本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 控件限制
<a name="control-limitations"></a>

AWS Control Tower AWS 通过控制措施帮助您维护安全的多账户环境，这些控制以各种形式实施，例如服务控制策略 (SCPs)、 AWS Config 规则和 CloudFormation 挂钩。

**控件参考指南**  
有关 AWS Control Tower 控件的详细信息已移至 [AWS Control Tower 控件参考指南](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html)。

如果您修改 AWS Control Tower 资源（例如 SCP），或者删除任何 AWS Config 资源（例如配置记录器或聚合器），AWS Control Tower 将无法再保证控件按设计运行。因此，您多账户环境的安全性可能会受到影响。安全分 AWS [担责任模式](https://aws.amazon.com/compliance/shared-responsibility-model)适用于您可能做出的任何此类更改。

**注意**  
 AWS Control Tower 在更新着陆区时将 SCPs预防性控制重置为标准配置，从而帮助维护环境的完整性。根据设计，您可能对控 SCPs 件所做的更改将被控件的标准版本所取代。

**按区域划分的限制**

AWS Control Tower 中的某些控件无法在 AWS Control Tower 可用 AWS 区域 的地方运行，因为这些区域不支持所需的底层功能。因此，当您部署该控件时，它可能无法在您使用 AWS Control Tower 监管的所有区域中运行。此限制会影响 Sec **urity Hub CSPM 服务托管标准：AWS C** ontrol Tower 中的某些侦探控件、某些主动控制措施和某些控件。有关区域可用性的更多信息，请参阅 [Security Hub 控件](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html)。另请参阅[区域服务列表文档](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)和 Sec [urity Hub CSPM 控件参考](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-controls-reference.html)文档。

在*混合监管*的情况下，控件行为也受到限制。有关更多信息，请参阅 [配置区域时避免混合监管](mixed-governance.md)。

有关 AWS Control Tower 如何管理区域和控件限制的更多信息，请参阅 [激活 AWS 选择加入区域的注意事项](opt-in-region-considerations.md)。

**注意**  
要了解有关控件和区域支持的最新信息，我们建议您调用 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) 和 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) API 操作。

## 查找可用的控件和区域
<a name="find-available-controls-and-regions"></a>

您可以在 AWS Control Tower 控制台中查看每个控件的可用区域。您可以使用[https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)和[https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) APIs 从 AWS 控制目录中以编程方式查看可用区域。

有关某些不支持的**服务管理标准：AWS Control Tower 中的控 AWS Security Hub CSPM **件的信息 AWS 区域，请参阅 Sec [urity Hub C](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html) SPM 标准中的 “不支持的区域”。