Configuración del control de denegación de regiones - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del control de denegación de regiones

AWSControl Tower ofrece dos controles de denegación regional. Cuando se activa, el control GRREGIONDENY se puede aplicar a toda la zona de aterrizaje. Otro control, cuando está activadoCTMULTISERVICEPV1, se puede aplicar a los controles específicos OUs que tú especifiques. Para obtener más información, consulte Denegar el acceso en AWS función de la solicitud Región de AWS y el control de denegación regional aplicado a la OU.

Consideraciones sobre el control de denegación de regiones de la zona de aterrizaje

El control de denegación de regiones GRREGIONDENY es único, ya que se aplica a la zona de aterrizaje en su conjunto y no a una OU específica. Para configurar el control de denegación de regiones, vaya a la página Configuración de la zona de almacenamiento y seleccione Modificar configuración.

  • Esta configuración se puede cambiar más adelante.

  • Cuando está activado, este control se aplica a todos los registradosOUs.

  • Este control no se puede configurar de forma individualOUs.

nota

Antes de activar el control de denegación de regiones, asegúrese de que no dispone de recursos en estas regiones, ya que no tendrá acceso a los recursos una vez que haya aplicado el control. Mientras el control esté activado, no podrá implementar recursos en las regiones denegadas.

Al habilitar el control, se aplica a todos los niveles superiores registrados de OUs la jerarquía y lo heredan los niveles OUs inferiores de la cadena. Cuando eliminas el control, se elimina en todos los registrosOUs, todas las regiones no gobernadas de la Torre de AWS Control permanecen en el estado No gobernadas y puedes desplegar recursos en regiones fuera de la disponibilidad de la Torre de AWS Control.

Excepciones

No puede denegar el acceso a la región de origen. Algunos AWS servicios globales, como IAM los que están exentos de la región AWS Organizations, deniegan el control. Para obtener más información, consulte Deny access to AWS based on the requested Región de AWS.

  • Nombre de control total: denegar el acceso en AWS función de la AWS región solicitada

  • Descripción del control: deniega el acceso a operaciones no incluidas en la lista de servicios globales y regionales fuera de las regiones especificadas.

  • Se trata de un control opcional con directrices preventivas.

Para ver la plantilla del control de denegación regionalSCP, consulte Denegar el acceso a AWS según lo solicitado Región de AWS en la referencia de AWS Control Tower Control Control. La Torre AWS de Control SCP es similar a SCPla anterior AWS Organizations, pero no idéntica.

Puede determinar los puntos de conexión de los servicios regionales en la página de servicios regionales.