Trova i controlli e le regioni disponibili

Limitazioni di controllo

AWSControl Tower ti aiuta a mantenere un ambiente sicuro e multi-account AWS tramite controlli, implementati in varie forme, come policy di controllo del servizio (SCPs), AWS Config regole e AWS CloudFormation hook.

La guida di riferimento ai controlli

Le informazioni dettagliate sui controlli AWS Control Tower sono state spostate nella AWS Control Tower Controls Controls Reference Guide.

Se modifichi le risorse AWS Control Tower, ad esempio unaSCP, o rimuovi una AWS Config risorsa, come un registratore o un aggregatore Config, Control Tower AWS non può più garantire che i controlli funzionino come previsto. Pertanto, la sicurezza dell'ambiente con più account potrebbe essere compromessa. Il modello di sicurezza a responsabilità AWS condivisa è applicabile a tutte le modifiche apportate dall'utente.

Nota

AWSControl Tower aiuta a mantenere l'integrità dell'ambiente ripristinando i SCPs controlli preventivi alla loro configurazione standard quando aggiorni la landing zone. Le modifiche che potresti aver apportato SCPs vengono sostituite dalla versione standard del controllo, in base alla progettazione.

Limitazioni per regione

Alcuni controlli in AWS Control Tower non funzionano in alcuni Paesi in Regioni AWS cui è disponibile AWS Control Tower, perché tali Regioni non supportano le funzionalità sottostanti richieste. Di conseguenza, quando distribuisci quel controllo, potrebbe non funzionare in tutte le regioni governate con AWS Control Tower. Questa limitazione riguarda alcuni controlli investigativi, alcuni controlli proattivi e determinati controlli nello Standard: Control Tower AWS gestito dal servizio Security Hub. Per ulteriori informazioni sulla disponibilità regionale, consulta i controlli del Security Hub. Consultate anche la documentazione relativa all'elenco dei servizi regionali e la documentazione di riferimento sui controlli del Security Hub.

Il comportamento di controllo è inoltre limitato in caso di governance mista. Per ulteriori informazioni, consulta Evita una governance mista durante la configurazione delle regioni.

Per ulteriori informazioni su come AWS Control Tower gestisce i limiti delle regioni e dei controlli, vedereConsiderazioni sull'attivazione delle regioni opt-in AWS.

Nota

Per le informazioni più aggiornate sui controlli e sul supporto regionale, ti consigliamo di chiamare il servizio GetControland ListControlsAPIoperations.

Trova i controlli e le regioni disponibili

È possibile visualizzare le regioni disponibili per ogni controllo nella console AWS Control Tower. È possibile visualizzare le regioni disponibili a livello di codice con GetControle ListControlsAPIsda AWS Control Catalog.

Vedi anche la tabella di riferimento dei controlli AWS Control Tower e delle regioni supportate, Controlla la disponibilità per regione, nella AWS Control Tower Controls Controls Reference Guide.

Per informazioni sui AWS Security Hub controlli del Service-Managed Standard: AWS Control Tower che non sono supportati in alcune aree Regioni AWS, vedere «Regioni non supportate» nello standard Security Hub.

La tabella seguente mostra controlli proattivi specifici che non sono supportati in alcuni. Regioni AWS

Identificatore di controllo	Regioni non distribuibili
`CT.DAX.PR.2`	ap-sud-est-5, ca-west-1, us-west-1
`CT.REDSHIFT.PR.5`	ap-south-2, ap-southeast-3, ap-southeast-4, ap-southeast-4, ca-ovest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1

La tabella seguente mostra i controlli investigativi di AWS Control Tower che non sono supportati in alcuni casi Regioni AWS.

Identificatore di controllo	Regioni non distribuibili
`API_GW_CACHE_ENABLED_AND_ENCRYPTED`	ap-sutheast-5, ca-west-1
`APPSYNC_ASSOCIATED_WITH_WAF`	af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, ap-sud-est-5, ap-ovest-1, eu-centro-2, eu-central-2, eu-central-1 al-1
`AURORA_LAST_BACKUP_RECOVERY_POINT_CREATED`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1
`AURORA_RESOURCES_PROTECTED_BY_BACKUP_PLAN`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1
`AUTOSCALING_CAPACITY_REBALANCING`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1
`AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED`	ap-northeast-3, ap-southeast-3, ap-southeast-4, ap-sud-est-5, ap-west-1, il-central-1
`AWS-GR_DMS_REPLICATION_NOT_PUBLIC`	af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, ap-sud-est-5, ap-ovest-1, eu-central-2, eu-central-2, eu-sud-1, eu-central-1, me--central-1
`AWS-GR_EBS_OPTIMIZED_INSTANCE`	ap-sutheast-5, ca-west-1
`AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK`	eu-south-2
`AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP`	ap-northeast-3
`AWS-GR_EC2_VOLUME_INUSE_CHECK`	ap-sutheast-5, ca-west-1
`AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS`	ap-sutheast-5, ca-west-1
`AWS-GR_ELASTICSEARCH_IN_VPC_ONLY`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-sud-2, il-central-1
`AWS-GR_EMR_MASTER_NO_PUBLIC_IP`	af-sud-1, ap-nord-est-3, ap-sud-2, ap-sud-est-3, ap-sud-est-3, ap-sud-est-4, ap-sud-est-5, ap-sud-est-1, eu-centrale-2, eu-sud-1, eu-central-2, eu-sud-1, eu-sud-2, il-central-1, me-central-1
`AWS-GR_ENCRYPTED_VOLUMES`	af-south-1, ap-northeast-3, eu-sud-1, il-central-1
`AWS-GR_IAM_USER_MFA_ENABLED`	ap-south-2, ap-southeast-4, ap-southeast-5, ap-west-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED`	eu-south-2
`AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS`	ap-south-2, ap-southeast-4, ap-southeast-5, ap-west-1, eu-central-2, eu-sud-2, il-central-1, me-central-1
`AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW`	ap-northeast-3, ap-sud-2, ap-southeast-3, ap-sud-est-5, ap-sud-est-1, eu-sud-2
`AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK`	ap-south-2, eu-south-2
`AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED`	af-south-1, ap-southeast-4, eu-central-2, eu-central-2, eu-sud-1, eu-sud-2, il-central-1
`AWS-GR_RDS_STORAGE_ENCRYPTED`	eu-central-2, eu-south-2
`AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK`	ap-south-2, ap-southeast-3, ap-southeast-5, ap-sutheast-1, eu-south-2
`AWS-GR_RESTRICTED_SSH`	af-sud-1, eu-sud-1
`AWS-GR_ROOT_ACCOUNT_MFA_ENABLED`	ap-sutheast-5, ca-west-1, il-central-1, me-central-1
`AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC`	eu-central-2, eu-south-2, il-central-1
`AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS`	af-sud-1, ap-nord-est-3, ap-sud-2, ap-sud-est-3, ap-sud-est-3, ap-sud-est-4, ap-sud-est-5, ap-sud-est-1, eu-centrale-2, eu-sud-1, eu-central-2, eu-sud-1, eu-sud-2, il-central-1, me-central-1
`AWS-GR_SSM_DOCUMENT_NOT_PUBLIC`	ap-sutheast-5, ca-west-1, il-central-1
`AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED`	ap-northeast-3
`BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1
`BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1
`BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK`	ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Richiesta di un aumento della quota

Limitazioni basate AWS sui servizi sottostanti