指定哪个Amazon Web Services 区域你的账户可以使用 - Amazon 账户管理
启用和禁用区域之前的注意事项为独立账户启用或禁用区域在组织中启用或禁用区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

指定哪个Amazon Web Services 区域你的账户可以使用

Amazon最初启用了全新Amazon Web Services 区域默认情况下,这允许您的用户在任何区域创建资源。现在,什么时候Amazon添加了一个区域,默认情况下新区域处于禁用状态。如果希望用户能够在新区域中创建资源,请启用该区域。

重要

Amazon建议您使用区域性Amazon Security Token Service(Amazon STS) 端点而不是全局端点以减少延迟。来自区域的会话代币Amazon STS端点全部有效Amazon地区。如果你使用区域性Amazon STS终端节点,您无需进行任何更改。

但是,来自的会话令牌全球性的 Amazon STS终端节点 (https://sts.amazonaws.com) 仅在以下情况下有效Amazon Web Services 区域您启用的或默认启用的。如果您打算为您的账户启用新的区域,则可以使用来自区域的会话令牌Amazon STS端点或激活全局Amazon STS端点颁发全部有效的会话令牌Amazon Web Services 区域。在所有区域有效的会话令牌更大。如果您存储会话令牌,则这些较大的令牌可能会影响您的系统。

有关如何做的更多信息Amazon STS终端可用于Amazon区域,请参见管理中Amazon STS在Amazon区域

启用和禁用区域之前的注意事项

  • 您可以使用 IAM 权限来控制对区域的访问

    Amazon Identity and Access Management(IAM) 包含四个权限,可让您控制哪些用户可以启用、禁用、获取和列出区域。有关更多信息,请参见账单和成本管理操作政策Amazon Billing and Cost Management用户指南

  • 启用区域是免费的

    启用区域是免费的。您只需为在新区域中创建的资源付费。

  • 禁用区域会禁用对区域中资源的访问

    如果您禁用仍包含的区域Amazon资源,例如亚马逊弹性计算云 (Amazon EC2) 实例,您将无法访问该区域的资源。例如,你不能使用Amazon Web Services Management Console或任何用于查看或更改禁用区域内任何 EC2 实例配置的编程方法。

  • 如果您禁用区域,则会继续对活跃资源收费

    如果您禁用仍包含的区域Amazon资源,这些资源的费用(如果有)继续按标准费率累计。例如,如果禁用包含 Amazon EC2 实例的区域,则即使实例不可访问,您仍然必须为这些实例支付费用。

  • 禁用区域的结果并不总是立即可见

    禁用区域后,服务和控制台可能会暂时可见。禁用区域可能需要几分钟到几小时才能生效。

  • 默认情况下,原始区域处于启用状态

    2019 年 3 月 20 日之前推出的区域均默认启用,无法禁用。有关更多信息,请参见管理中Amazon Web Services 区域Amazon Web Services 一般参考

  • 在某些情况下,启用区域需要几分钟到几个小时

    启用一个区域最多可能需要几个小时,具体取决于多个因素,例如您的组织规模。

  • 在给定时间内,组织可以在... 上打开 20 个区域选择请求Amazon组织

    管理账户可以在任何时间点为其组织提出 20 个未完成的请求。一个请求等于为一个账户启用或禁用一个特定区域。

  • 单个账户在任何给定时间可以有 6 个区域选择请求正在进行中

    一个请求等于为一个账户启用或禁用一个特定区域。

  • 亚马逊EventBridge一体化

    客户可以在以下位置订阅区域选择状态更新通知EventBridge。一个EventBridge将为每次状态更改创建通知,允许客户实现工作流程自动化。

  • 富有表现力的区域选择状态

    由于启用/禁用选择加入区域的异步性质,区域选择请求有四种潜在状态:

    • ENABLING

    • DISABLING

    • ENABLED

    • DISABLED

    当选择加入或选择退出时,您都无法取消选择加入或选择退出ENABLING要么DISABLING状态。否则,aConflictException将被抛出。已完成(启用/已禁用)区域选择请求取决于底层密钥的配置Amazon服务。可能有一些Amazon尽管状态为,但仍无法立即使用的服务ENABLED

  • 与... 完全集成Amazon Organizations

    管理账户可以修改或读取 region-opt 的任何成员账户Amazon组织。成员账户也可以读取/写入其区域状态。

为独立账户启用或禁用区域

要更新您的区域,请执行以下操作Amazon Web Services 账户有权访问,请执行以下过程中的步骤。这个Amazon Web Services Management Console以下过程始终仅在独立上下文中有效。你可以使用Amazon Web Services Management Console仅查看或更新您用于调用该操作的账户中的可用区域。

Amazon Web Services Management Console
为独立用户启用或禁用区域Amazon Web Services 账户
最小权限

要执行以下过程中的步骤,IAM 用户或角色必须具有以下权限:

  • aws-portal:ViewAccount(需要查看账户详情页面)

  • account:ListRegions(需要查看清单Amazon Web Services 区域以及它们当前是启用还是禁用)。

  • account:EnableRegion

  • account:DisableRegion

  1. 登录到Amazon Web Services Management Console因为要么Amazon Web Services 账户根用户或者以具有最低权限的 IAM 用户或角色的身份。

  2. 在窗口右上角选择您的账户名称,然后选择账户

  3. 账户页面,向下滚动到该部分Amazon Web Services 区域

    注意

    系统可能会提示您批准您对这些信息的访问权限。Amazon向与帐户关联的电子邮件地址和主要联系人电话号码发送请求。选择请求中的链接,在浏览器中将其打开,然后批准访问。

  4. 在每个旁边Amazon Web Services 区域里面有一个选项行动列,选择其中一个启用要么禁用,具体取决于您是否希望账户中的用户能够在该区域创建和访问资源。

  5. 如果出现提示,请确认您的选择。

  6. 完成所有更改后,选择更新

Amazon CLI & SDKs

您可以使用以下方法启用、禁用、读取和列出区域选择状态Amazon CLI命令或他们的AmazonSDK 等效操作:

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

最小权限

要执行以下步骤,您必须具有映射到该操作的权限:

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

如果您使用这些个人权限,则可以向某些用户授予仅读取区域选择信息的权限,同时授予其他用户读取和写入的能力。

以下示例为组织中的指定成员账户启用区域。使用的凭证必须来自组织的管理账户,或者来自账户管理的委托管理员账户。

请注意,您也可以使用相同的命令禁用区域,然后替换enable-regiondisable-region

aws account enable-region --region-name af-south-1

如果成功,此命令不会产生任何输出。

该操作是异步的。以下命令将允许您查看请求的最新状态。

aws account get-region-opt-status --region-name af-south-1
  {
    "RegionName": "af-south-1",
    "RegionOptStatus": "ENABLING"
  }

在组织中启用或禁用区域

更新您的成员账户的已启用区域Amazon Organizations,请执行以下步骤中的步骤。

注意

在通过组织中的管理账户或委托管理员账户执行这些操作以供成员账户使用之前,您必须:

  • 启用组织中的所有功能以管理成员帐户的设置。这允许管理员控制成员帐户。这是您在创建组织时默认设置的。如果您的组织仅设置为整合账单,并且您想启用所有功能,请参阅启用组织中的所有功能

  • 为... 启用可信访问Amazon账户管理服务。要对此进行设置,请参见为Amazon账户管理启用可信访问

注意

这个Amazon Organizations托管策略AWSOrganizationsReadOnlyAccess要么AWSOrganizationsFullAccess已更新以提供访问权限Amazon账户管理 API,因此您可以从以下地址访问账户数据Amazon Organizations控制台。要查看更新的托管策略,请参阅组织更新Amazon托管策略

Amazon Web Services Management Console
在组织中启用或禁用区域

  1. 登录到Amazon Organizations使用您组织的管理账户凭证控制台。

  2. Amazon Web Services 账户页面,选择要更新的账户。

  3. 选择账户设置选项卡。

  4. 地区,选择要启用或禁用的区域。

  5. 选择行动,然后选择其中一个启用要么禁用选项。

  6. 如果你选择了启用选项,查看显示的文本,然后选择启用区域

  7. 如果你选择了禁用选项,查看显示的文本,键入禁用进行确认,然后选择禁用区域

Amazon CLI & SDKs

您可以使用以下方法启用、禁用、读取和列出组织成员账户的区域选择状态Amazon CLI命令或他们的AmazonSDK 等效操作:

  • EnableRegion

  • DisableRegion

  • GetRegionOptStatus

  • ListRegions

最小权限

要执行以下步骤,您必须具有映射到该操作的权限:

  • account:EnableRegion

  • account:DisableRegion

  • account:GetRegionOptStatus

  • account:ListRegions

如果您使用这些个人权限,则可以向某些用户授予仅读取区域选择信息的权限,同时授予其他用户读取和写入的能力。

以下示例为组织中的指定成员账户启用区域。使用的凭证必须来自组织的管理账户,或者来自账户管理的委托管理员账户。

请注意,您也可以使用相同的命令禁用区域,然后替换enable-regiondisable-region

aws account enable-region --account-id 123456789012 --region-name af-south-1

如果成功,此命令不会产生任何输出。

注意

一个组织在给定时间最多只能有 20 个区域请求。否则,你会收到TooManyRequestsException

该操作是异步的。以下命令将允许您查看请求的最新状态。

aws account get-region-opt-status --account-id 123456789012 --region-name af-south-1
  {
    "RegionName": "af-south-1",
    "RegionOptStatus": "ENABLING"
  }