本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 激活 AWS 选择加入区域的注意事项 尽管默认情况下 AWS 区域 ,大多数区域都处于活动状态 AWS 账户,但某些区域只有在您手动选择时才会被激活。本文档将这些区域称为*选择加入区域*。相比之下,在创建后,默认处于活动状态的区域被称为*商业区域、*默认区域**,或者简称为 “*区域*”。 AWS 账户 *选择加入*一词有其历史依据。2019 年 3 月 20 日之后引入的任何 AWS 区域 均被部署为选择加入区域。在选择加入区域中,除非您选择使用该区域,否则您的账户不会在该区域内启用,并且您的身份也不会复制到该区域。通过 IAM 服务管理的所有数据均被视为身份数据,包括用户、组、角色、策略、身份提供者、其关联数据(例如 X.509 签名证书或特定于上下文的凭证)以及密码策略和账户别名等其他账户级别设置。 您可以在设置登录区过程中通过选择“选择加入区域”来自动激活这些区域。您的登录区在所有选定区域都处于活动状态。 如果您选择选择一个可选区域作为您的 AWS Control Tower 主区域,请在登录 AWS 管理控制台后,按照[启用区域](https://docs.aws.amazon.com//general/latest/gr/rande-manage.html#rande-manage-enable)中的步骤先将其激活。要从选择加入区域中引入您自己的现有日志存档和审计账户,请先手动激活该区域。 AWS 选择加入的区域包括几个可用 AWS Control Tower 的区域: + 亚太地区(香港)区域,ap-east-1 + 亚太地区(雅加达)区域,ap-southeast-3 + 欧洲地区(米兰)区域,eu-south-1 + 非洲(开普敦)区域,af-south-1 + 中东(巴林)区域,me-south-1 + 以色列(特拉维夫),il-central-1 + 中东(阿联酋)区域,me-central-1 + 欧洲(西班牙)区域,eu-south-2 + 亚太地区(海得拉巴)区域,ap-south-2 + 欧洲(苏黎世)区域,eu-central-2 + 亚太地区(墨尔本)区域,ap-southeast-4 + 加拿大西部(卡尔加里)区域,ca-west-1 + 亚太地区(泰国),ap-southeast-7 + 墨西哥(中部),mx-central-1 + 亚太地区(台北),ap-east-2 + 亚太地区(新西兰),ap-southeast-6 AWS Control Tower 提供的一些控件在选择加入区域中的运行方式与在默认区域(其他商业区域)中的运行方式不同。有关更多信息,请参阅 [控件限制](control-limitations.md)。在将工作负载部署到选择加入区域时,请记住以下注意事项。 **监管还是激活?** 请记住,监管区域是您可以从 AWS Control Tower 控制台中选择的操作,以便可以在该区域中应用控件。激活或停用选择加入区域是您可以在 AWS 控制台中选择的另一种操作,它会向您的账户开放该区域,这样您就可以在该区域中部署资源和工作负载。 **行为注意事项** + 如果您选择监管选择加入区域,建议您不要停用(选择退出)任何受监管的选择加入区域,因为这可能会导致您的工作负载失败。AWS Control Tower 不允许从 AWS Control Tower 控制台中停用受管控区域,但请确保不要从 AWS 控制塔之外的来源(例如 AWS 账单控制台或 AWS 软件开发工具包)停用受管区域。 + 当 AWS Control Tower 将监管范围扩展到选择加入区域时,它会在所有成员账户中激活(选择加入)该区域。当您从监管中移除某个区域时,AWS Control Tower 不会在成员账户中停用(选择退出)该区域。 + 在取消选择区域期间,如果选择加入的区域已为来自 AWS Control Tower 以外的来源(例如账 AWS 单控制台或软件开发工具包)的账户手动停用该区域,AWS Control Tower 将跳过从该区域移除该资源的操作。 AWS 我们建议您从已停用的区域中移除资源,否则您可能会收到这些资源的意外账单费用。 + 如果您的登录区已停用,AWS Control Tower 会清理所有受监管区域(包括选择加入区域)中的资源。但是,AWS Control Tower 不会停用选择加入区域。停用后,作为额外步骤,您可以停用选择加入区域。 + 如果您的主区域是选择加入区域,并且您打算将现有账户注册为日志存档和审计账户,则必须先手动激活选择加入区域,然后才能将其选择为登录区的主区域。请参阅[启用区域](https://docs.aws.amazon.com//general/latest/gr/rande-manage.html#rande-manage-enable)。 + 如果 AWS Control Tower 设置为可选区域作为您的主区域,并且如果您从任何其他区域的控制 AWS 台访问 AWS Control Tower 服务,则控制台不会自动将您重定向到主区域。 + 底层 API 有容量限制,这可能会将延迟从几分钟增加到数小时,具体取决于区域、账户和服务负载的数量。作为最佳实践,请仅选择将要运行工作负载的 AWS 区域 区域,并且一次只能选择加入一个区域。 **监管和账户方面的重要限制** + 如果有 16 个或更多可使用 AWS Control Tower 的商业区域(包括选择加入区域)受到监管,则在注册 OU 时,每个组织单元(OU)的账户数量上限会降低。有关更多信息,请参阅[基于底层 AWS 服务的限制](https://docs.aws.amazon.com/controltower/latest/userguide/region-stackset-limitations.html)。