本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 控制的運作方式
<a name="how-controls-work"></a>

控制項是為整體 AWS 環境提供持續控管的高階規則。每個控制項都會強制執行單一規則，並以純語言表示。您可以隨時從 AWS Control Tower 主控台或 AWS Control Tower APIs 變更有效選擇性或強烈建議使用的控制項。強制控制項一律會套用，而且無法變更。

預防性控制可防止動作發生。例如，名為**不允許對 Amazon S3 儲存貯體的儲存貯體政策進行變更的選擇性控制 **（先前稱為**不允許對日誌封存進行政策變更） **可防止日誌封存共用帳戶中的任何 IAM 政策變更。任何執行阻止動作的嘗試都會遭到拒絕，並記錄在 CloudTrail 中。資源也會登入 AWS Config。

Detective 控制項會在特定事件發生時偵測，並在 CloudTrail 中記錄動作。例如，針對**連接至 Amazon EC2 執行個體的 Amazon EBS 磁碟區啟用加密時**， 強烈建議的控制項會偵測未加密的 Amazon EBS 磁碟區是否連接至登陸區域中的 EC2 執行個體。

在帳戶中佈建資源之前，主動控制會檢查資源是否符合您的公司政策和目標。如果資源不合規，則不會佈建這些資源。主動控制會監控透過 CloudFormation 範本部署在帳戶中的資源。

*對於熟悉的人 AWS：*在 AWS Control Tower 中，預防性控制會使用服務控制政策 SCPs) 和資源控制政策 RCPs) 實作。Detective 控制項會使用 AWS Config 規則實作。主動控制會使用 CloudFormation 勾點實作。

## 相關主題
<a name="how-controls-related"></a>
+ [偵測並解決 AWS Control Tower 中的偏離](drift.md)