在您的账户中启用或禁用 AWS 区域
AWS 区域 是 AWS 在全球范围内拥有多个可用区的物理位置。可用区由一个或多个分散的 AWS 数据中心组成,每个数据中心都拥有独立的配套设施,其中包括冗余电源、联网和连接。这意味着每个 AWS 区域都是物理隔离的,并独立于其它区域。区域提供容错能力、稳定性和弹性,还可以减少延迟。在更接近最终用户的 AWS 区域 运行工作负载,可提升性能并降低延迟。有关可用区域和即将推出区域的地图,请参阅 区域和可用区
AWS 区域 的账户可用性大致分为两类:
-
默认区域 - 2019 年 3 月 20 日之前推出的区域默认处于启用状态。账户激活后,您可立即在这些默认区域中创建和管理资源。无法启用或禁用默认区域。
-
选择加入区域 – 2019 年 3 月 20 日后推出的区域默认处于禁用状态,称为选择加入区域。禁用的选择加入区域不会显示在控制台导航栏中,在启用前无法使用这些区域创建工作负载。要使用这些选择加入区域,您必须先在您的 AWS 账户 中启用它们。启用选择加入区域后,您可以在导航栏中选择该区域,并在该区域内创建和管理资源。要为您的独立账户启用选择加入区域,请参阅 为独立账户启用或禁用区域,要为您的成员账户启用选择加入区域,请参阅 在组织中启用或禁用区域。
当您注册时 AWS 账户,AWS 会根据您的联系地址所在的国家/地区为您推荐一个选择加入区域。在设有 AWS 选择加入区域的国家/地区,客户将在“联系人信息页面”看到启用该国家/地区的选择加入区域的推荐提示。在同时设有选择加入区域和默认区域的国家/地区(如印度、澳大利亚或加拿大),若选择加入区域距离客户更近,则会显示选择加入区域的推荐提示。账户激活后,您可在账户中启用其他 AWS 选择加入区域,或选择停用注册时启用的选择加入区域。
创建 AWS 账户 时,您的 IAM 数据和凭证会自动配置为在所有默认区域中生效,从让具有相应权限的根用户和 IAM 身份可以使用现有凭证来访问这些区域中的 AWS 服务。AWS 选择加入区域默认处于禁用状态,IAM 数据和凭证最初在这些区域不可用,从而防止对该区域中的 AWS 服务的访问。当您选择启用选择加入区域时,AWS 会将您的 IAM 数据和凭证传播到该区域。传播完成且选择加入区域启用后,根用户和 IAM 身份即可使用与默认区域相同的 IAM 凭证访问新启用的选择加入区域中的 AWS 服务。
当您禁用某个选择加入区域时,您的 IAM 凭证将失效,且您将失去对该区域内资源的 IAM 访问权限。禁用选择加入区域不会删除该区域内的资源,且被禁用的选择加入区域内的资源(如有)的费用仍按标准费率持续计费。
AWS 将区域划分为多个分区。每个区域仅属于一个分区,而每个分区包含一个或多个区域。分区拥有独立的 AWS Identity and Access Management (IAM) 实例,并在不同分区间的区域之间建立硬性边界。AWS 商业区域位于 aws 分区,中国区域位于 aws-cn 分区,而 AWS GovCloud (US) 区域则位于 aws-us-gov 分区。根据您创建 AWS 账户 账户所在的分区,您可在该分区内使用相应的 AWS 区域 区域。
-
aws分区中的账户可让您可以访问商业分区中的多个区域,因此您可在满足您要求的位置启动 AWS 资源。例如,您可能希望在欧洲区域启动 Amazon EC2 实例以更多符合欧洲客户的要求或满足法律要求。 -
aws-us-gov分区中的账户让您可以访问 AWS GovCloud(美国西部)区域和 AWS GovCloud(美国东部)区域。有关更多信息,请参阅 AWS GovCloud (US)。 -
aws-cn分区中的账户只能让您访问北京和宁夏区域。有关更多信息,请参阅 中国的 Amazon Web Services。
区域可用性参考
下表按可用性类型列出了 AWS 区域。默认区域会自动启用且无法禁用,而选择性加入域必须手动启用后才能使用:
有关区域名称及其相应代码的列表,请参阅《AWS 一般参考指南》中的区域端点。有关每个区域(不带端点)支持的 AWS 服务的列表,请参阅 AWS 区域性服务列表
重要
AWS 建议使用区域性 AWS Security Token Service (AWS STS) 端点来减小延迟,而不是使用全局端点。来自区域 AWS STS 端点的会话令牌在所有 AWS 区域中都有效。如果使用区域性 AWS STS 端点,则无需进行任何更改。但是,来自全局 AWS STS 端点 (https://sts.amazonaws.com) 的会话令牌仅适用于您所启用或默认启用的 AWS 区域。如果打算为账户启用新的区域,您可以使用来自区域性 AWS STS 端点的会话令牌或激活全局 AWS STS 端点来发放适用于所有 AWS 区域的会话令牌。适用于所有区域的会话令牌较大。如果存储会话令牌,这些较大的令牌可能会影响您的系统。有关 AWS STS 端点如何使用 AWS 区域的更多信息,请参阅管理 AWS 区域中的 AWS STS。
启用和禁用区域之前的注意事项
在启用或禁用区域之前,务必考虑以下几点:
-
在跨区域推理地理范围内,您可以使用所有目标区域,无论其区域选择状态如何——某些 AWS 生成式人工智能服务(包括 Amazon Bedrock(参见通过跨区域推理提高吞吐量)和 Amazon Q Developer(参见 Amazon Q Developer 中的跨区域处理))均采用跨区域推理。如果您使用这些服务,它们会自动在您选定的地理区域内选择最优 AWS 区域——包括您尚未为资源和 IAM 数据启用的区域。这会最大限度地提高计算资源和模型的可用性,进而改善客户体验。
-
您可以使用 IAM 权限控制区域的访问权限 - AWS Identity and Access Management(IAM)包含四个可让您控制哪些用户可以启用、禁用、获取和列出区域的权限。有关更多信息,请参阅《IAM 用户指南》中的 AWS:允许启用和禁用 AWS 区域。您还可以使用
aws:RequestedRegion条件键控制对 AWS 区域中的 AWS 服务 的访问权限。 -
启用和禁用区域是免费的 - 启用或禁用区域均不收取任何费用。您只需为在新区域中创建的资源付费。
-
Amazon EventBridge 集成 - 您可以在 EventBridge 中订阅区域选择状态更新通知。每次状态变化时将创建 EventBridge 通知,这样客户就可以自动执行工作流程。
-
直观的区域选择状态 - 由于启用/禁用选择加入区域的异步性质,因此区域选择请求有四种潜在状态:
-
ENABLING -
DISABLING -
ENABLED -
DISABLED
当选择加入或选择退出处于
ENABLING或DISABLING状态时,无法将其取消。否则将抛出ConflictException。已完成(启用/禁用)区域选择请求取决于关键底层 AWS 服务的配置。尽管有些 AWS 服务的状态为ENABLED,但可能无法立即使用。 -
处理时间和请求限制
启用或禁用区域时,请注意以下时间限制和请求限制:
-
在某些情况下启用一个区域需要几分钟到几小时的时间 - 在启用一个区域时,AWS 将执行操作以准备您在该区域内的账户,例如将您的 IAM 资源分发给该区域。对大多数账户而言,此过程需要几分钟时间,但有时可能需要几小时。在此过程完成之前,您无法使用区域。
-
禁用区域并非总是立即可见 - 禁用区域后,服务和控制台可能会暂时可见。禁用区域可能需要几分钟到几小时才能生效。
-
一个账户在任何给定时间可以有 6 个处理中的区域选择请求 - 一个请求等于为一个账户启用或禁用一个特定区域。
-
整个 AWS 组织可以在给定时间有 50 个开启的区域选择请求 - 管理账户可以在任何时间点有 50 个等待为其组织完成的请求。一个请求等于为一个账户启用或禁用一个特定区域。
为独立账户启用或禁用区域
要更新 AWS 账户有权访问的区域,请执行以下流程中的步骤。以下 AWS 管理控制台流程仅在独立上下文中始终有效。可以使用 AWS 管理控制台只查看或更新操作调用账户中的可用区域。
在组织中启用或禁用区域
要更新 AWS Organizations 成员账户的启用区域,请执行以下流程中的步骤。
注意
AWS Organizations 托管策略 AWSOrganizationsReadOnlyAccess 或 AWSOrganizationsFullAccess 更新为提供访问 AWS 账户管理 API 的权限,这样您就可以从 AWS Organizations 控制台访问账户数据。要查看更新的托管策略,请参阅 Organizations AWS 托管策略的更新。
注意
在通过管理账户或组织中的委托管理员账户为成员账户执行这些操作以之前,您必须:
-
启用组织中的所有功能,管理成员账户的设置。这样管理员就可以控制成员账户。这是在创建组织时默认设置的。如果您的组织设置为仅整合账单,而您要启用所有功能,请参阅在组织中启用所有功能。
-
启用 AWS 账户管理服务可信访问权限。要进行设置,请参阅启用 AWS 账户管理可信访问权限。
