启用或禁用 AWS 区域在你的账户中 - AWS 账户管理

link管理

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

重要

AWS 建议您使用区域 AWS Security Token Service (AWS STS) 端点而不是全局端点以减少延迟。来自区域的会话令牌 AWS STS 端点全部有效 AWS 区域。如果您使用区域性 AWS STS 端点，您无需进行任何更改。但是，来自全球的会话令牌 AWS STS 端点 (https://sts.amazonaws.com) 仅在以下情况下有效 AWS 区域由您启用，或者默认启用。如果您打算为账户启用新区域，则可以使用来自区域的会话令牌 AWS STS 端点或激活全局 AWS STS 用于发布全部有效的会话令牌的端点 AWS 区域。在所有区域有效的会话令牌更大。如果您存储会话令牌，这些较大的令牌可能会影响您的系统。有关如何做的更多信息 AWS STS 端点可以使用 AWS 区域，参见管理 AWS STS 在一个 AWS 区域。

显示更多

显示更少

启用和禁用区域之前的注意事项

在启用或禁用区域之前，请务必考虑以下几点：

2019 年 3 月 20 日之前推出的区域默认处于启用状态 — AWS 最初启用全新 AWS 区域默认情况下，这意味着您可以立即开始在这些区域中创建和管理资源。您无法启用或禁用默认已启用的区域。今天，什么时候 AWS 添加区域，默认情况下新区域处于禁用状态。如果您希望您的用户能够在新区域中创建和管理资源，则需要先启用该区域。默认情况下，以下区域处于禁用状态。

Africa (Cape Town)


    af-south-1

亚太地区（香港）


    ap-east-1

亚太地区（海得拉巴）


    ap-south-2

亚太地区（雅加达）


    ap-southeast-3

亚太地区（墨尔本）


    ap-southeast-4

加拿大（卡尔加里）


    ca-west-1

欧洲地区（米兰）


    eu-south-1

欧洲（西班牙）


    eu-south-2

欧洲（苏黎世）


    eu-central-2

以色列（特拉维夫）


    il-central-1

中东（巴林）


    me-south-1

中东 (UAE)


    me-central-1

您可以使用IAM权限来控制对区域的访问 权限 — AWS Identity and Access Management (IAM) 包括四种权限，允许您控制哪些用户可以启用、禁用、获取和列出区域。有关更多信息，请参阅 AWS：允许启用和禁用 AWS 区域（在 IAM 用户指南 中）。您也可以使用 aws:RequestedRegion 条件键来控制访问权限 AWS 服务在一个 AWS 区域.

启用区域是免费的 — 启用区域不收取任何费用。您只需为在新区域中创建的资源付费。

禁用某个区域将禁止IAM访问该区域中的资源 -如果您禁用了仍包含该区域的区域 AWS 资源，例如亚马逊弹性计算云 (AmazonEC2) 实例，您将无法IAM访问该区域中的资源。例如，你不能使用 AWS Management Console 查看或更改已禁用区域中任何EC2实例的配置。

如果您禁@@ 用某个区域（如果您禁用了仍包含该区域的区域），则继续对活跃资源收费 AWS 资源，这些资源的费用（如果有）继续按标准费率累计。例如，如果您禁用了包含 Amazon EC2 实例的区域，则即使无法访问这些实例，您仍需要为这些实例支付费用。

禁用区域并不总是立即可见 ——禁用区域后，服务和控制台可能会暂时可见。禁用区域可能需要几分钟到几小时才能生效。

在某些情况下，启用区域需要几分钟到几小时 ——启用区域时， AWS 执行操作以准备您在该地区的账户，例如将您的IAM资源分配到该地区。对于大多数账户，此过程需要几分钟，但有时可能需要几个小时。在此过程完成之前，您无法使用区域。

在给定时间内，Organizations 可以打开 50 个区域选择请求 AWS 组织 — 管理账户在任何时间点都可能有 50 个待处理的组织请求待完成。一个请求等于为一个账户启用或禁用一个特定区域。

一个账户在任何给定时间可以有 6 个区域选择请求正在处理中 — 一个请求等于为一个账户启用或禁用一个特定区域。

Amazon EventBridge 集成 — 客户可以在中订阅区域选项状态更新通知。 EventBridge EventBridge系统将为每次状态更改创建通知，允许客户自动执行工作流程。

Expressive Region-opt 状态 — 由于启用/禁用选择加入区域的异步性质，因此区域选择请求有四种潜在状态：

DISABLED

当选择加入或选择退出处于任 ENABLING 一状态时，您无法将其取消。 DISABLING 否则， ConflictException 将抛出 a。已完成（启用/禁用）区域选择请求取决于底层密钥的配置 AWS 服务的支持。可能有一些 AWS 尽管状态为，但这些服务仍无法立即使用 ENABLED 。

与完全集成 AWS Organizations — 管理账户可以修改或读取区域——选择该区域的任何成员账户 AWS 组织。成员账户也可以读取/写入其所在地区的状态。

显示更多

显示更少

为独立账户启用或禁用区域

要更新你所在的区域 AWS 账户有权访问，请执行以下过程中的步骤。这些区域有： AWS Management Console 以下过程始终仅在独立上下文中起作用。您可以使用 AWS Management Console 仅查看或更新您用于调用该操作的账户中的可用区域。

AWS Management Console

为独立版启用或禁用区域 AWS 账户

最小权限

要执行以下过程中的步骤，IAM用户或角色必须具有以下权限：

account:DisableRegion

在窗口的右上角选择您的账户名称，然后选择账户。

在 “ 账户 ” 页面上，向下滚动至该部分 AWS 区域 .

注意

系统可能会提示您批准对这些信息的访问权限。 AWS 向与该账户关联的电子邮件地址和主要联系人电话号码发送请求。选择请求中的链接以在浏览器中将其打开，然后批准访问权限。

在每个旁边 AWS 区域在 “ 操作 ” 列中有一个选项，选择 “ 启用” 或 “ 禁用 ”，具体取决于您是否希望账户中的用户能够在该区域创建和访问资源。

如果出现提示，请确认您的选择。

完成所有更改后，选择 “ 更新 ”。

AWS CLI & SDKs

您可以使用以下方法启用、禁用、读取和列出区域选择状态 AWS CLI 命令或他们的 AWS SDK等效操作：

如果您使用这些个人权限，则可以授予某些用户仅读取区域选择信息的权限，而授予其他用户同时读取和写入的权限。

以下示例为组织中的指定成员账户启用区域。使用的凭证必须来自组织的管理账户，或者来自账户管理的委托管理员账户。

请注意，您也可以使用相同的命令禁用某个区域，然后 enable-region 替换为 disable-region 。


aws account enable-region --region-name af-south-1

如果成功，此命令不会产生任何输出。

该操作是异步的。以下命令将允许您查看请求的最新状态。


aws account get-region-opt-status --region-name af-south-1
    "RegionName": "af-south-1",
    "RegionOptStatus": "ENABLING"
        在组织中启用或禁用某个区域
        更新您的成员账户已启用的区域 AWS Organizations，请执行以下过程中的步骤。
        注意
这些区域有： AWS Organizations 托管策略AWSOrganizationsReadOnlyAccess或AWSOrganizationsFullAccess已更新为提供访问权限 AWS 账户管理APIs，这样您就可以从中访问账户数据 AWS Organizations console。要查看更新的托管策略，请参阅 Organizations  更新 AWS 托管策略。
            注意
在通过管理账户或组织中的委托管理员账户执行这些操作以用于成员账户之前，您必须：

                        启用组织中的所有功能以管理成员账户的设置。这允许管理员控制成员帐户。这是在创建组织时默认设置的。如果您的组织设置为仅限整合账单，并且您想启用所有功能，请参阅启用组织中的所有功能。
                        为启用可信访问权限 AWS 账户管理服务。要进行设置，请参阅为启用可信访问权限 AWS 账户管理。
        显示更多显示更少
            AWS Management Console

                    在组织中启用或禁用区域

                            登录 AWS Organizations 带有您组织的管理账户凭据的控制台。
                            在存储库的 AWS 账户页面上，选择要更新的帐户。
                            选择 “账户设置” 选项卡。
                            在 “区域” 下，选择要启用或禁用的区域。
                            选择 “操作”，然后选择 “启用” 或 “禁用” 选项。
                            如果您选择了 “启用” 选项，请查看显示的文本，然后选择 “启用区域”。
                            如果您选择了 “禁用” 选项，请查看显示的文本，键入 “禁用” 进行确认，然后选择 “禁用区域”。
            AWS CLI & SDKs

                    您可以使用以下方法启用、禁用、读取和列出组织成员账户的区域选择状态 AWS CLI 命令或他们的 AWS SDK等效操作：
                    如果您使用这些个人权限，则可以授予某些用户仅读取区域选择信息的权限，而授予其他用户同时读取和写入的权限。
                    以下示例为组织中的指定成员账户启用区域。使用的凭证必须来自组织的管理账户，或者来自账户管理的委托管理员账户。
                    请注意，您也可以使用相同的命令禁用某个区域，然后enable-region替换为disable-region。
                    
aws account enable-region --account-id 123456789012 --region-name af-south-1 
                    如果成功，此命令不会产生任何输出。
                    注意
一个组织在给定时间最多只能有 20 个区域请求。否则，您将收到TooManyRequestsException.
                    该操作是异步的。以下命令将允许您查看请求的最新状态。
                    
aws account get-region-opt-status --account-id 123456789012 --region-name af-south-1