Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Limites de contrôle
AWSControl Tower vous aide à maintenir un environnement multi-comptes sécurisé au AWS moyen de contrôles mis en œuvre sous différentes formes, tels que des politiques de contrôle des services (SCPs), des AWS Config règles et des AWS CloudFormation hooks.
Le guide de référence sur les commandes
Les informations détaillées sur les commandes de AWS Control Tower ont été transférées dans le guide de référence de AWS Control Tower Controls.
Si vous modifiez les ressources de la AWS Control Tower, telles qu'une ressourceSCP, ou si vous supprimez une AWS Config ressource, telle qu'un enregistreur ou un agrégateur Config, AWS Control Tower ne peut plus garantir que les commandes fonctionnent comme prévu. Par conséquent, la sécurité de votre environnement multi-comptes peut être compromise. Le modèle de sécurité à responsabilité AWS partagée
Note
AWSControl Tower contribue à préserver l'intégrité de votre environnement en rétablissant la configuration standard SCPs des commandes préventives lors de la mise à jour de votre zone d'atterrissage. Les modifications que vous avez éventuellement apportées SCPs sont remplacées par la version standard du contrôle, par conception.
Limitations par région
Certaines commandes de AWS Control Tower ne fonctionnent pas dans certaines régions Régions AWS où AWS Control Tower est disponible, car ces régions ne prennent pas en charge les fonctionnalités sous-jacentes requises. Par conséquent, lorsque vous déployez ce contrôle, il se peut qu'il ne fonctionne pas dans toutes les régions que vous gouvernez avec AWS Control Tower. Cette limitation concerne certains contrôles de détection, certains contrôles proactifs et certains contrôles du Security Hub Service-managed Standard : AWS Control Tower. Pour plus d'informations sur la disponibilité régionale, consultez les contrôles du Security Hub. Consultez également la documentation de la liste des services régionaux et la documentation
Le comportement de contrôle est également limité en cas de gouvernance mixte. Pour de plus amples informations, veuillez consulter Évitez la gouvernance mixte lors de la configuration des régions.
Pour plus d'informations sur la façon dont AWS Control Tower gère les limites des régions et des contrôles, consultezConsidérations relatives à l'activation des AWS régions optionnelles.
Note
Pour obtenir les informations les plus récentes sur les contrôles et le support régional, nous vous recommandons d'appeler les ListControlsAPIopérations GetControlet.
Trouvez les commandes et les régions disponibles
Vous pouvez consulter les régions disponibles pour chaque contrôle dans la console AWS Control Tower. Vous pouvez afficher les régions disponibles par programmation à l'aide du catalogue de AWS contrôle GetControlet ListControlsAPIsà partir de celui-ci.
Consultez également le tableau de référence des commandes AWS Control Tower et des régions prises en charge, ainsi que la disponibilité des commandes par région, dans le guide de référence de AWS Control Tower Controls.
Non compatible Régions AWS avec AWS Security Hub Service-Managed Standard : Control Tower AWS
Pour plus d'informations sur les AWS Security Hub contrôles du Service-Managed Standard : AWS Control Tower qui ne sont pas pris en charge dans certaines régions Régions AWS, consultez la section « Régions non prises en charge » dans le standard Security Hub.
Les régions suivantes Régions AWS, en tant que région d'origine, ne prennent pas en charge le déploiement de contrôles proactifs. Vous pouvez déployer des contrôles proactifs pour gouverner ces régions si vous déployez les contrôles depuis une autre région d'origine qui prend en charge les contrôles proactifs.
-
Canada Ouest (Calgary)
Le tableau suivant indique les contrôles proactifs qui ne sont pas pris en charge dans certains cas Régions AWS.
| Identifiant de contrôle | Régions non déployables |
|---|---|
|
ca-west-1, us-west-1 |
|
ap-southeast-2, ap-southeast-3, ap-southeast-4, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, il-central-1 |
Le tableau suivant indique les commandes de détection AWS de la Control Tower qui ne sont pas prises en charge dans certains cas Régions AWS.
| Identifiant de contrôle | Régions non déployables |
|---|---|
|
ap-northeast-3, ap-southeast-3, ap-southeast-4, ca-ouest-1, il-central-1 |
|
af-south-1, ap-southeast-2, ap-southeast-3, ap-southeast-4, ca-ouest-1, eu-central-2, eu-sud-1, eu-centre-2, eu-sud-2, il-central-1, eu-central-1, eu-central-1 me-central-1 |
|
ca-west-1 |
|
eu-south-2 |
|
ap-northeast-3 |
|
ca-west-1 |
|
ca-west-1 |
|
ap-southeast-2, ap-southeast-3, ap-southeast-4, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1 |
|
af-south-1, ap-northeast-3, ap-southeast-2, ap-southeast-3, ap-southeast-4, ca-ouest-1, eu-central-2, eu-sud-1 2, il-central-1, me-central-1 |
|
af-south-1, ap-northeast-3, eu-south-1, il-central-1 |
|
ap-southeast-2, ap-southeast-4, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1 |
|
eu-south-2 |
|
ap-southeast-2, ap-southeast-4, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1 |
|
ap-northeast-3, ap-southeast-2, ap-southeast-3, ca-ouest-1, eu-south-2 |
|
ap-south-2, eu-south-2 |
|
af-south-1, ap-southeast-4, eu-central-2, eu-south-1, eu-south-2, il-central-1 |
|
eu-central-2, eu-south-2 |
|
ap-south-2, ap-southeast-3, ca-ouest-1, eu-sud-2 |
|
af-south-1, eu-south-1 |
|
ca-west-1, il-central-1, me-central-1 |
|
eu-central-2, eu-sud-2, il-central-1 |
|
af-south-1, ap-northeast-3, ap-southeast-2, ap-southeast-3, ap-southeast-4, ca-ouest-1, eu-central-2, eu-sud-1 2, il-central-1, me-central-1 |
|
ca-west-1, il-central-1 |
|
ap-northeast-3 |
