Trova i controlli e le regioni disponibili

Limitazioni di controllo

AWS Control Tower ti aiuta a mantenere un ambiente sicuro e multi-account AWS tramite controlli implementati in varie forme, come policy di controllo dei servizi (SCPs), AWS Config regole e AWS CloudFormation hook.

La guida di riferimento ai controlli

Informazioni dettagliate sui controlli di AWS Control Tower sono state spostate nella AWS Control Tower Controls Reference Guide.

Se modifichi le risorse di AWS Control Tower, ad esempio un SCP, o rimuovi qualsiasi AWS Config risorsa, come un registratore o un aggregatore di Config, AWS Control Tower non può più garantire che i controlli funzionino come previsto. Pertanto, la sicurezza del tuo ambiente con più account potrebbe essere compromessa. Il modello di sicurezza a responsabilità AWS condivisa è applicabile a tutte le modifiche apportate dall'utente.

Nota

AWS Control Tower aiuta a mantenere l'integrità dell'ambiente ripristinando i SCPs controlli preventivi alla loro configurazione standard quando aggiorni la landing zone. Le modifiche che potresti aver apportato SCPs vengono sostituite dalla versione standard del controllo, in base alla progettazione.

Limitazioni per regione

Alcuni controlli in AWS Control Tower non funzionano in alcune aree in Regioni AWS cui è disponibile AWS Control Tower, perché tali regioni non supportano le funzionalità sottostanti richieste. Di conseguenza, quando distribuisci quel controllo, potrebbe non funzionare in tutte le regioni governate con AWS Control Tower. Questa limitazione riguarda alcuni controlli investigativi, alcuni controlli proattivi e determinati controlli nello standard gestito da Security Hub Service: AWS Control Tower. Per ulteriori informazioni sulla disponibilità regionale, consulta i controlli del Security Hub. Consultate anche la documentazione relativa all'elenco dei servizi regionali e la documentazione di riferimento sui controlli del Security Hub.

Il comportamento di controllo è inoltre limitato in caso di governance mista. Per ulteriori informazioni, consulta Evita una governance mista durante la configurazione delle regioni.

Per ulteriori informazioni su come AWS Control Tower gestisce i limiti delle regioni e dei controlli, consultaConsiderazioni sull'attivazione delle regioni opt-in AWS.

Nota

Per le informazioni più aggiornate sui controlli e sul supporto regionale, ti consigliamo di chiamare le operazioni GetControle le ListControlsAPI.

Trova i controlli e le regioni disponibili

Puoi visualizzare le regioni disponibili per ogni controllo nella console AWS Control Tower. Puoi visualizzare le regioni disponibili a livello di codice con GetControle ListControls APIs da AWS Control Catalog.

Consulta anche la tabella di riferimento dei controlli e delle regioni supportate di AWS Control Tower, Control availability by Region, nella AWS Control Tower Controls Reference Guide.

Per informazioni sui AWS Security Hub controlli del Service-Managed Standard: AWS Control Tower che non sono supportati in alcune regioni Regioni AWS, consulta «Regioni non supportate» nello standard Security Hub.

La tabella seguente mostra controlli proattivi specifici che non sono supportati in alcuni. Regioni AWS

Identificatore di controllo	Regioni non distribuibili
`CT.DAX.PR.2`	ap-sud-est-5, ca-west-1, us-west-1
`CT.REDSHIFT.PR.5`	ap-south-2, ap-southeast-3, ap-southeast-4, ap-southeast-4, ca-ovest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1

La tabella seguente mostra i controlli investigativi di AWS Control Tower che non sono supportati in alcuni casi Regioni AWS.

Identificatore di controllo	Regioni non distribuibili
`API_GW_CACHE_ENABLED_AND_ENCRYPTED`	ap-sutheast-5, ca-west-1
`APPSYNC_ASSOCIATED_WITH_WAF`	af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, ap-sud-est-5, ap-ovest-1, eu-centro-2, eu-central-2, eu-central-1 al-1
`AURORA_LAST_BACKUP_RECOVERY_POINT_CREATED`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1
`AURORA_RESOURCES_PROTECTED_BY_BACKUP_PLAN`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1
`AUTOSCALING_CAPACITY_REBALANCING`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1
`AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED`	ap-northeast-3, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, ap-west-1, il-central-1
`AWS-GR_DMS_REPLICATION_NOT_PUBLIC`	af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, ap-sud-est-5, ap-ovest-1, eu-central-2, eu-central-2, eu-sud-1, eu-central-1, me--central-1
`AWS-GR_EBS_OPTIMIZED_INSTANCE`	ap-sutheast-5, ca-west-1
`AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK`	eu-south-2
`AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP`	ap-northeast-3
`AWS-GR_EC2_VOLUME_INUSE_CHECK`	ap-sutheast-5, ca-west-1
`AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS`	ap-sutheast-5, ca-west-1
`AWS-GR_ELASTICSEARCH_IN_VPC_ONLY`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-sud-2, il-central-1
`AWS-GR_EMR_MASTER_NO_PUBLIC_IP`	af-sud-1, ap-nord-est-3, ap-sud-2, ap-sud-est-3, ap-sud-est-3, ap-sud-est-4, ap-sud-est-5, ap-sud-est-1, eu-centrale-2, eu-sud-1, eu-central-2, eu-sud-1, eu-sud-2, il-central-1, me-central-1
`AWS-GR_ENCRYPTED_VOLUMES`	af-south-1, ap-northeast-3, eu-sud-1, il-central-1
`AWS-GR_IAM_USER_MFA_ENABLED`	ap-south-2, ap-southeast-4, ap-southeast-5, ap-west-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED`	eu-south-2
`AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS`	ap-south-2, ap-southeast-4, ap-southeast-5, ap-west-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW`	ap-northeast-3, ap-sud-2, ap-southeast-3, ap-sud-est-5, ap-sud-est-1, eu-sud-2
`AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK`	ap-south-2, eu-south-2
`AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED`	af-south-1, ap-southeast-4, eu-central-2, eu-central-2, eu-sud-1, eu-sud-2, il-central-1
`AWS-GR_RDS_STORAGE_ENCRYPTED`	eu-central-2, eu-south-2
`AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK`	ap-south-2, ap-southeast-3, ap-southeast-5, ap-sutheast-1, eu-south-2
`AWS-GR_RESTRICTED_SSH`	af-sud-1, eu-sud-1
`AWS-GR_ROOT_ACCOUNT_MFA_ENABLED`	ap-sutheast-5, ca-west-1, il-central-1, me-central-1
`AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC`	eu-central-2, eu-south-2, il-central-1
`AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS`	af-sud-1, ap-nord-est-3, ap-sud-2, ap-sud-est-3, ap-sud-est-3, ap-sud-est-4, ap-sud-est-5, ap-sud-est-1, eu-centrale-2, eu-sud-1, eu-central-2, eu-sud-1, eu-sud-2, il-central-1, me-central-1
`AWS-GR_SSM_DOCUMENT_NOT_PUBLIC`	ap-sutheast-5, ca-west-1, il-central-1
`AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED`	ap-northeast-3
`BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1
`BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1
`BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Richiesta di un aumento della quota

Limitazioni basate AWS sui servizi sottostanti