você se inscreve em uma Conta da AWS, a AWS recomenda uma região de aceitação para você com base no país do seu endereço de contato. Clientes em um país com uma região de aceitação da AWS veem uma recomendação na página de informações de contato para habilitar a região de aceitação nesse país. Clientes em um país com uma região de aceitação e uma região padrão, como Índia, Austrália ou Canadá, recebem uma recomendação para selecionar a região de aceitação se a região de aceitação estiver mais próxima deles do que a região padrão. Depois que uma conta é ativada, é possível habilitar outras regiões de aceitação da AWS em sua conta ou optar por desabiltar a região de aceitação que você habilitou durante a inscrição.
Quando você cria uma Conta da AWS, seus dados e credenciais do IAM são configurados automaticamente para funcionar em todas as regiões padrão, permitindo que o usuário-raiz e as identidades do IAM com as permissões apropriadas acessem os serviços AWS nessas regiões usando suas credenciais existentes. As regiões de aceitação da AWS são desabilitadas por padrão, e os dados e credenciais do IAM não estão disponíveis inicialmente nessas regiões, o que impede o acesso aos serviços da AWS nessa região. Quando você escolhe habilitar uma região de aceitação, a AWS propaga seus dados e credenciais do IAM para essa região. Depois que a propagação for concluída e a região de aceitação estiver habilitada, o usuário-raiz e as identidades do IAM poderão acessar os serviços da AWS na região de aceitação recém habilitada usando as mesmas credenciais do IAM que usam nas regiões padrão.
Quando você desabilita uma região de aceitação, suas credenciais do IAM são desabilitadas e você perde o acesso do IAM aos recursos dessa região. A desabilitação de uma região de aceitação não exclui os recursos dessa região e as cobranças por recursos (se houver) nessa região de aceitação desabilitada continuam sendo acumuladas na taxa padrão.
A AWS agrupa regiões em partições. Cada região está em exatamente uma partição, e cada partição tem uma ou mais regiões. As partições têm instâncias independentes do AWS Identity and Access Management (IAM) e fornecem um limite rígido entre regiões em partições diferentes. As regiões comerciais da AWS estão na partição aws, as regiões na China estão na partição aws-cn e as regiões AWS GovCloud (US) estão na partição aws-us-gov. Dependendo da partição em que você criou sua Conta da AWS, poderá usar as Regiões da AWS dentro dessa partição.
-
Uma conta na partição
awsfornece acesso a várias regiões na partição comercial para que você possa iniciar recursos da AWS em locais que atendam às suas necessidades. Por exemplo, talvez você queira executar instâncias do Amazon EC2 na Europa para estar mais próximo dos seus clientes europeus ou para cumprir requisitos jurídicos. -
Uma conta partição
aws-us-govfornece acesso somente à região GovCloud (Oeste dos EUA) da AWS e à região GovCloud (Leste dos EUA) da AWS. Para obter mais informações, consulte AWS GovCloud (US). -
Uma conta na partição
aws-cnfornece acesso somente às regiões Pequim e Ningxia. Para obter mais informações, consulte Amazon Web Services na China.
Tópicos
Referência de disponibilidade regional
As tabelas a seguir listam as Regiões da AWS por tipo de disponibilidade. As regiões padrão são habilitadas automaticamente e não podem ser desabilitadas, enquanto as regiões de aceitação devem ser habilitadas manualmente antes que você possa usá-las:
Para obter uma lista de nomes de região e seus respectivos códigos, consulte Regional endpoints no AWS General Reference Guide. Para obter uma lista dos serviços da AWS compatíveis em cada região (sem endpoints), consulte a AWS Regional Services List
Importante
A AWS recomenda o uso de endpoints regionais do AWS Security Token Service (AWS STS) em vez do endpoint global para reduzir a latência. Tokens de sessão de endpoints regionais do AWS STS são válidos em todas as regiões da AWS. Se você usa endpoints regionais do AWS STS, não precisa fazer qualquer alteração. No entanto, os tokens de sessão do endpoint global do AWS STS (https://sts.amazonaws.com) só são válidos nas Regiões da AWS que você habilita ou que são habilitadas por padrão. Se você pretender habilitar uma nova região para a conta, poderá usar tokens de sessão de endpoints regionais do AWS STS ou ativar o endpoint global do AWS STS para emitir tokens de sessão que sejam válidos em todas as Regiões da AWS. Tokens de sessão válidos em todas as regiões são maiores. Se você armazenar tokens de sessão, esses tokens maiores poderão afetar seus sistemas. Para obter mais informações sobre como os endpoints do AWS STS funcionam com as regiões da AWS, consulte Gerenciar o AWS STS em uma região da AWS.
Considerações antes de habilitar e desabilitar regiões
Antes de habilitar ou desabilitar uma região, é importante considerar o seguinte:
-
Você pode usar todas as regiões de destino em uma geografia de inferência entre regiões, independentemente do status de opção por região. Alguns serviços de IA generativa da AWS, incluindo o Amazon Bedrock (consulte Increase throughput with cross-Region inference) e o Amazon Q Developer (consulte Cross-region processing in Amazon Q Developer) usam inferência entre regiões. Se você usa esses serviços, eles selecionam automaticamente a Região da AWS ideal, incluindo as regiões que você não habilitou para recursos e dados do IAM, dentro da geografia escolhida. Isso melhora a experiência do cliente ao maximizar a disponibilidade da computação e do modelo disponível.
-
Você pode usar as permissões do IAM para controlar o acesso às regiões: o AWS Identity and Access Management (IAM) inclui quatro permissões que permitem que você controle quais usuários podem habilitar, desabilitar, obter e listar regiões. Para obter mais informações, consulte AWS: permite habilitar e desabilitar Regiões da AWS no Guia do usuário do IAM. Você também pode usar a chave de condição
aws:RequestedRegionpara controlar o acesso aos Serviços da AWS em uma Região da AWS. -
Habilitar e desabilitar uma região é grátis: a habilitação e desabilitação de uma região não é cobrada. Você só receberá uma cobrança pelos recursos que criar na nova região.
-
Integração com o Amazon EventBridge: você pode inscrever-se para receber notificações de atualização do status da opção de aceitação no EventBridge. Uma notificação do EventBridge será criada para cada alteração de status, permitindo que os clientes automatizem os fluxos de trabalho.
-
Status expressivo da opção de ativação ou desativação de regiões: devido à natureza assíncrona da operação de habilitar/desabilitar uma região, existem quatro possíveis status para uma solicitação de opção de ativação ou desativação de regiões:
-
ENABLING -
DISABLING -
ENABLED -
DISABLED
Você não pode cancelar uma operação de ativação ou desativação que esteja no status
ENABLINGouDISABLING. Caso contrário, umaConflictExceptionserá lançada. Uma solicitação concluída da opção de ativação ou desativação de uma região (habilitada/desabilitada) depende do provisionamento de serviços subjacentes da AWS essenciais. Poderá haver alguns serviços da AWS que não serão imediatamente utilizáveis, apesar do status serENABLED. -
Tempos de processamento e limites de solicitação
Ao habilitar ou desabilitar regiões, esteja ciente das seguintes limitações de tempo e solicitação:
-
A operação de habilitar uma região leva de alguns minutos a várias horas, em alguns casos: quando você habilita uma região, a AWS executa ações para preparar a conta nesta região, como a distribuição dos recursos do IAM para a região. Esse processo leva alguns minutos para a maioria das contas, mas pode, às vezes, levar várias horas. Você não pode usar a região até que esse processo seja concluído.
-
Desabilitar uma região nem sempre é algo imediatamente visível: os serviços e os consoles podem ficar temporariamente visíveis depois que uma região é desabilitada. A operação de desabilitar uma região pode levar de alguns minutos a várias horas para surtir efeito.
-
Uma única conta pode ter seis solicitações de opção de ativação ou desativação de regiões em andamento a qualquer momento: uma solicitação equivale a habilitar ou desabilitar uma região específica para uma conta.
-
As organizações podem ter 50 solicitações de opção de ativação ou desativação de regiões abertas em um determinado momento em toda a organização da AWS: a conta de gerenciamento pode, a qualquer momento, ter 50 solicitações abertas pendentes de conclusão para a organização. Uma solicitação equivale a habilitar ou desabilitar uma região específica para uma conta.
Habilitar ou desabilitar região para contas autônomas
Para atualizar as regiões às quais a Conta da AWS tem acesso, execute as etapas mostradas no procedimento a seguir. O procedimento do Console de gerenciamento da AWS abaixo só funciona no contexto autônomo. Você pode usar o Console de gerenciamento da AWS para visualizar ou atualizar somente as regiões disponíveis na conta que você usou para chamar a operação.
Habilitar ou desabilitar uma região na organização
Para atualizar as regiões habilitadas para as contas-membro do AWS Organizations, execute as etapas mostradas no procedimento a seguir.
nota
As políticas AWSOrganizationsReadOnlyAccess ou AWSOrganizationsFullAccess gerenciadas pelo AWS Organizations são atualizadas para fornecer permissão para acessar as APIs de Gerenciamento de Contas da AWS para que você possa acessar os dados da conta no console do AWS Organizations. Para visualizar as políticas gerenciadas atualizadas, consulte Updates to Organizations AWS managed policies.
nota
Antes de executar essas operações na conta de gerenciamento ou em uma conta de administrador delegado em uma organização para uso com contas-membro, você deve:
-
Habilitar todos os recursos na sua organização para gerenciar as configurações das contas-membro. Isso permite o controle administrativo das contas-membro. Isso é definido por padrão quando você cria sua organização. Se sua organização estiver configurada somente para faturamento consolidado e você quiser habilitar todos os recursos, consulte Enabling all features in your organization.
-
Habilite o acesso confiável para o serviço de Gerenciamento de Contas da AWS. Para configurar isso, consulte Habilitar o acesso confiável para o Gerenciamento de Contas da AWS.
