在您的账户中启用或禁用 Amazon Web Services 区域
Amazon Web Services 区域 是指全球范围内的某个物理位置,每个区域由多个可用区组成。可用区由一个或多个分散的 Amazon 数据中心组成,每个都拥有独立的配套设施,其中包括冗余电源、联网和连接。这意味着每个 Amazon Web Services 区域 都是物理隔离的,并独立于其他区域。区域提供容错能力、稳定性和弹性,还可以减少延迟。有关可用区域和即将推出区域的地图,请参阅 区域和可用区
除非您明确使用 Amazon 服务提供的复制功能,否则在一个区域中创建的资源在任何其他区域中都不存在。例如,Amazon S3 和 Amazon EC2 支持跨区域复制。某些服务(例如 Amazon Identity and Access Management (IAM))没有区域资源。
您的账户确定了适用于您的区域。
-
Amazon Web Services 账户 提供多个区域,因此您可在满足您要求的位置启动 Amazon 资源。例如,您可能希望在欧洲区域启动 Amazon EC2 实例以更多符合欧洲客户的要求或满足法律要求。
-
Amazon GovCloud(美国西部)账户提供对 Amazon GovCloud(美国西部)区域和 Amazon GovCloud(美国东部)区域的访问。有关更多信息,请参阅 Amazon GovCloud (US)
。 -
您只能通过 Amazon(Amazon中国)账户访问北京和宁夏区域。有关更多信息,请参阅 中国的 Amazon Web Services
。
重要
Amazon 建议使用区域性 Amazon Security Token Service (Amazon STS) 端点来减小延迟,而不是使用全局端点。来自区域 Amazon STS 端点的会话令牌在所有 Amazon 区域中都有效。如果使用区域性 Amazon STS 端点,则无需进行任何更改。但是,来自全局Amazon STS端点 (https://sts.amazonaws.com) 的会话令牌仅适用于您所启用或默认启用的 Amazon Web Services 区域。如果打算为账户启用新的区域,您可以使用来自区域性 Amazon STS 端点的会话令牌或激活全局 Amazon STS 端点来发放适用于所有 Amazon Web Services 区域 的会话令牌。适用于所有区域的会话令牌较大。如果存储会话令牌,这些较大的令牌可能会影响您的系统。有关 Amazon STS 端点如何使用 Amazon 区域的更多信息,请参阅在 Amazon 区域中管理 Amazon STS。
启用和禁用区域之前的注意事项
在启用或禁用区域之前,务必考虑以下几点:
-
默认启用 2019 年 3 月 20 日之前推出的区域 - Amazon 最初默认启用所有新的 Amazon Web Services 区域 区域,这意味着您可以立即开始在这些区域中创建和管理资源。您无法启用或禁用默认已启用的区域。现在,当 Amazon 添加区域时,默认情况下禁用新区域。如果希望用户能够在新区域中创建和管理资源,您首先要启用该区域。默认情况下禁用以下区域。
名称 代码 Africa (Cape Town) af-south-1
亚太地区(香港) ap-east-1
亚太地区(海得拉巴) ap-south-2
亚太地区(雅加达) ap-southeast-3
亚太地区(墨尔本) ap-southeast-4
加拿大(卡尔加里) ca-west-1
欧洲地区(米兰) eu-south-1
欧洲(西班牙) eu-south-2
欧洲(苏黎世) eu-central-2
以色列(特拉维夫) il-central-1
中东(巴林) me-south-1
中东(阿联酋) me-central-1
-
您可以使用 IAM 权限控制区域的访问权限 - Amazon Identity and Access Management (IAM) 包含四个可让您控制哪些用户可以启用、禁用、获取和列出区域的权限。有关更多信息,请参阅《IAM 用户指南》中的 Amazon:允许启用和禁用 Amazon Web Services 区域。您还可以使用
aws:RequestedRegion
条件键控制对 Amazon Web Services 区域 中的 Amazon Web Services 服务 的访问权限。 -
启用区域免费 - 启用区域无需付费。您只需为在新区域中创建的资源付费。
-
禁用区域可禁用对区域中资源的 IAM 访问权限 – 如果禁用了仍含有 Amazon 资源(比如 Amazon Elastic Compute Cloud (Amazon EC2) 实例)的区域, 则会丧失对此区域内资源的 IAM 访问权限。例如,您无法使用 Amazon Web Services Management Console 查看或更改该禁用区域中任何 EC2 实例的配置。
-
禁用区域后活动资源继续收费 – 如果禁用了仍含有 Amazon 资源的区域,这些资源(如有)继续按标准费率产生费用。例如,如果禁用包含 Amazon EC2 实例的区域,则即使实例不可访问,您仍然必须为这些实例支付费用。
-
禁用区域并非总是立即可见 - 禁用区域后,服务和控制台可能会暂时可见。禁用区域可能需要几分钟到几小时才能生效。
-
在某些情况下启用一个区域需要几分钟到几小时的时间 - 在启用一个区域时,Amazon 将执行操作以准备您在该区域内的账户,例如将您的 IAM 资源分发给该区域。对大多数账户而言,此过程需要几分钟时间,但有时可能需要几小时。在此过程完成之前,您无法使用区域。
-
整个 Amazon 组织可以在给定时间有 50 个开启的区域选择请求 - 管理账户可以在任何时间点有 50 个等待为其组织完成的请求。一个请求等于为一个账户启用或禁用一个特定区域。
-
一个账户在任何给定时间可以有 6 个处理中的区域选择请求 - 一个请求等于为一个账户启用或禁用一个特定区域。
-
Amazon EventBridge 集成 — 客户可以在 EventBridge 中订阅区域选择状态更新通知。每次状态变化时将创建 EventBridge 通知,这样客户就可以自动执行工作流程。
-
直观的区域选择状态 - 由于启用/禁用选择加入区域的异步性质,因此区域选择请求有四种潜在状态:
-
ENABLING
-
DISABLING
-
ENABLED
-
DISABLED
当选择加入或选择退出处于
ENABLING
或DISABLING
状态时,无法将其取消。否则将抛出ConflictException
。已完成(启用/禁用)区域选择请求取决于关键底层服务的配置。Amazon尽管有些 Amazon 服务的状态为ENABLED
,但可能无法立即使用。 -
-
完全集成 Amazon Organizations - 管理账户可以为 Amazon 组织的任何成员账户修改或读取区域选择。成员账户也可以读取/写入其区域状态。
为独立账户启用或禁用区域
要更新 Amazon Web Services 账户 有权访问的区域,请执行以下流程中的步骤。以下 Amazon Web Services Management Console 流程仅在独立上下文中始终有效。可以使用 Amazon Web Services Management Console 只查看或更新操作调用账户中的可用区域。
在组织中启用或禁用区域
要更新 Amazon Organizations 成员账户的启用区域,请执行以下流程中的步骤。
注意
Amazon Organizations 托管策略 AWSOrganizationsReadOnlyAccess
或 AWSOrganizationsFullAccess
更新为提供访问 Amazon 账户管理 API 的权限,这样您就可以从 Amazon Organizations 控制台访问账户数据。要查看更新的托管策略,请参阅 Organizations Amazon 托管策略的更新。
注意
在通过管理账户或组织中的委托管理员账户为成员账户执行这些操作以之前,您必须:
-
启用组织中的所有功能,管理成员账户的设置。这样管理员就可以控制成员账户。这是在创建组织时默认设置的。如果您的组织设置为仅整合账单,而您要启用所有功能,请参阅在组织中启用所有功能。
-
启用 Amazon 账户管理服务可信访问权限。要进行设置,请参阅 启用 Amazon 账户管理可信访问权限。