本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 配置区域时避免混合监管 在将 AWS Control Tower 管理范围扩展到新的 AWS Control Tower 管理范围之后 AWS 区域,以及从某个区域中移除 AWS Control Tower 监管之后,更新组织单位中的所有账户非常重要。 如果监管 OU 的控件与监管 OU 内每个账户的控件不完全匹配,就可能会出现*混合监管*这种不理想的情况。如果在 AWS Control Tower 将监管范围扩展到新的或移除监管后仍未更新账户 AWS 区域,则组织单位中就会出现混合治理。 在这种情况下,与 OU 中的其他账户相比,或者与登录区的整体监管状态相比,OU 中的某些账户在不同区域中应用的控件可能有所不同。 在出现混合监管的 OU 中,如果您预置新账户,则该新账户将获得与登录区相同的(更新的)区域和 OU 监管状态。但是,尚未更新的现有账户不会收到更新的区域监管状态。 通常,混合监管可能会在 AWS Control Tower 控制台中产生矛盾或不准确的状态指示器。例如,在混合治理期间,对于尚未更新的账户,选择加入区域显示为 “**未受管辖**” 状态,处于已注册 OUs状态。 **注意** AWS Control Tower 不允许在混合监管状态下启用控件。 **混合监管期间控件的行为** + 在混合治理期间,AWS Control Tower 无法在 OU 已显示为 “受管**辖**” 的区域中持续部署基于 AWS Config 规则(即侦探控件)的控件,因为 OU 中的某些账户尚未更新。您可能会收到一条 `FAILED_TO_ENABLE` 错误消息。 + 在混合监管期间,如果您在 OU 中的任何账户尚未更新时将登录区的监管范围扩展到选择加入区域,则在 OU 上的 `EnableControl` API 操作将失败,无法启用检测性和主动性控件。您将收到一条 `FAILED_TO_ENABLE` 错误消息,因为 OU 中未更新的成员账户尚未被选入这些区域。 + 在混合治理期间,作为 Sec **urity Hub CSPM 服务托管标准:AWS Control Tower 一部分的控制**措施无法准确报告着陆区域配置与未更新的账户不匹配的区域的合规性。 + 混合监管不会更改基于 SCP 的控件(预防性控件)的行为,这些控件统一应用于每个受监管区域的组织中的每个账户。 **注意** 混合监管与偏移不同,所以不会被报告为偏移。 **修复混合监管** + 现在,客户可以通过重置区域控制来修复混合治理。任何非全局控制都是区域性的(侦查和主动控制)。系统将通过警报横幅提醒您的 OU 处于混合治理状态。