本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 配置区域拒绝控件 AWS Control Tower 提供两种区域拒绝控件。一种控件是 `GRREGIONDENY`,激活后,可应用于整个登录区。另一个控件在激活后`CTMULTISERVICEPV1`,可以应用于您指定的 OUs 特定控件。有关更多信息,请参阅[AWS 根据请求拒绝访问 AWS 区域](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)和[应用于 OU 的区域拒绝控制](https://docs.aws.amazon.com/controltower/latest/controlreference/ou-region-deny.html)。 **关于登录区的区域拒绝控件的注意事项** 区域拒绝控件 [https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html) 是唯一的,因为它可应用于整个登录区,而不是任何特定的 OU。要配置该区域拒绝控件,请转到**登录区设置**页面,然后选择**修改设置**。 + 稍后可更改此设置。 + 启用后,此控件将应用于所有已注册的用户 OUs。 + 无法为个人配置此控件 OUs。 **注意** 在启用该区域拒绝控件之前,请确保这些区域中没有现有资源,因为在应用控件后,您将无法访问您的资源。启用该控件后,您将无法在被拒绝的区域中部署资源。 启用该控件后,它将应用于层次结构 OUs 中所有已注册的顶级控件,并由链中的 OUs 较低层继承。当您移除控件时,所有已注册的控件都会被移除 OUs,AWS Control Tower 中的所有非受**治理区域都将保持不受**管控状态,并且您可以在 AWS Control Tower 可用范围之外的区域部署资源。 **异常** 您不能拒绝访问您的主区域。某些全球 AWS 服务(例如 IAM 和 AWS Organizations)不受区域拒绝控制的约束。要了解更多信息,请参阅 [Deny access to AWS based on the requested AWS 区域](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html)。 + 完整控制名称:** AWS 根据请求的 AWS 区域拒绝访问权限** + 控件说明:禁止访问指定区域之外的全局和区域服务中未列出的操作。 + 这是一种具有预防性指导的选择性控件。 要查看区域拒绝控件 SCP 的模板,请参阅《AWS Control Tower Control 参考》中的 [Deny access to AWS based on the requested AWS 区域](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html)。**AWS Control Tower SCP 与 [SCP](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region) 相似 AWS Organizations,但并不相同。 您可以在[区域服务](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services)页面上确定区域服务端点。