Hier finden Sie verfügbare Kontrollen und Regionen

Einschränkungen der Kontrolle

AWSControl Tower unterstützt Sie bei der Aufrechterhaltung einer sicheren Umgebung mit mehreren Konten mithilfe AWS von Kontrollen, die in verschiedenen Formen implementiert werden, wie z. B. Richtlinien zur Dienststeuerung (SCPs), AWS Config Regeln und AWS CloudFormation Hooks.

Das Referenzhandbuch für Steuerungen

Detaillierte Informationen zu AWS Control Tower Controls wurden in das AWS Control Tower Controls Reference Guide verschoben.

Wenn Sie AWS Control Tower-Ressourcen ändern, z. B. eineSCP, oder eine AWS Config Ressource entfernen, z. B. einen Config-Recorder oder -Aggregator, kann AWS Control Tower nicht mehr garantieren, dass die Steuerungen wie vorgesehen funktionieren. Daher kann die Sicherheit Ihrer Umgebung mit mehreren Konten gefährdet sein. Das Sicherheitsmodell der AWS geteilten Verantwortung gilt für alle derartigen Änderungen, die Sie vornehmen.

Anmerkung

AWSControl Tower hilft dabei, die Integrität Ihrer Umgebung aufrechtzuerhalten, indem es die SCPs präventiven Kontrollen auf ihre Standardkonfiguration zurücksetzt, wenn Sie Ihre landing zone aktualisieren. Änderungen, die Sie möglicherweise vorgenommen haben, SCPs werden konstruktionsbedingt durch die Standardversion der Steuerung ersetzt.

Einschränkungen nach Regionen

Einige Steuerungen im AWS Control Tower funktionieren in bestimmten Regionen, in AWS-Regionen denen der AWS Control Tower verfügbar ist, nicht, da diese Regionen die erforderlichen Basisfunktionen nicht unterstützen. Wenn Sie diese Steuerung einsetzen, ist sie daher möglicherweise nicht in allen Regionen verfügbar, die Sie mit AWS Control Tower verwalten. Diese Einschränkung betrifft bestimmte detektive Kontrollen, bestimmte proaktive Kontrollen und bestimmte Kontrollen im vom Security Hub Service verwalteten Standard: AWS Control Tower. Weitere Informationen zur regionalen Verfügbarkeit finden Sie in den Security Hub-Steuerelementen. Weitere Informationen finden Sie in der Dokumentation zur regionalen Serviceliste und in der Referenzdokumentation zu Security Hub-Steuerungen.

Das Kontrollverhalten ist auch bei gemischter Verwaltung begrenzt. Weitere Informationen finden Sie unter Vermeiden Sie gemischte Verwaltungsstrukturen bei der Konfiguration von Regionen.

Weitere Informationen darüber, wie AWS Control Tower mit den Einschränkungen von Regionen und Kontrollen umgeht, finden Sie unterÜberlegungen zur Aktivierung von AWS Opt-in-Regionen.

Anmerkung

Für die aktuellsten Informationen zu Kontrollen und zur Unterstützung von Regionen empfehlen wir, dass Sie sich telefonisch bei GetControland ListControlsAPIoperations melden.

Hier finden Sie verfügbare Kontrollen und Regionen

Sie können die verfügbaren Regionen für jede Steuerung in der AWS Control Tower Tower-Konsole anzeigen. Sie können die verfügbaren Regionen programmgesteuert mit dem GetControlund ListControlsAPIsim AWS Control Catalog anzeigen.

Sehen Sie sich auch die Referenztabelle der AWS Control Tower-Steuerungen und der unterstützten Regionen, Verfügbarkeit von Steuerungen nach Regionen, im Referenzhandbuch für AWS Control Tower Controls an.

Informationen zu AWS Security Hub Steuerungen aus dem Service-Managed Standard: AWS Control Tower, die in bestimmten Fällen nicht unterstützt werden AWS-Regionen, finden Sie unter „Nicht unterstützte Regionen“ im Security Hub Hub-Standard.

Die folgende Tabelle zeigt spezifische proaktive Kontrollen, die in bestimmten Fällen nicht unterstützt werden. AWS-Regionen

Kennung des Steuerelements	Regionen, die nicht eingesetzt werden können
`CT.DAX.PR.2`	ap-Southeast-5, ca-west-1, us-west-1
`CT.REDSHIFT.PR.5`	ap-south-2, ap-southeast-3, ap-southeast-4, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1

Die folgende Tabelle zeigt AWS Control Tower Tower-Detektivsteuerungen, die in bestimmten Fällen nicht unterstützt werden AWS-Regionen.

Kontroll-ID	Regionen, die nicht eingesetzt werden können
`API_GW_CACHE_ENABLED_AND_ENCRYPTED`	ap-Southeast-5, ca-west-1
`APPSYNC_ASSOCIATED_WITH_WAF`	af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, ap-Südost-5, ca-west-1, eu-central-2, eu-south-2, il-central-1, me-central-1
`AURORA_LAST_BACKUP_RECOVERY_POINT_CREATED`	ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1
`AURORA_RESOURCES_PROTECTED_BY_BACKUP_PLAN`	ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1
`AUTOSCALING_CAPACITY_REBALANCING`	ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1
`AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED`	ap-northeast-3, ap-southeast-3, ap-southeast-4, AP-Südoast-5, CA-West-1, il-central-1
`AWS-GR_DMS_REPLICATION_NOT_PUBLIC`	af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, ap-Südost-5, ca-west-1, eu-central-2, eu-south-1, eu-south-2, il-central-1, me-central-1
`AWS-GR_EBS_OPTIMIZED_INSTANCE`	ap-Southeast-5, ca-west-1
`AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK`	eu-south-2
`AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP`	ap-northeast-3
`AWS-GR_EC2_VOLUME_INUSE_CHECK`	ap-Southeast-5, ca-west-1
`AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS`	ap-Southeast-5, ca-west-1
`AWS-GR_ELASTICSEARCH_IN_VPC_ONLY`	ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1
`AWS-GR_EMR_MASTER_NO_PUBLIC_IP`	af-south-1, ap-northeast-3, ap-south-2, ap-southeast-3, ap-southeast-4, ap-Südost-5, ca-west-1, eu-central-2, eu-south-1, eu-south-2, il-central-1, me-central-1
`AWS-GR_ENCRYPTED_VOLUMES`	af-south-1, ap-northeast-3, eu-south-1, il-central-1
`AWS-GR_IAM_USER_MFA_ENABLED`	ap-south-2, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1
`AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED`	eu-south-2
`AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS`	ap-south-2, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1
`AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW`	ap-northeast-3, ap-south-2, ap-southeast-3, AP-Südost-5, CA-West-1, eu-south-2
`AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK`	ap-south-2, eu-south-2
`AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED`	af-south-1, ap-southeast-4, eu-central-2, eu-south-1, eu-south-2, il-central-1
`AWS-GR_RDS_STORAGE_ENCRYPTED`	eu-central-2, eu-south-2
`AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK`	ap-south-2, ap-southeast-3, AP-Südost-5, CA-West-1, eu-south-2
`AWS-GR_RESTRICTED_SSH`	af-south-1, eu-south-1
`AWS-GR_ROOT_ACCOUNT_MFA_ENABLED`	ap-Southeast-5, ca-west-1, il-central-1, me-central-1
`AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC`	eu-central-2, eu-south-2, il-central-1
`AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS`	af-south-1, ap-northeast-3, ap-south-2, ap-southeast-3, ap-southeast-4, ap-Südost-5, ca-west-1, eu-central-2, eu-south-1, eu-south-2, il-central-1, me-central-1
`AWS-GR_SSM_DOCUMENT_NOT_PUBLIC`	AP-southeast-5, ca-west-1, il-central-1
`AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED`	ap-northeast-3
`BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK`	ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1
`BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED`	ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1
`BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK`	ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Anfordern einer Kontingenterhöhung

Einschränkungen aufgrund AWS der zugrunde liegenden Dienste