As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Configurar o controle de negação de região O AWS Control Tower oferece dois controles de negação de região. Um controle, `GRREGIONDENY`, que quando ativado, se aplica a toda a zona de pouso. Outro controle`CTMULTISERVICEPV1`, quando ativado, pode ser aplicado ao específico OUs especificado por você. Para obter mais informações, consulte [Negar acesso AWS com base na solicitação Região da AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html) e [Controle de negação de região aplicado à OU](https://docs.aws.amazon.com/controltower/latest/controlreference/ou-region-deny.html). **Considerações sobre o controle de negação de região da zona de pouso** O controle de negação de região, [https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html) é único, pois se aplica à zona de pouso como um todo, e não a uma UO específica. Para configurar o controle de negação de região, acesse a página **Configurações de zona inicial** e selecione **Modificar configurações**. + Essa configuração pode ser alterada posteriormente. + Quando ativado, esse controle se aplica a todos os cadastrados OUs. + Esse controle não pode ser configurado individualmente OUs. **nota** Antes de habilitar o controle de negação de região, verifique se não há recursos nessas regiões, pois você não terá acesso a eles depois de aplicar o controle. Enquanto o controle estiver habilitado, você não poderá implantar recursos nas regiões negadas. Quando você ativa o controle, ele se aplica a todos os registros de nível superior OUs em sua hierarquia e é herdado pela OUs parte inferior da cadeia. Quando você remove o controle, ele é removido em todas as regiões registradas OUs e não governadas na AWS Control Tower que permanecem com o status **Não governado**, e você pode implantar recursos em regiões fora da disponibilidade do AWS Control Tower. **Exceções** Você não pode negar o acesso à região de origem. Certos AWS serviços globais, como IAM e AWS Organizations, estão isentos do controle de negação da região. Para saber mais, consulte [Deny access to AWS based on the requested Região da AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html). + Nome completo do controle: **negar acesso AWS com base na AWS região solicitada** + Descrição do controle: proíbe o acesso a operações não listadas em serviços globais e regionais fora das regiões especificadas. + Esse é um controle eletivo com orientação preventiva. Consulte o modelo de SCP do controle de negação de região em [Deny access to AWS based on the requested Região da AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html) na *Referência de controles do AWS Control Tower*. O AWS Control Tower SCP é semelhante [ao SCP AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region), mas não idêntico. É possível determinar os endpoints do serviço regional na [página Serviços regionais](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services).