AWS 区域 在您的账户中启用或禁用 - AWS 账户管理
地区可用性参考启用和禁用区域之前的注意事项处理时间和请求限制为独立账户启用或禁用区域在组织中启用或禁用区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 区域 在您的账户中启用或禁用

AWS 区域是世界上 AWS 有多个可用区的物理位置。可用区由一个或多个独立 AWS 的数据中心组成,每个数据中心都具有冗余电源、网络和连接,位于不同的设施中。这意味着每个区域在物理上 AWS 区域 都是孤立的,并且独立于其他区域。区域提供容错能力、稳定性和弹性,还可以减少延迟。在离最终用户 AWS 区域 更近的地方运行工作负载可以提高性能并降低延迟。有关可用区域和即将推出区域的地图,请参阅 区域和可用区。要详细了解您的工作负载 AWS 区域 的弹性架构,请访问AWS 多区域基础知识。

AWS 区域 账户可用性大致分为两类:

  • 默认区域-在 2019 年 3 月 20 日之前推出的区域默认处于启用状态。账户激活后,您可以立即在这些默认区域创建和管理资源。无法启用或禁用默认区域。

  • 选择加入区域 — 2019 年 3 月 20 日之后推出的区域默认处于禁用状态,被称为选择加入区域。禁用的选择加入区域不会显示在控制台导航栏中,在启用这些区域之前,您无法使用这些区域来创建工作负载。要使用这些可选区域,您必须先在您的 AWS 账户区域中启用它们。启用可选区域后,您可以在导航栏中选择该区域,然后在该区域创建和管理资源。要为您的独立账户启用可选区域,请参阅为独立账户启用或禁用区域;要为成员账户启用可选区域,请参阅。在组织中启用或禁用区域

当您注册时 AWS 账户,会根据您的联系地址所在的国家/地区为您 AWS 推荐一个可选区域。拥有 AWS 选择加入区域的国家/地区的买家会在 “联系信息” 页面上看到一条建议,要求在该国家/地区启用选择加入区域。在既有选择加入地区又有默认区域的国家/地区(例如印度、澳大利亚或加拿大)的客户,如果选择加入区域比默认区域更接近他们,他们会看到选择加入地区的建议。账户激活后,您可以在账户中启用其他 AWS 选择加入区域,也可以选择禁用您在注册期间启用的选择加入区域。

创建时 AWS 账户,系统会自动将您的 IAM 数据和证书配置为适用于所有默认区域,从而允许具有适当权限的根用户和 IAM 身份使用其现有证书访问这些区域中的 AWS 服务。 AWS 默认情况下,选择加入区域处于禁用状态,而且 IAM 数据和证书最初在这些区域不可用,这会阻止访问该区域中的 AWS 服务。当您选择启用可选区域时,会将您的 IAM 数据和证书 AWS 传播到该区域。传播完成并启用可选区域后,根用户和 IAM 身份即可使用他们在默认区域中使用的相同 IAM 凭证访问新启用的选择加入区域中的 AWS 服务。

当您禁用可选区域时,您的 IAM 凭证将被停用,并且您将失去对该选择加入区域中资源的 IAM 访问权限。禁用可选区域不会删除该区域中的资源,该禁用的选择加入区域中的资源(如果有)费用将继续按标准费率累计。

AWS 将区域分组为分区。每个区域恰好位于一个分区中,每个分区都有一个或多个区域。分区具有独立的 AWS Identity and Access Management (IAM) 实例,在不同分区中的区域之间提供了硬边界。 AWS 商业区域位于aws分区中,中国的区域位于分区aws-cn中 AWS GovCloud (US) ,区域位于分区aws-us-gov中。根据您创建的分区 AWS 账户,可以在该分区 AWS 区域 中使用。

  • aws分区中的账户可让您访问商业分区中的多个区域,这样您就可以在满足您要求的位置启动 AWS 资源。例如,您可能希望在欧洲启动 Amazon EC2 实例,以便更接近欧洲客户或满足法律要求。

  • aws-us-gov分区中的账户为您提供访问 AWS GovCloud (美国西部)地区和 AWS GovCloud (美国东部)地区的权限。有关更多信息,请参阅 AWS GovCloud (US)

  • aws-cn分区中的账户仅允许您访问北京和宁夏区域。有关更多信息,请参阅 中国的 Amazon Web Services

地区可用性参考

下表 AWS 区域 按可用性类型列出。默认区域是自动启用的,无法禁用,而选择加入区域必须先手动启用,然后才能使用:

Opt-in Regions

以下区域是可选区域,必须先启用,然后才能使用:

名称 代码 状态
非洲(开普敦) af-south-1 GA
亚太地区(香港) ap-east-1 GA
亚太地区(海得拉巴) ap-south-2 GA
亚太地区(雅加达) ap-southeast-3 GA
亚太地区(墨尔本) ap-southeast-4 GA
加拿大西部(卡尔加里) ca-west-1 GA
欧洲(苏黎世) eu-central-2 GA
欧洲地区(米兰) eu-south-1 GA
欧洲地区(西班牙) eu-south-2 GA
欧洲地区(巴黎) eu-west-3 GA
以色列(特拉维夫) il-central-1 GA
中东(阿联酋) me-central-1 GA
中东(巴林) me-south-1 GA
Default Regions

默认情况下,以下区域处于启用状态,无法禁用:

名称 代码
美国东部(弗吉尼亚州北部) us-east-1
美国东部(俄亥俄州) us-east-2
美国西部(加利福尼亚北部) us-west-1
美国西部(俄勒冈) us-west-2
亚太地区(东京) ap-northeast-1
亚太地区 (首尔) ap-northeast-2
亚太地区(大阪) ap-northeast-3
亚太地区(孟买) ap-south-1
亚太地区(新加坡) ap-southeast-1
亚太地区(悉尼) ap-southeast-2
加拿大(中部) ca-central-1
欧洲地区(法兰克福) eu-central-1
欧洲地区(斯德哥尔摩) eu-north-1
欧洲地区(爱尔兰) eu-west-1
欧洲地区(伦敦) eu-west-2
欧洲(巴黎) eu-west-3
南美洲(圣保罗) sa-east-1

有关区域名称及其相应代码的列表,请参阅《AWS 一般参考指南》中的区域端点。有关每个区域(不含终端节点)支持的 AWS 服务列表,请参阅AWS 区域服务列表

重要

AWS 建议您使用区域 AWS Security Token Service (AWS STS) 终端节点而不是全球终端节点来减少延迟。来自区域 AWS STS 终端节点的会话令牌在所有 AWS 区域都有效。如果您使用区域 AWS STS 终端节点,则无需进行任何更改。但是,来自全局 AWS STS 终端节点 (https://sts.amazonaws.com) 的会话令牌仅在 AWS 区域 您启用或默认启用的情况下才有效。如果您打算为账户启用新区域,则可以使用来自区域 AWS STS 终端节点的会话令牌,也可以激活全球 AWS STS 终端节点来发放全部有效的会话令牌 AWS 区域。在所有区域中均有效的会话令牌会更大。如果您存储会话令牌,这些较大的令牌可能会影响您的系统。有关 AWS STS 终端节点如何与 AWS 区域配合使用的更多信息,请参阅AWS STS 在 AWS 区域中管理

启用和禁用区域之前的注意事项

在启用或禁用区域之前,务必考虑以下几点:

  • 无论区域@@ 选择状态如何,您都可以使用跨区域推理地理位置中的所有目标区域 — 某些 AWS 生成式 AI 服务,包括 Amazon Bedrock(参见通过跨区域推理提高吞吐量)和 Amazon Q Developer(参见 Amazon Q Developer 中的跨区域处理)使用跨区域推理。如果您使用这些服务,他们会自动选择您所选 AWS 区域地理区域内的最佳区域,包括您尚未为资源和 IAM 数据启用的区域。这通过最大限度地提高可用计算和模型可用性来改善客户体验。

  • 您可以使用 IAM 权限来控制对区域的访问权限 — AWS Identity and Access Management (IAM) 包括四种权限,允许您控制哪些用户可以启用、禁用、获取和列出区域。有关更多信息,请参阅《IAM 用户指南》中的 AWS:允许启用和禁用 AWS 区域。您也可以使用aws:RequestedRegion条件键来控制对 AWS 服务 中的访问权限 AWS 区域。

  • 启用和禁用区域是免费的 — 启用或禁用区域不收取任何费用。您只需为在新区域中创建的资源付费。

  • Amazon EventBridge 集成 — 您可以在中订阅区域选项状态更新通知。 EventBridge EventBridge系统将为每次状态更改创建通知,允许客户自动执行工作流程。

  • Expressive Region-Opt 状态 — 由于选择加入区域的 enabling/disabling 异步性质,区域选择请求有四种潜在状态:

    • ENABLING

    • DISABLING

    • ENABLED

    • DISABLED

    当选择加入或选择退出处于 ENABLINGDISABLING 状态时,无法将其取消。否则将抛出 ConflictException。已完成(启用/禁用)区域选择请求取决于关键底层服务的配置。 AWS 尽管状态为,但有些 AWS 服务可能无法立即使用ENABLED

处理时间和请求限制

启用或禁用区域时,请注意以下时间和请求限制:

  • 在某些情况下启用一个区域需要几分钟到几小时的时间 - 在启用一个区域时, AWS 将执行操作以准备您在该区域内的账户,例如将您的 IAM 资源分发给该区域。对大多数账户而言,此过程需要几分钟时间,但有时可能需要几小时。在此过程完成之前,您无法使用区域。

  • 禁用区域并非总是立即可见 - 禁用区域后,服务和控制台可能会暂时可见。禁用区域可能需要几分钟到几小时才能生效。

  • 一个账户在任何给定时间可以有 6 个处理中的区域选择请求 - 一个请求等于为一个账户启用或禁用一个特定区域。

  • O@@ rganizations 可以在给定时间在整个 AWS 组织中打开 50 个区域选择请求 — 管理账户在任何时候都可能有 50 个待处理的请求等待其组织完成。一个请求等于为一个账户启用或禁用一个特定区域。

为独立账户启用或禁用区域

要更新您 AWS 账户 有权访问的区域,请执行以下过程中的步骤。以下 AWS Management Console 过程始终仅在独立环境中起作用。您只能使用 AWS Management Console 查看或更新用于调用该操作的账户中的可用区域。

AWS Management Console
为独立版启用或禁用区域 AWS 账户
最小权限

要执行下列程序中的步骤,IAM 用户或角色必须具有以下权限:

  • account:ListRegions(需要查看列表 AWS 区域 以及它们当前处于启用还是禁用状态)。

  • account:EnableRegion

  • account:DisableRegion

  1. 以 AWS 账户根用户 或的AWS Management Console身份登录,以具有最低权限的 IAM 用户或角色的身份登录。

  2. 在窗口的右上角,选择您的账户名称,然后选择账户

  3. 账户页面,向下滚动至 AWS 区域 部分。

  4. 选择要启用或禁用的区域,然后选择所需的操作 “用” 或 “禁用”。您将看到确认提示。

  5. 如果选择了启用选项,请查看显示的文本,然后选择启用区域

    如果您选择了 “禁用” 选项,请查看显示的文本,键入disable进行确认,然后选择 “禁用区域”。

    启用可选区域后,您可以从区域导航栏中选择该区域。有关选择区域的步骤,请参阅从导航栏中选择区域;有关账户中特定区域的控制台设置,请参阅中的设置默认区域 AWS Management Console。 AWS Management Console

AWS CLI & SDKs

您可以使用以下 AWS CLI 命令或其 AWS SDK 等效操作启用、禁用、读取和列出区域选择状态:

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

最小权限

要执行下列步骤,您必须拥有映射到此操作的权限:

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

如果使用这些单独权限,就可以授予某些用户仅读取区域选择信息的权限,而授予其他用户同时读取和写入的权限。

以下示例为组织的指定成员账户启用了区域。所用凭证必须来自组织管理账户或账户管理委托管理员账户。

请注意,您也可以使用相同的命令禁用某个区域,然后将 enable-region 替换为 disable-region

aws account enable-region --region-name af-south-1

如果成功,此命令不会产生任何输出。

该操作是异步的。以下命令可以使您查看请求的最新状态。

aws account get-region-opt-status --region-name af-south-1
  {
    "RegionName": "af-south-1",
    "RegionOptStatus": "ENABLING"
  }

在组织中启用或禁用区域

要更新您的成员账户的启用区域 AWS Organizations,请执行以下过程中的步骤。

注意

AWS Organizations 托管策略AWSOrganizationsReadOnlyAccessAWSOrganizationsFullAccess已更新,提供访问 AWS 账户管理的权限, APIs 以便您可以从 AWS Organizations 控制台访问账户数据。要查看更新的托管策略,请参阅 Organizati ons AWS 托管策略的更新

注意

在通过管理账户或组织中的委托管理员账户为成员账户执行这些操作以之前,您必须:

  • 启用组织中的所有功能,管理成员账户的设置。这样管理员就可以控制成员账户。这是在创建组织时默认设置的。如果您的组织设置为仅整合账单,而您要启用所有功能,请参阅在组织中启用所有功能

  • 为 AWS 账户管理服务启用可信访问权限。要进行设置,请参阅为 AWS 账户管理启用可信访问权限

AWS Management Console
在组织中启用或禁用区域

  1. 使用贵组织的管理账户凭据登录 AWS Organizations 控制台。

  2. AWS 账户 页面上,选择要更新的账户。

  3. 选择账户设置选项卡。

  4. 区域下,选择要启用或禁用的区域。

  5. 选择操作,然后选择启用禁用选项。

  6. 如果选择了启用选项,请查看显示的文本,然后选择启用区域

  7. 如果选择了禁用选项,请查看显示的文本,键入 disable 进行确认,然后选择禁用区域”。

AWS CLI & SDKs

您可以使用以下 AWS CLI 命令或其 AWS SDK 等效操作启用、禁用、读取和列出组织成员账户的区域选择状态:

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

最小权限

要执行下列步骤,您必须拥有映射到此操作的权限:

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

如果使用这些单独权限,就可以授予某些用户仅读取区域选择信息的权限,而授予其他用户同时读取和写入的权限。

以下示例为组织的指定成员账户启用了区域。所用凭证必须来自组织管理账户或账户管理委托管理员账户。

请注意,您也可以使用相同的命令禁用某个区域,然后将 enable-region 替换为 disable-region

aws account enable-region --account-id 123456789012 --region-name af-south-1

如果成功,此命令不会产生任何输出。

注意

一个组织在给定时间最多只能有 20 个区域请求。否则,您会收到 TooManyRequestsException

该操作是异步的。以下命令可以使您查看请求的最新状态。

aws account get-region-opt-status --account-id 123456789012 --region-name af-south-1
  {
    "RegionName": "af-south-1",
    "RegionOptStatus": "ENABLING"
  }