本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 控制限制
<a name="control-limitations"></a>

AWS Control Tower AWS 透過以各種形式實作的控制，例如服務控制政策 (SCPs)、 AWS Config 規則和 CloudFormation 勾點，協助您在 上維護安全的多帳戶環境。

**控制項參考指南**  
AWS Control Tower 控制項的詳細資訊已移至 [AWS Control Tower 控制項參考指南](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html)。

如果您修改 AWS Control Tower 資源，例如 SCP，或移除任何 AWS Config 資源，例如 Config 記錄器或彙總器，AWS Control Tower 無法再保證控制項如設計般運作。因此，多帳戶環境的安全性可能會受到影響。安全性 AWS [的共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model)適用於您可能進行的任何此類變更。

**注意**  
 當您更新登陸區域時，AWS Control Tower 會將預防性控制的 SCPs 重設為其標準組態，以協助維護您環境的完整性。您對 SCPs 所做的變更將由標準版本的控制項依設計取代。

**區域限制**

AWS Control Tower 中的某些控制項無法在可使用 AWS Control Tower AWS 區域 的特定 中運作，因為這些區域不支援所需的基礎功能。因此，當您部署該控制項時，它可能不會在您使用 AWS Control Tower 管理的所有區域中運作。此限制會影響 **Security Hub CSPM 服務受管標準：AWS Control Tower **中的特定偵測控制、特定主動控制和特定控制。如需區域可用性的詳細資訊，請參閱 [Security Hub 控制項](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html)。另請參閱[區域服務清單文件](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)和 [Security Hub CSPM 控制參考文件](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-controls-reference.html)。

在*混合控管*的情況下，控制行為也會受到限制。如需詳細資訊，請參閱[設定區域時避免混合控管](mixed-governance.md)。

如需 AWS Control Tower 如何管理區域和控制項限制的詳細資訊，請參閱 [啟用 AWS 選擇加入區域的考量事項](opt-in-region-considerations.md)。

**注意**  
如需控制和區域支援的最新資訊，建議您呼叫 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)和 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) API 操作。

## 尋找可用的控制項和區域
<a name="find-available-controls-and-regions"></a>

您可以在 AWS Control Tower 主控台中檢視每個控制項的可用區域。您可以使用 AWS Control Catalog 中的 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)和 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) APIs，以程式設計方式檢視可用的區域。

如需特定 中不支援**之服務受管標準：AWS Control Tower** AWS Security Hub CSPM 控制的相關資訊 AWS 區域，請參閱 [Security Hub CSPM 標準](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html)中的「不支援的區域」。