As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Dicas administrativas para configuração da zona de pouso Aqui estão algumas dicas para configurar sua zona de pouso. + A AWS região onde você trabalha mais deve ser sua região de origem. + Configure a zona de pouso e implante as contas do Account Factory de dentro de sua região de origem. + Se você estiver investindo em várias AWS regiões, certifique-se de que seus recursos de nuvem estejam na região em que você fará a maior parte do trabalho administrativo da nuvem e executará suas cargas de trabalho. + Ao manter suas cargas de trabalho e registros na mesma AWS região, você reduz o custo associado à movimentação e recuperação de informações de registro entre regiões. + A auditoria e outros buckets do Amazon S3 são criados na mesma AWS região a partir da qual você executa o AWS Control Tower. Recomendamos que você não mova esses buckets. + É possível criar seus próprios buckets de log na conta de arquivamento de logs, mas não é recomendado. Certifique-se de deixar os buckets criados pelo AWS Control Tower. + Seus logs de acesso ao Amazon S3 devem estar na mesma AWS região dos buckets de origem. + Durante o lançamento, os endpoints do AWS Security Token Service (STS) devem ser ativados na conta de gerenciamento para todas as regiões suportadas pelo AWS Control Tower. Caso contrário, a execução pode falhar no meio do processo de configuração. + *AWS Control Tower permite a marcação apenas de controles habilitados.* Para obter mais informações, consulte [Marcação de controle do AWS Control Tower APIs](2023-all.md#control-tagging-apis). + Recomendamos habilitar a autenticação multifator (MFA) para cada conta gerenciada pelo AWS Control Tower. + Como alternativa, você pode usar o recurso de gerenciamento de acesso AWS raiz, que permite que ações raiz sejam executadas nas contas dos membros e elimina a necessidade de ativar o MFA para cada conta. Para obter mais informações, consulte [Gerenciamento centralizado do acesso raiz para clientes que usam AWS Organizations](https://aws.amazon.com/blogs/aws/centrally-managing-root-access-for-customers-using-aws-organizations/). **Considerações sobre VPCs** + A VPC criada pela AWS Control Tower é limitada àquela Regiões da AWS em que a AWS Control Tower está disponível. Alguns clientes com workloads que são executadas em regiões incompatíveis podem querer desabilitar a VPC criada com a conta do Account Factory. Eles podem preferir criar uma VPC usando o portfólio do Service Catalog ou criar uma VPC personalizada que seja executada somente nas regiões necessárias. + A VPC criada pelo AWS Control Tower não é a mesma que a VPC padrão criada para todas as Contas da AWS. Nas regiões compatíveis com o AWS Control Tower, o AWS Control Tower exclui a VPC padrão ao criar a VPC do AWS Control Tower. + Se você excluir sua VPC padrão em sua AWS região de origem, é melhor excluí-la em todas as outras AWS regiões.