本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 登陸區域設定的管理秘訣 以下是設定和設定登陸區域的一些秘訣。 + 您執行最多工作 AWS 的區域應該是您的主區域。 + 設定您的登陸區域,並從主區域部署您的 Account Factory 帳戶。 + 如果您要投資多個 AWS 區域,請確定您的雲端資源位於您將執行大部分雲端管理工作並執行工作負載的區域中。 + 透過將您的工作負載和日誌保留在同一個 AWS 區域中,您可以降低與跨區域移動和擷取日誌資訊相關聯的成本。 + 稽核和其他 Amazon S3 儲存貯體會在您啟動 AWS Control Tower 的相同 AWS 區域中建立。建議不要移動這些儲存貯體。 + 您可以在 Log Archive 帳戶中建立自己的日誌儲存貯體,但不建議這麼做。請務必保留 AWS Control Tower 建立的儲存貯體。 + 您的 Amazon S3 存取日誌必須與來源儲存貯體位於相同的 AWS 區域。 + 啟動時,必須在管理帳戶中針對 AWS Control Tower 支援的所有區域啟用 AWS 安全性字符服務 (STS) 端點。否則,啟動可能會在組態過程中途發生失敗。 + *AWS Control Tower 僅支援已啟用控制項的標記。*如需詳細資訊,請參閱[AWS Control Tower 控制標記 APIs](2023-all.md#control-tagging-apis)。 + 我們建議為 AWS Control Tower 管理的每個帳戶啟用多重驗證 (MFA)。 + 或者,您可以使用 AWS 根存取管理功能,允許對成員帳戶執行根動作,並不需要為每個帳戶啟用 MFA。如需詳細資訊,請參閱[使用 為客戶集中管理根存取權 AWS Organizations](https://aws.amazon.com/blogs/aws/centrally-managing-root-access-for-customers-using-aws-organizations/)。 **VPCs的考量** + AWS Control Tower 建立的 VPC 僅限於可使用 AWS Control Tower AWS 區域 的 。有些工作負載在不支援的區域中執行的客戶可能想要停用以您的 Account Factory 帳戶建立的 VPC。他們可能偏好使用 Service Catalog 產品組合建立新的 VPC,或建立只在所需區域中執行的自訂 VPC。 + AWS Control Tower 建立的 VPC 與為所有 建立的預設 VPC 不同 AWS 帳戶。在支援 AWS Control Tower 的區域中,AWS Control Tower 會在建立 AWS Control Tower VPC 時刪除預設 VPC。 + 如果您在主要區域中刪除預設 VPC AWS ,最好在所有其他 AWS 區域中將其刪除。