Limitazioni di controllo - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limitazioni di controllo

AWS Control Tower ti aiuta a mantenere un ambiente sicuro e multi-account AWS tramite controlli implementati in varie forme, come policy di controllo dei servizi (SCPs), AWS Config regole e AWS CloudFormation hook.

La guida di riferimento ai controlli

Informazioni dettagliate sui controlli di AWS Control Tower sono state spostate nella AWS Control Tower Controls Reference Guide.

Se modifichi le risorse di AWS Control Tower, ad esempio un SCP, o rimuovi qualsiasi AWS Config risorsa, come un registratore o un aggregatore di Config, AWS Control Tower non può più garantire che i controlli funzionino come previsto. Pertanto, la sicurezza del tuo ambiente con più account potrebbe essere compromessa. Il modello di sicurezza a responsabilità AWS condivisa è applicabile a tutte le modifiche apportate dall'utente.

Nota

AWS Control Tower aiuta a mantenere l'integrità dell'ambiente ripristinando i SCPs controlli preventivi alla loro configurazione standard quando aggiorni la landing zone. Le modifiche che potresti aver apportato SCPs vengono sostituite dalla versione standard del controllo, in base alla progettazione.

Limitazioni per regione

Alcuni controlli in AWS Control Tower non funzionano in alcune aree in Regioni AWS cui è disponibile AWS Control Tower, perché tali regioni non supportano le funzionalità sottostanti richieste. Di conseguenza, quando distribuisci quel controllo, potrebbe non funzionare in tutte le regioni governate con AWS Control Tower. Questa limitazione riguarda alcuni controlli investigativi, alcuni controlli proattivi e determinati controlli nello standard gestito da Security Hub Service: AWS Control Tower. Per ulteriori informazioni sulla disponibilità regionale, consulta i controlli del Security Hub. Consultate anche la documentazione relativa all'elenco dei servizi regionali e la documentazione di riferimento sui controlli del Security Hub.

Il comportamento di controllo è inoltre limitato in caso di governance mista. Per ulteriori informazioni, consulta Evita una governance mista durante la configurazione delle regioni.

Per ulteriori informazioni su come AWS Control Tower gestisce i limiti delle regioni e dei controlli, consultaConsiderazioni sull'attivazione delle regioni opt-in AWS.

Nota

Per le informazioni più aggiornate sui controlli e sul supporto regionale, ti consigliamo di chiamare le operazioni GetControle le ListControlsAPI.

Trova i controlli e le regioni disponibili

Puoi visualizzare le regioni disponibili per ogni controllo nella console AWS Control Tower. Puoi visualizzare le regioni disponibili a livello di codice con GetControle ListControls APIs da AWS Control Catalog.

Consulta anche la tabella di riferimento dei controlli e delle regioni supportate di AWS Control Tower, Control availability by Region, nella AWS Control Tower Controls Reference Guide.

Per informazioni sui AWS Security Hub controlli del Service-Managed Standard: AWS Control Tower che non sono supportati in alcune regioni Regioni AWS, consulta «Regioni non supportate» nello standard Security Hub.

La tabella seguente mostra controlli proattivi specifici che non sono supportati in alcuni. Regioni AWS

Identificatore di controllo Regioni non distribuibili

CT.DAX.PR.2

ap-sud-est-5, ca-west-1, us-west-1

CT.REDSHIFT.PR.5

ap-south-2, ap-southeast-3, ap-southeast-4, ap-southeast-4, ca-ovest-1, eu-central-2, eu-sud-2, il-central-1, me-central-1

La tabella seguente mostra i controlli investigativi di AWS Control Tower che non sono supportati in alcuni casi Regioni AWS.

Identificatore di controllo Regioni non distribuibili

API_GW_CACHE_ENABLED_AND_ENCRYPTED

ap-sutheast-5, ca-west-1

APPSYNC_ASSOCIATED_WITH_WAF

af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, ap-sud-est-5, ap-ovest-1, eu-centro-2, eu-central-2, eu-central-1 al-1

AURORA_LAST_BACKUP_RECOVERY_POINT_CREATED

ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1

AURORA_RESOURCES_PROTECTED_BY_BACKUP_PLAN

ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1

AUTOSCALING_CAPACITY_REBALANCING

ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1

AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED

ap-northeast-3, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, ap-west-1, il-central-1

AWS-GR_DMS_REPLICATION_NOT_PUBLIC

af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, ap-sud-est-5, ap-ovest-1, eu-central-2, eu-central-2, eu-sud-1, eu-central-1, me--central-1

AWS-GR_EBS_OPTIMIZED_INSTANCE

ap-sutheast-5, ca-west-1

AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

eu-south-2

AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP

ap-northeast-3

AWS-GR_EC2_VOLUME_INUSE_CHECK

ap-sutheast-5, ca-west-1

AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS

ap-sutheast-5, ca-west-1

AWS-GR_ELASTICSEARCH_IN_VPC_ONLY

ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-sud-2, il-central-1

AWS-GR_EMR_MASTER_NO_PUBLIC_IP

af-sud-1, ap-nord-est-3, ap-sud-2, ap-sud-est-3, ap-sud-est-3, ap-sud-est-4, ap-sud-est-5, ap-sud-est-1, eu-centrale-2, eu-sud-1, eu-central-2, eu-sud-1, eu-sud-2, il-central-1, me-central-1

AWS-GR_ENCRYPTED_VOLUMES

af-south-1, ap-northeast-3, eu-sud-1, il-central-1

AWS-GR_IAM_USER_MFA_ENABLED

ap-south-2, ap-southeast-4, ap-southeast-5, ap-west-1, eu-central-2, eu-sud-2, il-central-1, me-central-1

AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

eu-south-2

AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS

ap-south-2, ap-southeast-4, ap-southeast-5, ap-west-1, eu-central-2, eu-sud-2, il-central-1, me-central-1

AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW

ap-northeast-3, ap-sud-2, ap-southeast-3, ap-sud-est-5, ap-sud-est-1, eu-sud-2

AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK

ap-south-2, eu-south-2

AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED

af-south-1, ap-southeast-4, eu-central-2, eu-central-2, eu-sud-1, eu-sud-2, il-central-1

AWS-GR_RDS_STORAGE_ENCRYPTED

eu-central-2, eu-south-2

AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

ap-south-2, ap-southeast-3, ap-southeast-5, ap-sutheast-1, eu-south-2

AWS-GR_RESTRICTED_SSH

af-sud-1, eu-sud-1

AWS-GR_ROOT_ACCOUNT_MFA_ENABLED

ap-sutheast-5, ca-west-1, il-central-1, me-central-1

AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC

eu-central-2, eu-south-2, il-central-1

AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

af-sud-1, ap-nord-est-3, ap-sud-2, ap-sud-est-3, ap-sud-est-3, ap-sud-est-4, ap-sud-est-5, ap-sud-est-1, eu-centrale-2, eu-sud-1, eu-central-2, eu-sud-1, eu-sud-2, il-central-1, me-central-1

AWS-GR_SSM_DOCUMENT_NOT_PUBLIC

ap-sutheast-5, ca-west-1, il-central-1

AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED

ap-northeast-3

BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK

ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1

BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED

ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1

BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK

ap-southeast-2, ap-southeast-3, ap-southeast-4, ap-southeast-5, ap-southeast-5, a-ovest-1, eu-central-2, eu-central-2, eu-centro-2, il-central-1, me-central-1