本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 區域如何使用 AWS Control Tower
<a name="region-how"></a>

下列 AWS 區域支援 AWS Control Tower：
+ 美國東部 (維吉尼亞北部)
+ 美國東部 (俄亥俄) 
+ 美國西部 (奧勒岡) 
+ 加拿大 (中部) 
+ 亞太地區 (悉尼)
+ 亞太地區 (新加坡) 
+ 歐洲 (法蘭克福)
+ 歐洲 (愛爾蘭) 
+ 歐洲 (倫敦) 
+ 歐洲 (斯德哥爾摩) 
+ 亞太地區 (孟買) 
+ 亞太地區 (首爾) 
+ 亞太地區 (東京) 
+ Europe (Paris) 
+ 南美洲 (聖保羅) 
+ 美國西部 (加利佛尼亞北部) 
+ 亞太地區 (香港)
+ 亞太地區 (雅加達) 
+ 亞太地區 (大阪) 
+ 歐洲 (米蘭) 
+ 非洲 (開普敦) 
+ Middle East (Bahrain) 
+ 以色列 (特拉維夫)
+ 中東 (阿拉伯聯合大公國)
+ 歐洲 (西班牙)
+ 亞太地區 (海德拉巴)
+ 歐洲 (蘇黎世)
+ 亞太地區 (墨爾本)
+ 加拿大西部 (卡加利)
+ 馬來西亞 (Kuala Lumpur)
+ 亞太區域 (泰國)
+ 墨西哥 (中部)
+ 亞太區域 (台北)

**關於您的主要區域**

當您建立登陸區域時，您用於存取 AWS 管理主控台的區域會成為 AWS Control Tower 的主 AWS 區域。在建立過程中，某些資源會在主要區域中佈建。其他資源，例如 OUs和 AWS 帳戶，都是全域資源。

 選取主要區域之後，您就無法變更該區域。

** 控制項和區域**

目前，所有預防性控制都適用於全球。不過，Detective 和主動控制僅適用於支援 AWS Control Tower 的區域。如需在新區域中啟用 AWS Control Tower 時控制項行為的詳細資訊，請參閱 [設定您的 AWS Control Tower 區域](#deploying-to-new-region)。

## 設定您的 AWS Control Tower 區域
<a name="deploying-to-new-region"></a>

本節說明當您將 AWS Control Tower 登陸區域擴展到新的 AWS 區域，或從登陸區域組態中移除區域時，您可以預期的行為。一般而言，此動作是透過 AWS Control Tower 主控台的**更新**函數執行。

**注意**  
建議您避免將 AWS Control Tower 登陸區域擴展到 AWS 不需要工作負載執行的區域。選擇退出某個區域並不會阻止您在該區域中部署資源，但這些資源將保留在 AWS Control Tower 控管範圍之外。

在新區域的組態期間，AWS Control Tower 會更新登陸區域，這表示它會為您的登陸區域*建立基準*：
+ 在所有新選取的區域中主動運作，以及
+ 停止管理取消選取區域中的資源。

組織單位 (OUs) 中由 AWS Control Tower 管理的個別帳戶不會在此登陸區域更新程序中更新。因此，您必須重新註冊 OUs 來更新帳戶。

設定 AWS Control Tower 區域時，請注意下列建議和限制：
+ 選取您計劃託管 AWS 資源或工作負載的區域。
+ 選擇退出某個區域並不會阻止您在該區域中部署資源，但這些資源將保留在 AWS Control Tower 控管範圍之外。

當您為新區域設定登陸區域時，AWS Control Tower 偵測控制會遵循下列規則：
+ *已存在的項目保持不變。*在現有區域中，現有 OUs 中現有帳戶的控制行為、偵測和預防行為保持不變。
+ *您無法將新的偵測性控制套用至包含未更新帳戶的現有 OUs。*當您將 AWS Control Tower 登陸區域設定為新區域 （透過更新登陸區域） 時，您必須先更新現有 OUs 中的現有帳戶，才能對這些 OUs 和帳戶啟用新的偵測控制。
+ *一旦更新帳戶，您現有的偵測控制就會開始在新設定的區域中運作。*當您更新 AWS Control Tower 登陸區域以設定新區域，然後更新帳戶時，已在 OU 上啟用的偵測性控制項將開始在新設定的區域中使用該帳戶。

**設定 AWS Control Tower 區域**

1. 在 登入 AWS Control Tower 主控台 [https://console.aws.amazon.com//controltower](https://console.aws.amazon.com//controltower)

1. 在左側窗格導覽功能表中，選擇**登陸區域設定**。

1. 在**登陸區域設定**頁面**的詳細資訊**區段中，選擇右上角的**修改設定**按鈕。系統會將您導向至更新登陸區域工作流程，因為管理新區域或從管控中移除區域需要您更新至最新的登陸區域版本。

1. 在**用於控管的其他 AWS 區域**下，搜尋您要控管 （或停止管理） 的區域。**狀態**欄指出您目前管理的區域，以及您未管理的區域。

1. 選取要管理的每個額外區域的核取方塊。取消選取您要移除控管的每個區域的核取方塊。
**注意**  
如果您選擇不管理區域，您仍然可以在該區域中部署資源，但這些資源將保留在 AWS Control Tower 管理之外。

1. 完成工作流程的其餘部分，然後選擇**更新登陸區域**。

1. 當登陸區域設定完成時，**重新註冊** OUs以更新新區域中的帳戶。如需詳細資訊，請參閱[何時更新 AWS Control Tower OUs和帳戶](update-existing-accounts.md)。

設定新區域後佈建或更新個別帳戶的替代方法是使用 [Service Catalog 的 API 架構](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_Reference.html)和 [在 AWS CLI](https://docs.aws.amazon.com//cli/latest/reference/servicecatalog/index.html)批次程序中更新帳戶。如需詳細資訊，請參閱[使用自動化佈建和更新帳戶](update-accounts-by-script.md)。

## OU 層級區域拒絕控制的考量事項
<a name="region-deny-for-ou"></a>

OU 層級區域拒絕控制的主要考量是判斷如果兩者都啟用，它將如何與登陸區域區域拒絕控制互動。如需詳細資訊，請參閱[套用至 OU 的區域拒絕控制](https://docs.aws.amazon.com/controltower/latest/controlreference/ou-region-deny.html)。

您也可以檢閱[設定區域拒絕控制](https://docs.aws.amazon.com//controltower/latest/userguide/region-deny.html)。