发布于: Jul 28, 2022
AWS Control Tower 现在通过将全局资源记录仅限制在主区域,帮助减少了 AWS Config 配置的冗余项。以前,AWS Control Tower 将 AWS Config 配置为记录所有区域中的全局资源。由于全局资源并不与某个特定 AWS 区域绑定,因此对全局资源的更改在各个区域是一致的。限制全局资源(如 IAM 用户、组、角色和客户管理的策略)的记录意味着,全局资源更改的冗余副本不再保存在每个区域中。这一更新使资源记录符合 AWS Config 最佳实践。AWS Config 文档中提供了全局资源的完整列表。
通过首先更新到最新的登录区版本,然后重新注册每个组织单位 (OU),现有 AWS Control Tower 登录区可以采用这一更改。未在 AWS Control Tower 注册的账户将不受此次更改的影响。通过 single account enrollment(单个账户注册)或 extended governance(延伸治理),您可以在 AWS Control Tower 中注册账户。注册新账户或更新现有账户后,全局资源将仅记录在 AWS Control Tower 登录区设置期间选择的主区域中。
如需 AWS Control Tower 支持区域的完整列表,请参阅 AWS 区域表。要了解更多信息,请访问 AWS Control Tower 主页或参阅 AWS 文档。