本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 設定區域拒絕控制 AWS Control Tower 提供兩個區域拒絕控制。啟用`GRREGIONDENY`時,一個控制項 會套用至整個登陸區域。啟用`CTMULTISERVICEPV1`時,另一個控制項 可以套用到您指定的特定 OUs。如需詳細資訊[,請參閱 AWS 根據請求拒絕存取 , AWS 區域](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)以及[套用到 OU 的區域拒絕控制](https://docs.aws.amazon.com/controltower/latest/controlreference/ou-region-deny.html)。 **登陸區域的區域拒絕控制考量** 區域拒絕控制[https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)是唯一的,因為它適用於整個登陸區域,而不是任何特定的 OU。若要設定區域拒絕控制,請前往**登陸區域設定**頁面,然後選取**修改設定**。 + 稍後可以變更此設定。 + 啟用時,此控制項會套用至所有已註冊OUs。 + 無法針對個別 OUs 設定此控制項。 **注意** 啟用區域拒絕控制項之前,請確定您在這些區域中沒有現有資源,因為您套用控制項後將無法存取您的資源。啟用控制項時,您將無法在遭拒的區域中部署資源。 當您啟用控制項時,它會套用到階層中所有已註冊的頂層 OUs,並且由鏈結中較低的 OUs 繼承。當您移除 控制項時,它會在所有已註冊OUs 上移除它,AWS Control Tower 中的所有非受管區域都會保持 **未受管** 狀態, 而且您可以在 AWS Control Tower 可用性之外的區域中 部署資源。 **例外狀況** 您無法拒絕存取您的主要區域。某些全域 AWS 服務,例如 IAM 和 AWS Organizations,不受區域拒絕控制。若要進一步了解,請參閱[AWS 根據請求拒絕存取 AWS 區域](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html)。 + 完整控制名稱:** AWS 根據請求 AWS 的區域拒絕對 的存取** + 控制描述:不允許在指定區域外的全域和區域服務中存取未列出的操作。 + 這是具有預防性指導的選擇性控制。 若要檢視區域拒絕控制 SCP 的範本,請參閱 *AWS Control Tower 控制參考*中的[根據請求拒絕對 AWS 的存取 AWS 區域](https://docs.aws.amazon.com//controltower/latest/controlreference/lz-region-deny.html)。AWS Control Tower SCP 類似於 [的 SCP AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region),但不完全相同。 您可以在區域服務[頁面上判斷區域服務](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services)端點。