コントロールの制限事項

AWS Control Tower は、サービスコントロールポリシー (SCPs)、 AWS Config ルール、 CloudFormation フックなど、さまざまな形式で実装されるコントロール AWS を使用して、で安全なマルチアカウント環境を維持するのに役立ちます。

Controls Reference Guide

AWS Control Tower のコントロールに関する詳細情報は、「AWS Control Tower Controls Reference Guide」に移動されました。

SCP などの AWS Control Tower リソースを変更したり、Config レコーダーやアグリゲータなどの AWS Config リソースを削除したりすると、AWS Control Tower はコントロールが設計どおりに機能することを保証できなくなります。このため、マルチアカウント環境のセキュリティが危険にさらされる可能性があります。セキュリティ AWS の責任共有モデルは、お客様が行う可能性のある変更に適用されます。

注記

AWS Control Tower は、ランディングゾーンを更新したときに予防コントロールの SCP を標準設定にリセットすることで、環境の完全性が維持されるように支援します。SCP に加えられた可能性がある変更は、設計により、標準バージョンのコントロールに置き換えられます。

リージョン別の制限事項

AWS Control Tower の一部のコントロールは、AWS Control Tower が利用可能な特定の AWS リージョン場所で動作しません。これらのリージョンは、必要な基盤となる機能をサポートしていないためです。したがって、そのコントロールをデプロイしても、AWS Control Tower で管理しているすべてのリージョンで動作しない可能性があります。この制限は、Security Hub CSPM Service-managed Standard: AWS Control Tower の特定の検出コントロール、特定のプロアクティブコントロール、および特定のコントロールに影響します。リージョン別の利用可能性の詳細については、「Security Hub controls」を参照してください。また、リージョンサービスリストドキュメントと Security Hub CSPM コントロールリファレンスドキュメントも参照してください。

混合ガバナンスの場合、コントロールの動作も制限されます。詳細については、「リージョンを設定する際は混合ガバナンスを避ける」を参照してください。

AWS Control Tower がリージョンとコントロールの制限を管理する方法の詳細については、「AWS オプトインリージョンをアクティブ化する際の考慮事項」を参照してください。

注記

コントロールとリージョンのサポートに関する最新情報については、GetControl および ListControls API オペレーションを呼び出すことをお勧めします。

使用可能なコントロールとリージョンを確認する

各コントロールの使用可能なリージョンは、AWS Control Tower コンソールで表示できます。 AWS Control Catalog の GetControlおよび ListControls APIs を使用して、利用可能なリージョンをプログラムで表示できます。

特定のでサポートされていないサービスマネージドスタンダード: AWS Control Tower の AWS Security Hub CSPM コントロールについては AWS リージョン、Security Hub CSPM 標準の「サポートされていないリージョン」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

クォータ引き上げをリクエストする

基盤となる AWS サービスに基づく制限