本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置区域拒绝控件
AWS Control Tower 提供两种区域拒绝控件。一种控件是 AWS-GR_REGION_DENY,激活后,可应用于整个登录区。另一种控件是 CT.MULTISERVICE.PV.1,激活后,可应用于您指定的特定 OU。有关更多信息,请参阅AWS 根据请求拒绝访问 AWS 区域和应用于 OU 的区域拒绝控制。
关于登录区的区域拒绝控件的注意事项
区域拒绝控件 AWS-GR_REGION_DENY 是唯一的,因为它可应用于整个登录区,而不是任何特定的 OU。要配置该区域拒绝控件,请转到登录区设置页面,然后选择修改设置。
-
稍后可更改此设置。
-
启用后,此控件将应用于所有
AWSControlTowerBaseline启用的 OU。 -
无法为单个 OU 配置此控件。
注意
在启用该区域拒绝控件之前,请确保这些区域中没有现有资源,因为在应用控件后,您将无法访问您的资源。启用该控件后,您将无法在被拒绝的区域中部署资源。
启用控件后,它会应用于启用该控件的所有顶层 OU,而组织层次结构中较低的 OU 将继承该控件。AWSControlTowerBaseline当您移除控件时,所有先前应用的 OU 上的控件都会被移除,AWS Control Tower 中所有不受管理的区域都将保持不受管控状态,并且您可以在 AWS Control Tower 可用范围之外的区域部署资源。
异常
您不能拒绝访问您的主区域。某些全球 AWS 服务(例如 IAM 和 AWS Organizations)不受区域拒绝控制的约束。要了解更多信息,请参阅 Deny access to AWS based on the requested AWS 区域。
-
完整控制名称: AWS 根据请求的 landing zone AWS 区域拒绝访问权限
-
控制说明:禁止访问着陆区指定区域之外的全球和区域服务中的未列出操作。
-
这是一种具有预防性指导的选择性控件。
要查看区域拒绝控件 SCP 的模板,请参阅《AWS Control Tower Control 参考》中的 Deny access to AWS based on the requested AWS 区域。AWS Control Tower SCP 与 SCP 相似 AWS Organizations,但并不相同。
您可以在区域服务