Live:CloudOps Webinars & Hands-on Workshops ·Register ↗
跳到主要内容

如何启用新的 AWS 区域

在进入技术步骤之前,了解 AWS 区域分为两类非常重要:默认区域和选择加入区域。可用的 AWS 区域,如美国东部(弗吉尼亚北部)、欧洲(爱尔兰)或亚太地区(悉尼)(在 2019 年 3 月 20 日之前推出),默认对所有 AWS 账户启用。然而,其他区域如亚太地区(新西兰)或墨西哥(中部),与其他几个较新的 AWS 区域(在 2019 年 3 月 20 日之后推出)一样,是选择加入区域。这意味着您需要为 AWS 账户明确启用它,然后才能开始部署资源。此选择加入要求是 AWS 帮助客户更好地控制其地理扩展并遵守特定数据主权要求的策略的一部分。

现在让我们探索如何启用这些选择加入区域...

最佳实践注意事项

虽然启用区域很简单,但请借此机会规划您的区域策略。考虑您将首先部署哪些工作负载,以及如果您使用多个 AWS 区域,如何跨区域组织资源。请记住,这只是 AWS 之旅的第一步。一旦区域启用,您就可以继续设置网络、安全和其他基础服务。

为帮助您取得成功,我们建议在跨组织启用新区域之前考虑以下事项:

  • 哪些组织单位 (OU) 需要访问新区域
  • 对现有 SCP 和权限边界的影响
  • 标签策略和成本分配所需的更改
  • 合规和安全策略所需的修改

如果您使用 Control Tower 环境,在添加区域之前请检查:

  • 可能需要复制的当前控制配置
  • 可能受影响的现有生命周期事件
  • 需要扩展的自定义控制和自动化
  • 应适用于新区域的资源共享配置
  • 需要复制的网络配置

如何在单个 AWS 账户中启用新区域

对于刚开始 AWS 之旅的组织,在单个 AWS 账户中启用新区域是一个简单的过程。以下是入门方法:

  1. 首先,使用具有管理权限的用户账户登录 AWS 管理控制台。登录后,在右上角导航栏中查找您的账户名称并点击它以显示下拉菜单。从此菜单中选择"账户设置"。
  2. 在账户设置页面中,向下滚动直到找到"区域"部分。这是 AWS 列出您账户可用的所有选择加入区域的地方。在区域列表中查找您要选择加入的区域。在其旁边,您会找到一个启用按钮或开关。
  3. 点击启用区域并等待过程完成。这通常只需几分钟,但在尝试在新区域部署资源之前,让过程完成很重要。

使用 AWS Organizations 启用新 AWS 区域

对于已经在多账户 AWS 环境中运营的组织,扩展到新区域需要周全系统的方法。大多数成熟的 AWS 客户已经构建了复杂的账户结构,利用 AWS Organizations 进行治理、账单合并和服务控制策略 (SCP)。让我们探索这些客户如何高效地在其 AWS 资产中启用新区域。

技术实施从您的 Organizations 管理账户(以前称为主账户)开始。作为经验丰富的 AWS 客户,您会熟悉这个作为组织结构根的关键账户。

首先在管理账户中启用区域:

  1. 登录到您的 Organizations 管理账户
  2. 导航到 AWS Organizations 服务
  3. 从 AWS 账户列表中选择管理账户
  4. 访问账户设置选项卡
  5. 在区域列表中找到所需区域
  6. 启用区域并等待完成

对于 Organization 中的每个成员账户,您需要根据组织策略系统地启用区域。考虑使用 AWS CloudFormation StackSets 或 AWS CLI 脚本来跨多个账户自动化此过程,特别是在管理数十或数百个账户时。

将新区域添加到您的 Control Tower 环境

对于使用 AWS Control Tower 管理多账户环境的企业,启用新区域需要考虑现有的治理结构。您的组织可能已经在建立护栏、合规控制和自动化账户预配过程方面投入了大量精力。Landing Zone 更新特别关键,因为它确保所有 Control Tower 治理控制扩展到新区域。这包括:

  • 护栏实施
  • 合规监控
  • 安全控制
  • 资源共享配置

让我们探索如何将这些控制扩展到新区域,从您的 Organizations 管理账户开始:

  1. 首先在 Organizations 级别启用区域:
    1. 导航到 AWS Organizations
    2. 选择您的管理账户
    3. 访问账户设置
    4. 启用选择加入区域
    5. 等待完成
  2. 然后将 Control Tower 扩展到新区域:
    1. 访问 Control Tower 控制台
    2. 转到 Landing Zone 设置
    3. 选择"修改设置"
    4. 进入"更新区域设置"
    5. 选择所需区域
    6. 完成更新 landing zone 工作流程

在 Control Tower 完成更新后,您需要:

  • 重新注册现有 OU 以应用更新的 landing zone 设置,或
  • 通过 Account Factory 更新现有账户
  • 验证护栏在新区域中是否正确实施
  • 确认 CloudWatch 告警和 AWS Config 规则是否正常运行
  • 检查和更新相关的客户托管 SCP (Service Control Policies)

请记住,Control Tower 中成功的区域启用需要耐心——让所有自动化过程完成,并在进行工作负载部署之前验证每个步骤。花时间评估对现有治理结构的影响,并确保在部署工作负载之前所有必要的控制都已就位。

启用新 AWS 区域后会发生什么

成功启用新区域只是您区域扩展之旅的开始。当该区域在 AWS 管理控制台的区域选择器中变得可见时,是时候战略性地思考如何利用这个新基础设施,同时维护组织的治理和安全标准。某些服务,如 CloudTrail 日志记录或成本和使用报告,会自动纳入新区域。

您的即时重点应该是将现有的 AWS 基础设施和治理框架扩展到新区域。我们在"将 AWS Landing Zone 扩展到新区域"指南中介绍了此主题。

请记住,虽然启用区域的技术步骤可能很简单,但真正的价值来自仔细的规划、系统的实施和彻底的验证。您在自动化、治理和安全方面的现有投资应无缝扩展到新区域,在整个 AWS 范围内创建一致、安全和合规的环境。请参阅我们在下一节中关于扩展基础设施和治理的进一步指南。