View a markdown version of this page

Configura il Region Deny Control - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura il Region Deny Control

AWS Control Tower offre due Region Deny Control. Un controlloAWS-GR_REGION_DENY, quando attivato, si applica all'intera landing zone. Un altro controlloCT.MULTISERVICE.PV.1, se attivato, può essere applicato a uno specifico OUs controllo specificato dall'utente. Per ulteriori informazioni, consulta Negare l'accesso a in AWS base alla richiesta Regione AWS e Region Deny control applicato all'unità organizzativa.

Considerazioni sulla regione nega il controllo della landing zone

La Region Deney Control AWS-GR_REGION_DENYè unica, perché si applica alla landing zone nel suo insieme, piuttosto che a una specifica UO. Per configurare il Region Deny Control, vai alla pagina delle impostazioni della zona di atterraggio e seleziona Modifica impostazioni.

  • Questa impostazione può essere modificata in un secondo momento.

  • Se abilitato, questo controllo si applica a tutti coloro OUs che AWSControlTowerBaseline hanno abilitato.

  • Questo controllo non può essere configurato per singoli utenti OUs.

Nota

Prima di abilitare il Region Deny Control, assicurati di non disporre di risorse esistenti in queste aree, perché non avrai accesso alle tue risorse dopo aver applicato il controllo. Mentre il controllo è abilitato, non sarai in grado di distribuire risorse nelle regioni negate.

Quando si abilita il controllo, viene applicato a tutti i livelli superiori OUs con quello AWSControlTowerBaseline abilitato e viene ereditato dai livelli OUs inferiori della gerarchia organizzativa. Quando rimuovi il controllo, questo viene rimosso su tutte le regioni precedentemente applicate OUs, tutte le regioni non governate in AWS Control Tower rimangono nello stato Non governato e puoi distribuire risorse in regioni al di fuori della disponibilità di AWS Control Tower.

Eccezioni

Non puoi negare l'accesso alla tua regione d'origine. Alcuni AWS servizi globali, come IAM e AWS Organizations, sono esenti dalla Region Deny Control. Per ulteriori informazioni, consulta Negare l'accesso a in AWS base alla richiesta. Regione AWS

  • Nome di controllo completo: nega l'accesso AWS in base alla AWS regione richiesta per la landing zone

  • Descrizione del controllo: non consente l'accesso alle operazioni non elencate nei servizi globali e regionali al di fuori delle regioni specificate per la landing zone.

  • Si tratta di un controllo elettivo con guida preventiva.

Per visualizzare il modello per Region deny control SCP, consulta Deny access to in AWS base a quanto richiesto Regione AWS nel riferimento AWS Control Tower Control. L'AWS Control Tower SCP è simile a SCP for AWS Organizations, ma non è identico.

È possibile determinare gli endpoint dei servizi regionali nella pagina Servizi regionali.