本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定區域拒絕控制
AWS Control Tower 提供兩個區域拒絕控制。啟用GRREGIONDENY時,一個控制項 會套用至整個登陸區域。啟用CTMULTISERVICEPV1時,另一個控制項 可以套用到您指定的特定 OUs。如需詳細資訊,請參閱 AWS 根據請求拒絕存取 , AWS 區域以及套用到 OU 的區域拒絕控制。
登陸區域的區域拒絕控制考量
區域拒絕控制GRREGIONDENY是唯一的,因為它適用於整個登陸區域,而不是任何特定的 OU。若要設定區域拒絕控制,請前往登陸區域設定頁面,然後選取修改設定。
-
稍後可以變更此設定。
-
啟用時,此控制項會套用至所有已註冊OUs。
-
無法針對個別 OUs 設定此控制項。
注意
啟用區域拒絕控制項之前,請確定您在這些區域中沒有現有資源,因為您套用控制項後將無法存取您的資源。啟用控制項時,您將無法在遭拒的區域中部署資源。
當您啟用控制項時,它會套用至階層中所有已註冊的頂層 OUs,並且由鏈結中較低的 OUs 繼承。當您移除控制項時,它會在所有已註冊OUs 上移除,AWS Control Tower 中的所有非受管區域都會保留在不受控管的狀態,而且您可以在 AWS Control Tower 可用性之外的區域中部署資源。
例外狀況
您無法拒絕存取您的主要區域。某些全域 AWS 服務,例如 IAM 和 AWS Organizations,不受區域拒絕控制限制。若要進一步了解,請參閱AWS 根據請求拒絕存取 AWS 區域。
-
完整控制名稱: AWS 根據請求 AWS 的區域拒絕對 的存取
-
控制描述:不允許在指定區域外的全域和區域服務中存取未列出的操作。
-
這是具有預防性指導的選擇性控制。
若要檢視區域拒絕控制 SCP 的範本,請參閱 AWS Control Tower 控制參考中的根據請求拒絕存取 AWSAWS 區域 。AWS Control Tower SCP 類似於 的 SCP AWS Organizations,但不完全相同。
您可以在區域服務頁面上判斷區域服務
