View a markdown version of this page

Configuración del control de denegación de regiones - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del control de denegación de regiones

AWS Control Tower ofrece dos controles de denegación de regiones. Cuando se activa, el control AWS-GR_REGION_DENY se puede aplicar a toda la zona de aterrizaje. Otro control, cuando está activadoCT.MULTISERVICE.PV.1, se puede aplicar a lo específico que usted especifique. OUs Para obtener más información, consulte Denegar el acceso en AWS función de la solicitud Región de AWS y el control de denegación regional aplicado a la OU.

Consideraciones sobre el control de denegación de regiones de la zona de aterrizaje

El control de denegación de regiones AWS-GR_REGION_DENY es único, ya que se aplica a la zona de aterrizaje en su conjunto y no a una OU específica. Para configurar el control de denegación de regiones, vaya a la página Configuración de la zona de almacenamiento y seleccione Modificar configuración.

  • Esta configuración se puede cambiar más adelante.

  • Cuando está activado, este control se aplica a todos los que OUs tengan la AWSControlTowerBaseline opción habilitada.

  • Este control no se puede configurar de forma individual OUs.

nota

Antes de activar el control de denegación de regiones, asegúrese de que no dispone de recursos en estas regiones, ya que no tendrá acceso a los recursos una vez que haya aplicado el control. Mientras el control esté activado, no podrá implementar recursos en las regiones denegadas.

Cuando se habilita el control, se aplica a todos los niveles superiores OUs con el control AWSControlTowerBaseline activado y los niveles OUs inferiores de la organización lo heredan. Al eliminar el control, se elimina en todas las regiones que se aplicaron anteriormente OUs, todas las regiones no gobernadas de la Torre de Control de AWS permanecen en el estado No gobernadas y puede implementar recursos en regiones fuera de la disponibilidad de la Torre de Control de AWS.

Excepciones

No puede denegar el acceso a la región de origen. Algunos AWS servicios globales, como IAM, están exentos de la región AWS Organizations, deniegan el control. Para obtener más información, consulte Deny access to AWS based on the requested Región de AWS.

  • Nombre de control completo: Denegar el acceso a en AWS función de la AWS región solicitada para la landing zone

  • Descripción del control: No permite el acceso a operaciones no listadas en servicios globales y regionales fuera de las regiones especificadas para la landing zone.

  • Se trata de un control opcional con directrices preventivas.

Para ver la plantilla de la SCP del control de denegación de regiones, consulte Deny access to AWS based on the requested Región de AWS en la referencia de control de AWS Control Tower. El SCP de la Torre de Control de AWS es similar al SCP AWS Organizations, pero no idéntico.

Puede determinar los puntos de conexión de los servicios regionales en la página de servicios regionales.