View a markdown version of this page

Configurar o controle de negação de região - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o controle de negação de região

O AWS Control Tower oferece dois controles de negação de região. Um controle, AWS-GR_REGION_DENY, que quando ativado, se aplica a toda a zona de pouso. Outro controleCT.MULTISERVICE.PV.1, quando ativado, pode ser aplicado ao específico OUs especificado por você. Para obter mais informações, consulte Negar acesso AWS com base na solicitação Região da AWS e Controle de negação de região aplicado à OU.

Considerações sobre o controle de negação de região da zona de pouso

O controle de negação de região, AWS-GR_REGION_DENY é único, pois se aplica à zona de pouso como um todo, e não a uma UO específica. Para configurar o controle de negação de região, acesse a página Configurações de zona inicial e selecione Modificar configurações.

  • Essa configuração pode ser alterada posteriormente.

  • Quando ativado, esse controle se aplica a todos OUs com o AWSControlTowerBaseline ativado.

  • Esse controle não pode ser configurado individualmente OUs.

nota

Antes de habilitar o controle de negação de região, verifique se não há recursos nessas regiões, pois você não terá acesso a eles depois de aplicar o controle. Enquanto o controle estiver habilitado, você não poderá implantar recursos nas regiões negadas.

Quando você ativa o controle, ele se aplica a todos os níveis superiores OUs com o AWSControlTowerBaseline ativado e é herdado pelos OUs mais baixos na hierarquia da organização. Quando você remove o controle, ele é removido em todas as regiões aplicadas OUs anteriormente e não governadas na AWS Control Tower permanecem com o status Não governado, e você pode implantar recursos em regiões fora da disponibilidade da AWS Control Tower.

Exceções

Você não pode negar o acesso à região de origem. Certos AWS serviços globais, como IAM e AWS Organizations, estão isentos do controle de negação da região. Para saber mais, consulte Deny access to AWS based on the requested Região da AWS.

  • Nome completo do controle: negue acesso AWS com base na AWS região solicitada para a landing zone

  • Descrição do controle: Proíbe o acesso a operações não listadas em serviços globais e regionais fora das regiões especificadas para a landing zone.

  • Esse é um controle eletivo com orientação preventiva.

Consulte o modelo de SCP do controle de negação de região em Deny access to AWS based on the requested Região da AWS na Referência de controles do AWS Control Tower. O AWS Control Tower SCP é semelhante ao SCP AWS Organizations, mas não idêntico.

É possível determinar os endpoints do serviço regional na página Serviços regionais.