本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定區域拒絕控制 AWS Control Tower 提供兩個區域拒絕控制。啟用`AWS-GR_REGION_DENY`時,一個控制項 會套用至整個登陸區域。啟用`CT.MULTISERVICE.PV.1`時,另一個控制項 可以套用到您指定的特定 OUs。如需詳細資訊[,請參閱 AWS 根據請求拒絕存取 , AWS 區域](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)以及[套用到 OU 的區域拒絕控制](https://docs.aws.amazon.com/controltower/latest/controlreference/ou-region-deny.html)。 **登陸區域的區域拒絕控制考量** 區域拒絕控制[https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)是唯一的,因為它適用於整個登陸區域,而不是任何特定的 OU。若要設定區域拒絕控制,請前往**登陸區域設定**頁面,然後選取**修改設定**。 + 稍後可以變更此設定。 + 啟用時,此控制項會套用至`AWSControlTowerBaseline`已啟用 的所有 OUs。 + 無法針對個別 OUs 設定此控制項。 **注意** 啟用區域拒絕控制項之前,請確定您在這些區域中沒有現有資源,因為您套用控制項後將無法存取您的資源。啟用控制項時,您將無法在遭拒的區域中部署資源。 當您啟用控制項時,它會套用至`AWSControlTowerBaseline`已啟用 的所有最上層 OUs,並且由組織階層中較低的 OUs 繼承。當您移除 控制項時,它會在所有先前套用OUs 上移除,AWS Control Tower 中的所有非受管區域都會保持 **未受管** 狀態, 而且您可以在 AWS Control Tower 可用性之外的區域中 部署資源。 **例外狀況** 您無法拒絕存取您的主要區域。某些全域 AWS 服務,例如 IAM 和 AWS Organizations,不受區域拒絕控制限制。若要進一步了解,請參閱[AWS 根據請求拒絕存取 AWS 區域](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html)。 + 完整控制名稱:** AWS 根據登陸區域的請求 AWS 區域拒絕對 的存取** + 控制描述:不允許存取登陸區域指定區域外的全域和區域服務中的未列出操作。 + 這是具有預防性指導的選擇性控制。 若要檢視區域拒絕控制 SCP 的範本,請參閱 *AWS Control Tower 控制參考*中的[根據請求拒絕存取 AWSAWS 區域](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html) 。AWS Control Tower SCP 類似於 [的 SCP AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region),但不完全相同。 您可以在區域服務[頁面上判斷區域服務](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services)端點。