Trouvez les commandes et les régions disponibles

Limites de contrôle

AWS Control Tower vous aide à maintenir un environnement multi-comptes sécurisé grâce à AWS des contrôles mis en œuvre sous différentes formes, tels que des politiques de contrôle des services (SCPs), des AWS Config règles et des AWS CloudFormation hooks.

Le guide de référence sur les commandes

Des informations détaillées sur les contrôles d'AWS Control Tower ont été transférées dans le guide de référence d'AWS Control Tower Controls.

Si vous modifiez les ressources d'AWS Control Tower, telles qu'un SCP, ou si vous supprimez une AWS Config ressource, telle qu'un enregistreur ou un agrégateur Config, AWS Control Tower ne peut plus garantir que les contrôles fonctionnent comme prévu. Par conséquent, la sécurité de votre environnement multi-comptes peut être compromise. Le modèle de sécurité à responsabilité AWS partagée s'applique à toutes les modifications que vous pourriez apporter.

Note

AWS Control Tower contribue à préserver l'intégrité de votre environnement en rétablissant la configuration standard SCPs des contrôles préventifs lorsque vous mettez à jour votre zone de landing zone. Les modifications que vous avez éventuellement apportées SCPs sont remplacées par la version standard du contrôle, par conception.

Limitations par région

Certains contrôles d'AWS Control Tower ne fonctionnent pas dans certains Régions AWS endroits où AWS Control Tower est disponible, car ces régions ne prennent pas en charge les fonctionnalités sous-jacentes requises. Par conséquent, lorsque vous déployez ce contrôle, il se peut qu'il ne fonctionne pas dans toutes les régions que vous régissez avec AWS Control Tower. Cette limitation concerne certains contrôles de détection, certains contrôles proactifs et certains contrôles de la norme gérée par le Security Hub Service : AWS Control Tower. Pour plus d'informations sur la disponibilité régionale, consultez les contrôles du Security Hub. Consultez également la documentation de la liste des services régionaux et la documentation de référence des contrôles Security Hub.

Le comportement de contrôle est également limité en cas de gouvernance mixte. Pour de plus amples informations, veuillez consulter Évitez la gouvernance mixte lors de la configuration des régions.

Pour plus d'informations sur la façon dont AWS Control Tower gère les limites des régions et des contrôles, consultezConsidérations relatives à l'activation des AWS régions optionnelles.

Note

Pour obtenir les informations les plus récentes sur les contrôles et le support régional, nous vous recommandons d'appeler les opérations GetControlet ListControlsAPI.

Trouvez les commandes et les régions disponibles

Vous pouvez consulter les régions disponibles pour chaque contrôle dans la console AWS Control Tower. Vous pouvez afficher les régions disponibles par programmation à l'aide du catalogue de AWS contrôle GetControlet ListControls APIs à partir de celui-ci.

Consultez également le tableau de référence des contrôles AWS Control Tower et des régions prises en charge, ainsi que la disponibilité des contrôles par région, dans le guide de référence AWS Control Tower Controls.

Pour plus d'informations sur les AWS Security Hub contrôles du Service-Managed Standard : AWS Control Tower qui ne sont pas pris en charge dans certains cas Régions AWS, consultez la section « Régions non prises en charge » dans la norme Security Hub.

Le tableau suivant présente des contrôles proactifs spécifiques qui ne sont pas pris en charge dans certains cas Régions AWS.

Identifiant de contrôle	Régions non déployables
`CT.DAX.PR.2`	ap-southeast-5, ca-ouest-1, us-west-1
`CT.REDSHIFT.PR.5`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, il-central-1

Le tableau suivant indique les contrôles de détection d'AWS Control Tower qui ne sont pas pris en charge dans certains cas Régions AWS.

Identifiant de contrôle	Régions non déployables
`API_GW_CACHE_ENABLED_AND_ENCRYPTED`	ap-southeast-5, ca-west-1
`APPSYNC_ASSOCIATED_WITH_WAF`	af-south-1, ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1, me-central-1 me-central-1
`AURORA_LAST_BACKUP_RECOVERY_POINT_CREATED`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AURORA_RESOURCES_PROTECTED_BY_BACKUP_PLAN`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AUTOSCALING_CAPACITY_REBALANCING`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED`	ap-northeast-3, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, il-central-1
`AWS-GR_DMS_REPLICATION_NOT_PUBLIC`	af-south-1, ap-south-2, ap-southeast-3, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-1, eu-sud-2, il-central-1 me-central-1, me-central-1
`AWS-GR_EBS_OPTIMIZED_INSTANCE`	ap-southeast-5, ca-west-1
`AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK`	eu-south-2
`AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP`	ap-northeast-3
`AWS-GR_EC2_VOLUME_INUSE_CHECK`	ap-southeast-5, ca-west-1
`AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS`	ap-southeast-5, ca-west-1
`AWS-GR_ELASTICSEARCH_IN_VPC_ONLY`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1
`AWS-GR_EMR_MASTER_NO_PUBLIC_IP`	af-south-1, ap-northeast-3, ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-1 eu-south-2, il-central-1, eu-central-1, me-central-1
`AWS-GR_ENCRYPTED_VOLUMES`	af-south-1, ap-northeast-3, eu-south-1, il-central-1
`AWS-GR_IAM_USER_MFA_ENABLED`	ap-southeast-2, ap-southeast-4, ap-southeast-5, ca-west-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED`	eu-south-2
`AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS`	ap-southeast-2, ap-southeast-4, ap-southeast-5, ca-west-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW`	ap-northeast-3, ap-southeast-2, ap-southeast-3, ap-southeast-5, ca-ouest-1, eu-sud-2
`AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK`	ap-south-2, eu-south-2
`AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED`	af-south-1, ap-southeast-4, eu-central-2, eu-south-1, eu-south-2, il-central-1
`AWS-GR_RDS_STORAGE_ENCRYPTED`	eu-central-2, eu-south-2
`AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK`	ap-southeast-2, ap-southeast-3, ap-southeast-5, ca-ouest-1, eu-sud-2
`AWS-GR_RESTRICTED_SSH`	af-south-1, eu-south-1
`AWS-GR_ROOT_ACCOUNT_MFA_ENABLED`	ap-southeast-5, ca-west-1, il-central-1, me-central-1
`AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC`	eu-central-2, eu-sud-2, il-central-1
`AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS`	af-south-1, ap-northeast-3, ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-1 eu-south-2, il-central-1, eu-central-1, me-central-1
`AWS-GR_SSM_DOCUMENT_NOT_PUBLIC`	ap-southeast-5, ca-west-1, il-central-1
`AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED`	ap-northeast-3
`BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ca-ouest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Demander une augmentation de quota

Limitations basées sur les AWS services sous-jacents