翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リージョン拒否コントロールの設定
AWS Control Tower には 2 つのリージョン拒否コントロールがあります。1 つのコントロール AWS-GR_REGION_DENY を有効にすると、ランディングゾーン全体に適用されます。別のコントロール CT.MULTISERVICE.PV.1 を有効にすると、指定した特定の OU に適用できます。詳細については、「リクエストされた AWS に基づいて へのアクセスを拒否する AWS リージョン」および「OU に適用されたリージョン拒否コントロール」を参照してください。
ランディングゾーンのリージョン拒否コントロールに関する考慮事項
リージョン拒否コントロールである AWS-GR_REGION_DENY は独特のコントロールです。特定の OU ではなく、ランディングゾーン全体に適用されるためです。リージョン拒否コントロールを設定するには、[Landing zone settings] (ランディングゾーン設定) ページに移動し、[Modify settings] (設定を変更する) を選択します。
-
この設定は後で変更できます。
-
有効にすると、このコントロールは
AWSControlTowerBaselineが有効になっているすべての OUs に適用されます。 -
このコントロールは個々の OU には設定できません。
注記
リージョン拒否コントロールを有効にする前に、適用するリージョンに既存のリソースがないことを確認してください。コントロールを適用すると、以後そのリージョン内のリソースにアクセスできなくなるためです。このコントロールが有効になっている間は、拒否したリージョンにリソースをデプロイできません。
コントロールを有効にすると、 AWSControlTowerBaselineが有効になっているすべての最上位 OUs に適用され、組織階層の下位の OUs によって継承されます。 コントロールを削除すると、以前に適用されたすべての OUs で削除され、AWS Control Tower の非管理リージョンはすべて管理対象外ステータスのままになり、AWS Control Tower の可用性以外のリージョンにリソースを デプロイ できます。
例外
ホームリージョンへのアクセスを拒否することはできません。IAM や などの特定のグローバル AWS サービスは AWS Organizations、リージョン拒否コントロールから除外されます。詳細については、「Deny access to AWS based on the requested AWS リージョン」を参照してください。
-
フルコントロール名: ランディングゾーンのリクエスト AWS されたリージョン AWS に基づいて へのアクセスを拒否する
-
コントロールの説明: ランディングゾーンの指定されたリージョン外のグローバルおよびリージョンのサービスで、リストにないオペレーションへのアクセスを禁止します。
-
これは、予防ガイダンスによる選択的コントロールです。
リージョン拒否コントロール SCP のテンプレートを表示するには、「AWS Control Tower Control reference」の「Deny access to AWS based on the requested AWS リージョン」を参照してください。AWS Control Tower SCP は の SCP AWS Organizations と似ていますが、同一ではありません。
リージョンサービスページ
