本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS Control Tower 功能的區域差異 AWS Control Tower 的行為存在某些差異 AWS 區域,因為 AWS Control Tower 協調了其他服務的行為 AWS 。例如: + AWS Service Catalog 不適用於 AWS Control Tower 提供的所有 AWS 區域 ,這會變更這些區域中帳戶工廠的行為。 + 在某些區域中,帳戶工廠自訂 (AFC) 無法使用,因為 Service Catalog 無法支援藍圖的基礎功能。 + AWS 區域 由於缺少基礎功能,某些控制項無法在所有 中使用。 + AWS 區域 由於缺少基礎功能,所有 都無法使用 AFT 和 CfCT。 若要為您的 AWS Control Tower 環境做出行為的最佳判斷,請確認您的所在區域。然後,評估下列項目。如需詳細資訊,請參閱 [AWS Control Tower 中的限制和配額](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html)。 + 您所需的主要區域是否 AWS Service Catalog 可用? + 您需要的控制項是否可用? 請參閱[控制限制](https://docs.aws.amazon.com/controltower/latest/userguide/control-limitations.html)。 + IAM Identity Center 是否可在您想要的主區域中使用? **控制項的可部署區域** 由於缺少基礎相依性,AWS Control Tower 無法在特定區域中部署特定控制項。您可以呼叫 `ListControls`和 `GetControl` APIs,找到任何控制項可部署區域的最新資訊。您也可以在 AWS Control Tower 主控台中檢視可部署的區域。 當您在由 AWS Control Tower 管理的 OU 上啟用控制項時,控制項的有效區域是 AWS Control Tower 受管區域與控制項可部署區域的*交集*。 例如,可以在在受管區域 X、Y 和 Z 中操作的 OU 上啟用控制項。但在啟用之後,相同的控制項只會部署在區域 X 和 Z 上,因為控制項本身不支援區域 Y。 請務必監控您部署的控制項與在 AWS Control Tower 中操作工作負載的 區域之間的關係,以免您遇到 AWS 資源保護漏洞。 **如何檢查您的受保護區域** + 在 AWS Control Tower 主控台中,您可以在已啟用控制項區段中檢視**已啟用的控制項**和區域。 + 如果您呼叫 `GetEnabledControl` API,**targetRegions** 參數只會顯示您可以有效部署控制項的區域,而不是無法部署的區域。