Домашний регион целевой зоны AWS и ограничения ресурсов

Question

Домашний регион целевой зоны AWS и ограничения ресурсов

В настоящее время я понимаю, что если я настрою целевую зону с несколькими учетными записями (MALZ) в одном регионе, скажем, например, в Ирландии, я все равно смогу иметь учетные записи, которые могут содержать ресурсы в других регионах (США, Франкфурт и др.) если ограждения позволяют.

Правильно ли я понимаю? Я немного смущен, когда читаю это

Единый регион AWS. Целевая зона AMS с несколькими учетными записями ограничена одним регионом AWS. Чтобы охватить несколько регионов AWS, используйте несколько целевых зон с несколькими учетными записями.

https://docs.aws.amazon.com/managedservices/latest/userguide/single-or-multi-malz.html

1

aws-control-tower aws-landing-zone

Источник

user9028194 05 янв '22 в 23:06

1 ответ

Другие вопросы по тегам aws-control-tower aws-landing-zone

user125407 14 июл '22 в 13:30 2022-07-14 13:30 · Answer 1 · 2022-07-14 13:30

Управляемый сервис AWS — это сервис для белых перчаток, поэтому я не знаю, насколько стандартизированы их предложения и ограничения. Есть несколько разных частей, которые вступают в игру

регионы, в которых размещена общая инфраструктура вашей целевой зоны, например учетная запись ведения журнала, диспетчерская вышка, AWS SSO и т. д.
регионы, в которых размещена общая инфраструктура, которую вы развертываете в каждой учетной записи, управляемой в целевой зоне, например VPC по умолчанию (одноранговый с TGW)
регионы, которые разрешено использовать в управляемых учетных записях, например, потому что SCP в OU запрещает все остальное

Насколько я понимаю, кажется, что одна посадочная зона с несколькими учетными записями AMS всегда работает в одном регионе для всех трех из них.

Может быть хорошим ограничением для начала, но мой опыт работы с большими целевыми зонами (> 500 учетных записей) показывает, что вы начинаете держать 1. и 2. привязанными к одному региону, но ограничиваете 3. только по причинам управления/соблюдения (например, только ЕС). Это дает командам свободу использовать регионы AWS так, как это наиболее целесообразно для их приложений, таких как граничные функции лямбда, региональные корзины s3 и т. д.

Конечно, приложения, которым требуется локальная связь, сильно зависят от региона, в котором размещается транзитный шлюз. В зависимости от того, как выглядит ваша локальная сеть, более крупные организации могут позже добавить несколько целевых зон или даже предпочтительнее использовать модульный подход к целевой зоне с «пирингом TGW как услугой».