在您的账户中启用或禁用 Amazon Web Services 区域 - Amazon 账户管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在您的账户中启用或禁用 Amazon Web Services 区域

Amazon Web Services 区域 是指全球范围内的某个物理位置,每个区域由多个可用区组成。可用区由一个或多个分散的 Amazon 数据中心组成,每个都拥有独立的配套设施,其中包括冗余电源、联网和连接。这意味着每个 Amazon Web Services 区域 都是物理隔离的,并独立于其他区域。区域提供容错能力、稳定性和弹性,还可以减少延迟。有关可用区域和即将推出区域的地图,请参阅 区域和可用区

除非您明确使用 Amazon 服务提供的复制功能,否则在一个区域中创建的资源在任何其他区域中都不存在。例如,Amazon S3 和 Amazon EC2 支持跨区域复制。某些服务(例如 Amazon Identity and Access Management (IAM))没有区域资源。

您的账户确定了适用于您的区域。

  • Amazon Web Services 账户 提供多个区域,因此您可在满足您要求的位置启动 Amazon 资源。例如,您可能希望在欧洲区域启动 Amazon EC2 实例以更多符合欧洲客户的要求或满足法律要求。

  • Amazon GovCloud(美国西部)账户提供对 Amazon GovCloud(美国西部)区域和 Amazon GovCloud(美国东部)区域的访问。有关更多信息,请参阅 Amazon GovCloud (US)

  • 您只能通过 Amazon(Amazon中国)账户访问北京和宁夏区域。有关更多信息,请参阅 中国的 Amazon Web Services

重要

Amazon 建议使用区域性 Amazon Security Token Service (Amazon STS) 端点来减小延迟,而不是使用全局端点。来自区域 Amazon STS 端点的会话令牌在所有 Amazon 区域中都有效。如果使用区域性 Amazon STS 端点,则无需进行任何更改。但是,来自全局Amazon STS端点 (https://sts.amazonaws.com) 的会话令牌仅适用于您所启用或默认启用的 Amazon Web Services 区域。如果打算为账户启用新的区域,您可以使用来自区域性 Amazon STS 端点的会话令牌或激活全局 Amazon STS 端点来发放适用于所有 Amazon Web Services 区域 的会话令牌。适用于所有区域的会话令牌较大。如果存储会话令牌,这些较大的令牌可能会影响您的系统。有关 Amazon STS 端点如何使用 Amazon 区域的更多信息,请参阅在 Amazon 区域中管理 Amazon STS

启用和禁用区域之前的注意事项

在启用或禁用区域之前,务必考虑以下几点:

  • 默认启用 2019 年 3 月 20 日之前推出的区域 - Amazon 最初默认启用所有新的 Amazon Web Services 区域 区域,这意味着您可以立即开始在这些区域中创建和管理资源。您无法启用或禁用默认已启用的区域。现在,当 Amazon 添加区域时,默认情况下禁用新区域。如果希望用户能够在新区域中创建和管理资源,您首先要启用该区域。默认情况下禁用以下区域。

    名称 代码
    Africa (Cape Town) af-south-1
    亚太地区(香港) ap-east-1
    亚太地区(海得拉巴) ap-south-2
    亚太地区(雅加达) ap-southeast-3
    亚太地区(墨尔本) ap-southeast-4
    加拿大(卡尔加里) ca-west-1
    欧洲地区(米兰) eu-south-1
    欧洲(西班牙) eu-south-2
    欧洲(苏黎世) eu-central-2
    以色列(特拉维夫) il-central-1
    中东(巴林) me-south-1
    中东(阿联酋) me-central-1
  • 您可以使用 IAM 权限控制区域的访问权限 - Amazon Identity and Access Management (IAM) 包含四个可让您控制哪些用户可以启用、禁用、获取和列出区域的权限。有关更多信息,请参阅《IAM 用户指南》中的 Amazon:允许启用和禁用 Amazon Web Services 区域。您还可以使用 aws:RequestedRegion 条件键控制对 Amazon Web Services 区域 中的 Amazon Web Services 服务 的访问权限。

  • 启用区域免费 - 启用区域无需付费。您只需为在新区域中创建的资源付费。

  • 禁用区域可禁用对区域中资源的 IAM 访问权限 – 如果禁用了仍含有 Amazon 资源(比如 Amazon Elastic Compute Cloud (Amazon EC2) 实例)的区域, 则会丧失对此区域内资源的 IAM 访问权限。例如,您无法使用 Amazon Web Services Management Console 查看或更改该禁用区域中任何 EC2 实例的配置。

  • 禁用区域后活动资源继续收费 – 如果禁用了仍含有 Amazon 资源的区域,这些资源(如有)继续按标准费率产生费用。例如,如果禁用包含 Amazon EC2 实例的区域,则即使实例不可访问,您仍然必须为这些实例支付费用。

  • 禁用区域并非总是立即可见 - 禁用区域后,服务和控制台可能会暂时可见。禁用区域可能需要几分钟到几小时才能生效。

  • 在某些情况下启用一个区域需要几分钟到几小时的时间 - 在启用一个区域时,Amazon 将执行操作以准备您在该区域内的账户,例如将您的 IAM 资源分发给该区域。对大多数账户而言,此过程需要几分钟时间,但有时可能需要几小时。在此过程完成之前,您无法使用区域。

  • 整个 Amazon 组织可以在给定时间有 50 个开启的区域选择请求 - 管理账户可以在任何时间点有 50 个等待为其组织完成的请求。一个请求等于为一个账户启用或禁用一个特定区域。

  • 一个账户在任何给定时间可以有 6 个处理中的区域选择请求 - 一个请求等于为一个账户启用或禁用一个特定区域。

  • Amazon EventBridge 集成 — 客户可以在 EventBridge 中订阅区域选择状态更新通知。每次状态变化时将创建 EventBridge 通知,这样客户就可以自动执行工作流程。

  • 直观的区域选择状态 - 由于启用/禁用选择加入区域的异步性质,因此区域选择请求有四种潜在状态:

    • ENABLING

    • DISABLING

    • ENABLED

    • DISABLED

    当选择加入或选择退出处于 ENABLINGDISABLING 状态时,无法将其取消。否则将抛出 ConflictException。已完成(启用/禁用)区域选择请求取决于关键底层服务的配置。Amazon尽管有些 Amazon 服务的状态为 ENABLED,但可能无法立即使用。

  • 完全集成 Amazon Organizations - 管理账户可以为 Amazon 组织的任何成员账户修改或读取区域选择。成员账户也可以读取/写入其区域状态。

为独立账户启用或禁用区域

要更新 Amazon Web Services 账户 有权访问的区域,请执行以下流程中的步骤。以下 Amazon Web Services Management Console 流程仅在独立上下文中始终有效。可以使用 Amazon Web Services Management Console 只查看或更新操作调用账户中的可用区域。

Amazon Web Services Management Console
为独立 Amazon Web Services 账户 启用或禁用区域
最小权限

要执行下列程序中的步骤,IAM 用户或角色必须具有以下权限:

  • account:ListRegions(需要查看 Amazon Web Services 区域 列表以及它们当前处于启用还是禁用状态)。

  • account:EnableRegion

  • account:DisableRegion

  1. 以 Amazon Web Services 账户根用户 或者具有最低权限的 IAM 用户或角色身份登录 Amazon Web Services Management Console

  2. 在窗口的右上角,选择您的账户名称,然后选择账户

  3. 账户页面,向下滚动至 Amazon Web Services 区域 部分。

    注意

    系统可能会提示您批准对此信息的访问权限。Amazon 向与账户关联的电子邮件地址和主要联系人电话号码发送请求。选择请求中的链接以在浏览器中将其打开,然后批准此访问权限。

  4. 操作列中带有选项的各个 Amazon Web Services 区域 旁边,选择启用禁用,具体取决于是否希望账户中的用户能够在此区域中创建和访问资源。

  5. 如果有提示,请确认选择。

  6. 完成所有更改后,选择更新

Amazon CLI & SDKs

您可以使用以下 Amazon CLI 命令或其 Amazon SDK 等效操作,启用、禁用、读取和列出区域选择状态:

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

最小权限

要执行下列步骤,您必须拥有映射到此操作的权限:

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

如果使用这些单独权限,就可以授予某些用户仅读取区域选择信息的权限,而授予其他用户同时读取和写入的权限。

以下示例为组织的指定成员账户启用了区域。所用凭证必须来自组织管理账户或账户管理委托管理员账户。

请注意,您也可以使用相同的命令禁用某个区域,然后将 enable-region 替换为 disable-region

aws account enable-region --region-name af-south-1

如果成功,此命令不会产生任何输出。

该操作是异步的。以下命令可以使您查看请求的最新状态。

aws account get-region-opt-status --region-name af-south-1 { "RegionName": "af-south-1", "RegionOptStatus": "ENABLING" }

在组织中启用或禁用区域

要更新 Amazon Organizations 成员账户的启用区域,请执行以下流程中的步骤。

注意

Amazon Organizations 托管策略 AWSOrganizationsReadOnlyAccessAWSOrganizationsFullAccess 更新为提供访问 Amazon 账户管理 API 的权限,这样您就可以从 Amazon Organizations 控制台访问账户数据。要查看更新的托管策略,请参阅 Organizations Amazon 托管策略的更新

注意

在通过管理账户或组织中的委托管理员账户为成员账户执行这些操作以之前,您必须:

  • 启用组织中的所有功能,管理成员账户的设置。这样管理员就可以控制成员账户。这是在创建组织时默认设置的。如果您的组织设置为仅整合账单,而您要启用所有功能,请参阅在组织中启用所有功能

  • 启用 Amazon 账户管理服务可信访问权限。要进行设置,请参阅 启用 Amazon 账户管理可信访问权限

Amazon Web Services Management Console
在组织中启用或禁用区域
  1. 使用您的组织的管理账户凭证登录 Amazon Organizations 控制台。

  2. Amazon Web Services 账户 页面上,选择要更新的账户。

  3. 选择账户设置选项卡。

  4. 区域下,选择要启用或禁用的区域。

  5. 选择操作,然后选择启用禁用选项。

  6. 如果选择了启用选项,请查看显示的文本,然后选择启用区域

  7. 如果选择了禁用选项,请查看显示的文本,键入 disable 进行确认,然后选择禁用区域”。

Amazon CLI & SDKs

您可以使用以下 Amazon CLI 命令或其 Amazon SDK 等效操作,为组织成员账户启用、禁用、读取和列出区域选择状态:

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

最小权限

要执行下列步骤,您必须拥有映射到此操作的权限:

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

如果使用这些单独权限,就可以授予某些用户仅读取区域选择信息的权限,而授予其他用户同时读取和写入的权限。

以下示例为组织的指定成员账户启用了区域。所用凭证必须来自组织管理账户或账户管理委托管理员账户。

请注意,您也可以使用相同的命令禁用某个区域,然后将 enable-region 替换为 disable-region

aws account enable-region --account-id 123456789012 --region-name af-south-1

如果成功,此命令不会产生任何输出。

注意

一个组织在给定时间最多只能有 20 个区域请求。否则,您会收到 TooManyRequestsException

该操作是异步的。以下命令可以使您查看请求的最新状态。

aws account get-region-opt-status --account-id 123456789012 --region-name af-south-1 { "RegionName": "af-south-1", "RegionOptStatus": "ENABLING" }