Trouvez les commandes et les régions disponibles

Limites de contrôle

AWSControl Tower vous aide à maintenir un environnement multi-comptes sécurisé au AWS moyen de contrôles mis en œuvre sous différentes formes, tels que des politiques de contrôle des services (SCPs), des AWS Config règles et des AWS CloudFormation hooks.

Le guide de référence sur les commandes

Les informations détaillées sur les commandes de AWS Control Tower ont été transférées dans le guide de référence de AWS Control Tower Controls.

Si vous modifiez les ressources de la AWS Control Tower, telles qu'une ressourceSCP, ou si vous supprimez une AWS Config ressource, telle qu'un enregistreur ou un agrégateur Config, AWS Control Tower ne peut plus garantir que les commandes fonctionnent comme prévu. Par conséquent, la sécurité de votre environnement multi-comptes peut être compromise. Le modèle de sécurité à responsabilité AWS partagée s'applique à toutes les modifications que vous pourriez apporter.

Note

AWSControl Tower contribue à préserver l'intégrité de votre environnement en rétablissant la configuration standard SCPs des commandes préventives lors de la mise à jour de votre zone d'atterrissage. Les modifications que vous avez éventuellement apportées SCPs sont remplacées par la version standard du contrôle, par conception.

Limitations par région

Certaines commandes de AWS Control Tower ne fonctionnent pas dans certaines régions Régions AWS où AWS Control Tower est disponible, car ces régions ne prennent pas en charge les fonctionnalités sous-jacentes requises. Par conséquent, lorsque vous déployez ce contrôle, il se peut qu'il ne fonctionne pas dans toutes les régions que vous gouvernez avec AWS Control Tower. Cette limitation concerne certains contrôles de détection, certains contrôles proactifs et certains contrôles du Security Hub Service-managed Standard : AWS Control Tower. Pour plus d'informations sur la disponibilité régionale, consultez les contrôles du Security Hub. Consultez également la documentation de la liste des services régionaux et la documentation de référence des contrôles Security Hub.

Le comportement de contrôle est également limité en cas de gouvernance mixte. Pour de plus amples informations, veuillez consulter Évitez la gouvernance mixte lors de la configuration des régions.

Pour plus d'informations sur la façon dont AWS Control Tower gère les limites des régions et des contrôles, consultezConsidérations relatives à l'activation des AWS régions optionnelles.

Note

Pour obtenir les informations les plus récentes sur les contrôles et le support régional, nous vous recommandons d'appeler les ListControlsAPIopérations GetControlet.

Trouvez les commandes et les régions disponibles

Vous pouvez consulter les régions disponibles pour chaque contrôle dans la console AWS Control Tower. Vous pouvez afficher les régions disponibles par programmation à l'aide du catalogue de AWS contrôle GetControlet ListControlsAPIsà partir de celui-ci.

Consultez également le tableau de référence des commandes AWS Control Tower et des régions prises en charge, ainsi que la disponibilité des commandes par région, dans le guide de référence de AWS Control Tower Controls.

Pour plus d'informations sur les AWS Security Hub contrôles du Service-Managed Standard : AWS Control Tower qui ne sont pas pris en charge dans certaines régions Régions AWS, consultez la section « Régions non prises en charge » dans le standard Security Hub.

Le tableau suivant présente des contrôles proactifs spécifiques qui ne sont pas pris en charge dans certains cas Régions AWS.

Identifiant de contrôle	Régions non déployables
`CT.DAX.PR.2`	ap-southeast-5, ca-ouest-1, us-west-1
`CT.REDSHIFT.PR.5`	ap-south-2, ap-southeast-3, ap-southeast-4, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, il-central-1, me-central-1

Le tableau suivant indique les commandes de détection AWS de la Control Tower qui ne sont pas prises en charge dans certains cas Régions AWS.

Identifiant de contrôle	Régions non déployables
`API_GW_CACHE_ENABLED_AND_ENCRYPTED`	ap-southeast-5, ca-west-1
`APPSYNC_ASSOCIATED_WITH_WAF`	af-south-1, ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1, me-central-1 me-central-1
`AURORA_LAST_BACKUP_RECOVERY_POINT_CREATED`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AURORA_RESOURCES_PROTECTED_BY_BACKUP_PLAN`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AUTOSCALING_CAPACITY_REBALANCING`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED`	ap-northeast-3, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, il-central-1
`AWS-GR_DMS_REPLICATION_NOT_PUBLIC`	af-south-1, ap-south-2, ap-southeast-3, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-1, eu-sud-2, il-central-1 me-central-1, me-central-1
`AWS-GR_EBS_OPTIMIZED_INSTANCE`	ap-southeast-5, ca-west-1
`AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK`	eu-south-2
`AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP`	ap-northeast-3
`AWS-GR_EC2_VOLUME_INUSE_CHECK`	ap-southeast-5, ca-west-1
`AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS`	ap-southeast-5, ca-west-1
`AWS-GR_ELASTICSEARCH_IN_VPC_ONLY`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1
`AWS-GR_EMR_MASTER_NO_PUBLIC_IP`	af-south-1, ap-northeast-3, ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-1 eu-south-2, il-central-1, eu-central-1, me-central-1
`AWS-GR_ENCRYPTED_VOLUMES`	af-south-1, ap-northeast-3, eu-south-1, il-central-1
`AWS-GR_IAM_USER_MFA_ENABLED`	ap-southeast-2, ap-southeast-4, ap-southeast-5, ca-west-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED`	eu-south-2
`AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS`	ap-southeast-2, ap-southeast-4, ap-southeast-5, ca-west-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW`	ap-northeast-3, ap-southeast-2, ap-southeast-3, ap-southeast-5, ca-ouest-1, eu-sud-2
`AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK`	ap-south-2, eu-south-2
`AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED`	af-south-1, ap-southeast-4, eu-central-2, eu-south-1, eu-south-2, il-central-1
`AWS-GR_RDS_STORAGE_ENCRYPTED`	eu-central-2, eu-south-2
`AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK`	ap-south-2, ap-southeast-3, ap-southeast-5, ca-ouest-1, eu-sud-2
`AWS-GR_RESTRICTED_SSH`	af-south-1, eu-south-1
`AWS-GR_ROOT_ACCOUNT_MFA_ENABLED`	ap-southeast-5, ca-west-1, il-central-1, me-central-1
`AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC`	eu-central-2, eu-sud-2, il-central-1
`AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS`	af-south-1, ap-northeast-3, ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-1 eu-south-2, il-central-1, eu-central-1, me-central-1
`AWS-GR_SSM_DOCUMENT_NOT_PUBLIC`	ap-southeast-5, ca-west-1, il-central-1
`AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED`	ap-northeast-3
`BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Demander une augmentation de quota

Limitations basées sur les AWS services sous-jacents