本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Control Tower 中的联网
AWS Control Tower 通过以下方式为联网提供基本支持 VPCs。
如果 AWS Control Tower VPC 的默认配置或功能无法满足您的需求,则可以使用其他AWS服务来配置您的 VPC。有关如何使用 VPCs 和 AWS Control Tower 的更多信息,请参阅构建可扩展且安全的多 VPC AWS网络基础设施
AWS Control Tower 通过双堆栈 IP 地址支持 IPv4 和 IPv6 协议。有关更多信息,请参阅 AWS Control Catalog 端点和配额以及 AWS Control Tower 端点和配额。
相关主题
-
有关注册现有账户时 AWS Control Tower 的工作原理的信息 VPCs,请参阅使用注册现有账户 VPCs。
-
使用 Account Factory,您可以预置包含 AWS Control Tower VPC 的账户,也可以预置没有 VPC 的账户。有关如何删除 AWS Control Tower VPC 或配置没有 VPC 的 AWS Control Tower 账户的信息,请参阅 演练:配置不含 VPC 的 AWS Control Tower。
-
有关如何更改账户设置的信息 VPCs,请参阅有关更新账户的 Acco unt Factory 文档。
-
有关使用联网和 VPCs AWS Control Tower 的更多信息,请参阅本用户指南相关信息页面上有关联网的部分。
VPCs 以及 AWS Control Tower 中的AWS区域
作为账户创建的标准部分,在每个区域AWS创建AWS默认 VPC,即使是您不使用 AWS Control Tower 管理的区域也是如此。此默认 VPC 与 AWS Control Tower 为预配置账户创建的 VPC 不同,但是 IAM 用户可以访问非受监管区域中的AWS默认 VPC。
管理员可以启用区域拒绝控件,这样您的最终用户就无权连接到 AWS Control Tower 支持的区域,而是连接到您监管区域之外的 VPC。要配置该区域拒绝控件,请转到登录区设置页面,然后选择修改设置。
区域拒绝控件会阻止对非监管AWS 区域内大多数服务的 API 调用。有关更多信息,请参阅AWS根据请求拒绝访问AWS 区域。 。
注意
在不支持 AWS Control Tower 的区域中,区域拒绝控件可能不会阻止 IAM 用户连接到AWS默认 VPC。
或者,您可以移除非治理区域 VPCs 中的AWS默认设置。要列出某个区域中的默认 VPC,您可以使用类似于以下示例的 CLI 命令:
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true
