Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Configuración del control de denegación de regiones AWS Control Tower ofrece dos controles de denegación de regiones. Cuando se activa, el control `AWS-GR_REGION_DENY` se puede aplicar a toda la zona de aterrizaje. Otro control, cuando está activado`CT.MULTISERVICE.PV.1`, se puede aplicar a lo específico que usted especifique. OUs Para obtener más información, consulte [Denegar el acceso en AWS función de la solicitud Región de AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html) y el [control de denegación regional aplicado a la OU](https://docs.aws.amazon.com/controltower/latest/controlreference/ou-region-deny.html). **Consideraciones sobre el control de denegación de regiones de la zona de aterrizaje** El control de denegación de regiones [https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html) es único, ya que se aplica a la zona de aterrizaje en su conjunto y no a una OU específica. Para configurar el control de denegación de regiones, vaya a la página **Configuración de la zona de almacenamiento** y seleccione **Modificar configuración**. + Esta configuración se puede cambiar más adelante. + Cuando está activado, este control se aplica a todos los que OUs tengan la `AWSControlTowerBaseline` opción habilitada. + Este control no se puede configurar de forma individual OUs. **nota** Antes de activar el control de denegación de regiones, asegúrese de que no dispone de recursos en estas regiones, ya que no tendrá acceso a los recursos una vez que haya aplicado el control. Mientras el control esté activado, no podrá implementar recursos en las regiones denegadas. Cuando se habilita el control, se aplica a todos los niveles superiores OUs con el control `AWSControlTowerBaseline` activado y los niveles OUs inferiores de la organización lo heredan. Al eliminar el control, se elimina en todas las regiones que se aplicaron anteriormente OUs, todas las regiones no gobernadas de la Torre de Control de AWS permanecen en el estado **No gobernadas** y puede implementar recursos en regiones fuera de la disponibilidad de la Torre de Control de AWS. **Excepciones** No puede denegar el acceso a la región de origen. Algunos AWS servicios globales, como IAM, están exentos de la región AWS Organizations, deniegan el control. Para obtener más información, consulte [Deny access to AWS based on the requested Región de AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html). + Nombre de control completo: **Denegar el acceso a en AWS función de la AWS región solicitada para la landing zone** + Descripción del control: No permite el acceso a operaciones no listadas en servicios globales y regionales fuera de las regiones especificadas para la landing zone. + Se trata de un control opcional con directrices preventivas. Para ver la plantilla de la SCP del control de denegación de regiones, consulte [Deny access to AWS based on the requested Región de AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html) en la *referencia de control de AWS Control Tower*. El SCP de la Torre de Control de AWS es similar [al SCP AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region), pero no idéntico. Puede determinar los puntos de conexión de los servicios regionales en la [página de servicios regionales](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services).