Configura il Region Deny Control - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura il Region Deny Control

AWSControl Tower offre due controlli Region Deny. Un controlloGRREGIONDENY, quando attivato, si applica all'intera landing zone. Un altro controlloCTMULTISERVICEPV1, se attivato, può essere applicato a uno specifico OUs controllo specificato dall'utente. Per ulteriori informazioni, consulta Negare l'accesso a in AWS base alla richiesta Regione AWS e Region Deny control applicato all'unità organizzativa.

Considerazioni sulla regione nega il controllo della landing zone

La Region Deney Control GRREGIONDENYè unica, perché si applica alla landing zone nel suo insieme, piuttosto che a una specifica UO. Per configurare il Region Deny Control, vai alla pagina delle impostazioni della zona di atterraggio e seleziona Modifica impostazioni.

  • Questa impostazione può essere modificata in un secondo momento.

  • Se abilitato, questo controllo si applica a tutti i registratiOUs.

  • Questo controllo non può essere configurato per singoli utentiOUs.

Nota

Prima di abilitare il Region Deny Control, assicurati di non disporre di risorse esistenti in queste aree, perché non avrai accesso alle tue risorse dopo aver applicato il controllo. Mentre il controllo è abilitato, non sarai in grado di distribuire risorse nelle regioni negate.

Quando si abilita il controllo, viene applicato a tutti i livelli superiori OUs registrati della gerarchia e viene ereditato dai livelli OUs inferiori della catena. Quando si rimuove il controllo, questo viene rimosso su tutte le regioni registrate OUs e tutte le regioni non governate in AWS Control Tower rimangono nello stato Non governato ed è possibile distribuire risorse in Regioni al di fuori della disponibilità della AWS Control Tower.

Eccezioni

Non puoi negare l'accesso alla tua regione d'origine. Alcuni AWS servizi globali, come IAM e AWS Organizations, sono esenti dalla Region Deny Control. Per ulteriori informazioni, consulta Negare l'accesso a in AWS base alla richiesta. Regione AWS

  • Nome di controllo completo: nega l'accesso in AWS base alla regione richiesta AWS

  • Descrizione del controllo: non consente l'accesso alle operazioni non elencate nei servizi globali e regionali al di fuori delle regioni specificate.

  • Si tratta di un controllo elettivo con guida preventiva.

Per visualizzare il modello per il Region Deny ControlSCP, consulta Deny access to in AWS base alla richiesta Regione AWS nel riferimento AWSControl Tower Control. La AWS Control Tower SCP è simile SCPalla forma AWS Organizations, ma non identica.

È possibile determinare gli endpoint dei servizi regionali nella pagina Servizi regionali.