Temukan kontrol dan Wilayah yang tersedia

Keterbatasan kontrol

AWSControl Tower membantu Anda menjaga lingkungan multi-akun yang aman AWS melalui kontrol, yang diterapkan dalam berbagai bentuk, seperti kebijakan kontrol layanan (SCPs), AWS Config aturan, dan AWS CloudFormation kait.

Panduan Referensi Kontrol

Informasi rinci tentang AWS kontrol Control Tower telah dipindahkan ke AWSControl Tower Controls Reference Guide.

Jika Anda memodifikasi sumber daya AWS Control Tower, sepertiSCP, atau menghapus AWS Config sumber daya apa pun, seperti perekam atau agregator Config, AWS Control Tower tidak dapat lagi menjamin bahwa kontrol berfungsi seperti yang dirancang. Oleh karena itu, keamanan lingkungan multi-akun Anda dapat dikompromikan. Model keamanan tanggung jawab AWS bersama berlaku untuk setiap perubahan yang mungkin Anda buat.

catatan

AWSControl Tower membantu menjaga integritas lingkungan Anda dengan mengatur ulang kontrol preventif ke konfigurasi standarnya saat Anda memperbarui landing zone. SCPs Perubahan yang mungkin telah Anda buat digantikan oleh versi standar kontrol, dengan desain. SCPs

Batasan menurut Wilayah

Beberapa kontrol di AWS Control Tower tidak beroperasi di Wilayah AWS tempat tertentu di mana AWS Control Tower tersedia, karena Wilayah tersebut tidak mendukung fungsionalitas dasar yang diperlukan. Akibatnya, saat Anda menerapkan kontrol itu, kontrol tersebut mungkin tidak beroperasi di semua Wilayah yang Anda atur dengan AWS Control Tower. Keterbatasan ini memengaruhi kontrol detektif tertentu, kontrol proaktif tertentu, dan kontrol tertentu dalam Standar yang dikelola Layanan Security Hub: Control Tower. AWS Untuk informasi selengkapnya tentang ketersediaan Regional, lihat kontrol Security Hub. Lihat juga dokumentasi daftar layanan Regional dan dokumentasi referensi kontrol Security Hub.

Perilaku kontrol juga terbatas dalam kasus tata kelola campuran. Untuk informasi selengkapnya, lihat Hindari tata kelola campuran saat mengonfigurasi Wilayah.

Untuk informasi selengkapnya tentang cara AWS Control Tower mengelola batasan Wilayah dan kontrol, lihatPertimbangan untuk mengaktifkan AWS Wilayah keikutsertaan.

catatan

Untuk informasi terbaru tentang kontrol dan dukungan Wilayah, kami sarankan Anda menghubungi GetControldan ListControlsAPIoperasi.

Temukan kontrol dan Wilayah yang tersedia

Anda dapat melihat Wilayah yang tersedia untuk setiap kontrol di konsol AWS Control Tower. Anda dapat melihat Wilayah yang tersedia secara terprogram dengan GetControldan ListControlsAPIsdari Katalog AWS Kontrol.

Lihat juga tabel referensi AWS kontrol Control Tower dan Wilayah yang didukung, Ketersediaan kontrol menurut Wilayah, di Panduan Referensi AWS Kontrol Control Tower Control.

Tidak Didukung Wilayah AWS untuk Standar yang AWS Security Hub Dikelola Layanan: Control Tower AWS

Untuk informasi tentang AWS Security Hub kontrol dari Standar yang Dikelola Layanan: AWS Control Tower yang tidak didukung secara tertentu Wilayah AWS, lihat “Wilayah Tidak Didukung” dalam standar Security Hub.

Berikut ini Wilayah AWS, sebagai Wilayah asal, tidak mendukung penerapan kontrol proaktif. Anda dapat menerapkan kontrol proaktif untuk mengatur Wilayah ini jika Anda menerapkan kontrol dari Wilayah beranda lain yang mendukung kontrol proaktif.

Kanada Barat (Calgary)

Tabel berikut menunjukkan kontrol proaktif yang tidak didukung secara tertentu Wilayah AWS.

Pengidentifikasi kontrol	Wilayah yang tidak dapat diterapkan
`CT.DAX.PR.2`	ca-west-1, us-west-1
`CT.REDSHIFT.PR.5`	ap-south-2, ap-southeast-3, ap-southeast-3, ap-southeast-4, ca-west-1, eu-central-2, eu-south-2, eu-south-2, il-central-1, me-central-1

Tabel berikut menunjukkan AWS kontrol detektif Control Tower yang tidak didukung secara tertentu Wilayah AWS.

Pengidentifikasi kontrol	Wilayah yang tidak dapat diterapkan
`AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED`	ap-northeast-3, ap-southeast-3, ap-southeast-3, ap-southeast-4, ca-west-1, il-central-1
`AWS-GR_DMS_REPLICATION_NOT_PUBLIC`	af-south-1, ap-south-2, ap-south-2, ap-southeast-3, ap-southeast-4, ca-west-1, eu-central-2, eu-central-2, eu-south-1, eu-south-1, eu-south-1, eu-south-2, il-central-1 il-central-1, me-central-1
`AWS-GR_EBS_OPTIMIZED_INSTANCE`	ca-west-1
`AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK`	eu-south-2
`AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP`	ap-northeast-3
`AWS-GR_EC2_VOLUME_INUSE_CHECK`	ca-west-1
`AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS`	ca-west-1
`AWS-GR_ELASTICSEARCH_IN_VPC_ONLY`	ap-south-2, ap-southeast-3, ap-southeast-3, ap-southeast-4, ca-west-1, eu-central-2, eu-south-2, eu-south-2, il-central-1
`AWS-GR_EMR_MASTER_NO_PUBLIC_IP`	af-south-1, ap-northeast-3, ap-south-2, ap-south-2, ap-southeast-3, ap-southeast-3, ap-southeast-4, ca-west-1, eu-central-2, eu-central-2, eu-south-1, eu-south-1, eu-south-1, ee-selatan-2, il-central-1, me-central-1
`AWS-GR_ENCRYPTED_VOLUMES`	af-south-1, ap-northeast-3, eu-south-1, il-central-1
`AWS-GR_IAM_USER_MFA_ENABLED`	ap-south-2, ap-southeast-4, ca-west-1, eu-central-2, eu-central-2, eu-south-2, il-central-1, me-central-1
`AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED`	eu-south-2
`AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS`	ap-south-2, ap-southeast-4, ca-west-1, eu-central-2, eu-central-2, eu-south-2, il-central-1, me-central-1
`AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW`	ap-northeast-3, ap-south-2, ap-south-2, ap-southeast-3, ca-west-1, eu-south-2
`AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK`	ap-south-2, eu-south-2
`AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED`	af-south-1, ap-southeast-4, eu-central-2, eu-central-2, eu-south-1, eu-south-1, eu-south-2, il-central-1
`AWS-GR_RDS_STORAGE_ENCRYPTED`	eu-central-2, eu-south-2
`AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK`	ap-south-2, ap-southeast-3, ca-west-1, eu-south-2
`AWS-GR_RESTRICTED_SSH`	af-south-1, eu-south-1
`AWS-GR_ROOT_ACCOUNT_MFA_ENABLED`	ca-west-1, il-central-1, me-central-1
`AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC`	eu-central-2, eu-south-2, il-central-1
`AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS`	af-south-1, ap-northeast-3, ap-south-2, ap-south-2, ap-southeast-3, ap-southeast-3, ap-southeast-4, ca-west-1, eu-central-2, eu-central-2, eu-south-1, eu-south-1, eu-south-1, ee-selatan-2, il-central-1, me-central-1
`AWS-GR_SSM_DOCUMENT_NOT_PUBLIC`	ca-west-1, il-central-1
`AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED`	ap-northeast-3

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Meminta peningkatan kuota

Batasan berdasarkan AWS layanan yang mendasarinya