本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定區域時避免混合控管 將 AWS Control Tower 管控擴展至新的區域,以及從區域移除 AWS Control Tower 管控之後 AWS 區域,請務必更新 OU 中的所有帳戶。 如果管理 OU 的控制項與管理 OU 內每個帳戶的控制項不完全相符,則可能會發生混合*控管*的不良情況。如果在 AWS Control Tower 將管控延伸至新的 或移除管控之後,帳戶未更新 AWS 區域,則混合管控會在 OU 中發生。 在這種情況下,與 OU 中的其他帳戶相比,或與登陸區域的整體控管狀態相比,OU 中的某些帳戶可能會在不同區域中套用不同的控制。 在具有混合控管的 OU 中,如果您佈建新帳戶,該新帳戶會收到與登陸區域相同的 (更新) 區域和 OU 控管狀態。不過,尚未更新的現有帳戶不會收到更新的區域控管狀態。 一般而言,混合控管可能會在 AWS Control Tower 主控台中建立矛盾或不準確的狀態指示燈。例如,在混合控管期間,對於尚未更新的 帳戶,選擇加入區域會在已註冊OUs 中以**「未控管**」狀態顯示。 **注意** AWS Control Tower 不允許在混合控管狀態期間啟用控制項。 **混合控管期間的控制行為** + 在混合控管期間,AWS Control Tower 無法一致地在 OU 已顯示為**受管**的區域中部署基於 AWS Config 規則 (即偵測性控制) 的控制項,因為 OU 中的某些帳戶尚未更新。您可能會收到`FAILED_TO_ENABLE`錯誤訊息。 + 在混合控管期間,如果您在 OU 中的任何帳戶尚未更新時,將登陸區域的控管延伸至選擇加入區域,則 OU 上的 `EnableControl` API 操作會針對偵測和主動控制失敗。您會收到`FAILED_TO_ENABLE`錯誤訊息,因為 OU 中的未更新成員帳戶尚未選擇加入這些區域。 + 在混合控管期間,屬於 **Security Hub CSPM 服務受管標準的控制項:AWS Control Tower** 無法在登陸區域組態與未更新的帳戶之間不相符的區域中準確報告合規。 + 混合控管不會變更 SCP 型控制 (預防性控制) 的行為,其會統一套用至每個受管區域中 OU 中的每個帳戶。 **注意** 混合控管與漂移不同,也不會回報為漂移。 **修復混合控管** + 客戶現在可以透過重設區域控制項來修復混合控管。任何非全域控制項都是區域性 (偵測和主動控制)。系統會透過警示橫幅提醒您的 OU 處於混合控管中。