Konfigurasikan wilayah tolak kontrol - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan wilayah tolak kontrol

AWSControl Tower menawarkan dua kontrol penolakan Wilayah. Satu kontrol,GRREGIONDENY, ketika diaktifkan, berlaku untuk seluruh landing zone. Kontrol lain,CTMULTISERVICEPV1, ketika diaktifkan, dapat diterapkan ke spesifik OUs yang Anda tentukan. Untuk informasi selengkapnya, lihat Tolak akses AWS berdasarkan kontrol penolakan yang diminta Wilayah AWS dan Wilayah yang diterapkan pada OU.

Pertimbangan tentang Wilayah menolak kontrol untuk landing zone

Wilayah menolak kontrol, GRREGIONDENYunik, karena berlaku untuk landing zone secara keseluruhan, bukan untuk OU tertentu. Untuk mengonfigurasi kontrol penolakan wilayah, buka halaman pengaturan zona pendaratan dan pilih Ubah pengaturan.

  • Pengaturan ini dapat diubah di lain waktu.

  • Saat diaktifkan, kontrol ini berlaku untuk semua yang terdaftarOUs.

  • Kontrol ini tidak dapat dikonfigurasi untuk individuOUs.

catatan

Sebelum Anda mengaktifkan Wilayah tolak kontrol, pastikan bahwa Anda tidak memiliki sumber daya yang ada di Wilayah ini, karena Anda tidak akan memiliki akses ke sumber daya Anda setelah Anda menerapkan kontrol. Saat kontrol diaktifkan, Anda tidak akan dapat menyebarkan sumber daya di Wilayah yang ditolak.

Ketika Anda mengaktifkan kontrol, itu berlaku untuk semua terdaftar, tingkat atas OUs dalam hierarki Anda, dan itu diwarisi oleh yang OUs lebih rendah dalam rantai. Saat Anda menghapus kontrol, kontrol akan dihapus pada semua yang terdaftarOUs, semua Wilayah yang tidak diatur di AWS Control Tower tetap dalam status Tidak diatur, dan Anda dapat menyebarkan sumber daya di Wilayah di luar ketersediaan Control TowerAWS.

Pengecualian

Anda tidak dapat menolak akses ke Wilayah asal Anda. AWS Layanan global tertentu, seperti IAM dan AWS Organizations, dibebaskan dari Wilayah menolak kontrol. Untuk mempelajari lebih lanjut, lihat Menolak akses AWS berdasarkan permintaan Wilayah AWS.

  • Nama kontrol penuh: Tolak akses AWS berdasarkan AWS Wilayah yang diminta

  • Deskripsi kontrol: Melarang akses ke operasi yang tidak terdaftar di layanan global dan regional di luar Wilayah yang ditentukan.

  • Ini adalah kontrol elektif dengan panduan pencegahan.

Untuk melihat templat untuk kontrol penolakan WilayahSCP, lihat Tolak akses AWS berdasarkan permintaan Wilayah AWS dalam referensi AWS Control Tower Control. AWSControl Tower SCP mirip dengan SCPfor AWS Organizations, tetapi tidak identik.

Anda dapat menentukan titik akhir layanan Regional pada halaman Layanan Regional.