本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定區域拒絕控制
AWS Control Tower 提供兩個區域拒絕控制。啟用AWS-GR_REGION_DENY時,一個控制項 會套用至整個登陸區域。啟用CT.MULTISERVICE.PV.1時,另一個控制項 可以套用到您指定的特定 OUs。如需詳細資訊,請參閱 AWS 根據請求拒絕存取 , AWS 區域以及套用到 OU 的區域拒絕控制。
登陸區域的區域拒絕控制考量
區域拒絕控制AWS-GR_REGION_DENY是唯一的,因為它適用於整個登陸區域,而不是任何特定的 OU。若要設定區域拒絕控制,請前往登陸區域設定頁面,然後選取修改設定。
-
稍後可以變更此設定。
-
啟用時,此控制項會套用至
AWSControlTowerBaseline已啟用 的所有 OUs。 -
無法針對個別 OUs 設定此控制項。
注意
啟用區域拒絕控制項之前,請確定您在這些區域中沒有現有資源,因為您套用控制項後將無法存取您的資源。啟用控制項時,您將無法在遭拒的區域中部署資源。
當您啟用控制項時,它會套用至AWSControlTowerBaseline已啟用 的所有最上層 OUs,並且由組織階層中較低的 OUs 繼承。當您移除 控制項時,它會在所有先前套用OUs 上移除,AWS Control Tower 中的所有非受管區域都會保持 未受管 狀態, 而且您可以在 AWS Control Tower 可用性之外的區域中 部署資源。
例外狀況
您無法拒絕存取您的主要區域。某些全域 AWS 服務,例如 IAM 和 AWS Organizations,不受區域拒絕控制限制。若要進一步了解,請參閱AWS 根據請求拒絕存取 AWS 區域。
-
完整控制名稱: AWS 根據登陸區域的請求 AWS 區域拒絕對 的存取
-
控制描述:不允許存取登陸區域指定區域外的全域和區域服務中的未列出操作。
-
這是具有預防性指導的選擇性控制。
若要檢視區域拒絕控制 SCP 的範本,請參閱 AWS Control Tower 控制參考中的根據請求拒絕存取 AWSAWS 區域 。AWS Control Tower SCP 類似於 的 SCP AWS Organizations,但不完全相同。
您可以在區域服務頁面上判斷區域服務
