控件的工作原理

控件是一项高级规则，可为您的整个 AWS 环境提供持续监管。每个控件都以简明的语言表达，用于执行一条规则。您可以随时从 AWS Control Tower 控制台或 AWS Control Tower 更改有效的选修或强烈推荐的控制措施。 APIs强制性控件始终实施，不能更改。

预防性控件可防止某些操作发生。例如，有一个选择性控件，名为禁止更改 Amazon S3 存储桶的存储桶策略（以前称为禁止更改日志存档的策略），用于防止日志存档共享账户内的任何 IAM 策略更改。任何执行所阻止操作的尝试都将被拒绝并记录在 CloudTrail 中。资源也已登录 AWS Config。

Detective 控件会在特定事件发生时对其进行检测并将操作记录在内CloudTrail。例如，有一个强烈推荐控件，名为检测附加到 Amazon EC2 实例的 Amazon EBS 卷是否启用加密，可检测未加密的 Amazon EBS 卷是否附加到您登录区中的 EC2 实例。

主动性控件可检查资源是否符合您公司的策略和目标，然后再在账户中预置资源。如果资源不合规，则不会对其进行预置。主动控制通过 CloudFormation 模板监控将在您的账户中部署的资源。

对于那些熟悉的人 AWS：在 AWS Control Tower 中，预防性控制是通过服务控制策略 (SCPs) 和资源控制策略 (RCPs) 来实施的。Detective 控件是通过 AWS Config 规则实现的。主动控制是通过 CloudFormation 挂钩实现的。

相关主题