本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 控件的工作原理
<a name="how-controls-work"></a>

控件是一项高级规则，可为您的整个 AWS 环境提供持续监管。每个控件都以简明的语言表达，用于执行一条规则。您可以随时从 AWS Control Tower 控制台或 AWS Control Tower 更改有效的选修或强烈推荐的控制措施。 APIs强制性控件始终实施，不能更改。

预防性控件可防止某些操作发生。例如，有一个选择性控件，名为**禁止更改 Amazon S3 存储桶的存储桶策略**（以前称为**禁止更改日志存档的策略**），用于防止日志存档共享账户内的任何 IAM 策略更改。任何执行所阻止操作的尝试都将被拒绝并记录在 CloudTrail 中。资源也已登录 AWS Config。

Detective 控件会在特定事件发生时对其进行检测并将操作记录在内CloudTrail。例如，有一个强烈推荐控件，名为**检测附加到 Amazon EC2 实例的 Amazon EBS 卷是否启用加密**，可检测未加密的 Amazon EBS 卷是否附加到您登录区中的 EC2 实例。

主动性控件可检查资源是否符合您公司的策略和目标，然后再在账户中预置资源。如果资源不合规，则不会对其进行预置。主动控制通过 CloudFormation 模板监控将在您的账户中部署的资源。

*对于那些熟悉的人 AWS：*在 AWS Control Tower 中，预防性控制是通过服务控制策略 (SCPs) 和资源控制策略 (RCPs) 来实施的。Detective 控件是通过 AWS Config 规则实现的。主动控制是通过 CloudFormation 挂钩实现的。

## 相关主题
<a name="how-controls-related"></a>
+ [在 AWS Control Tower 中检测并解决偏移问题](drift.md)