翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リージョン拒否コントロールの設定
AWS Control Tower には 2 つのリージョン拒否コントロールがあります。1 つのコントロール GRREGIONDENY を有効にすると、ランディングゾーン全体に適用されます。別のコントロール はCTMULTISERVICEPV1、アクティブ化すると、OUs指定した特定の に適用できます。詳細については、「リクエストされた AWS に基づいて へのアクセスを拒否する AWS リージョン」および「OU に適用されたリージョン拒否コントロール」を参照してください。
ランディングゾーンのリージョン拒否コントロールに関する考慮事項
リージョン拒否コントロールである GRREGIONDENY は独特のコントロールです。特定の OU ではなく、ランディングゾーン全体に適用されるためです。リージョン拒否コントロールを設定するには、[Landing zone settings] (ランディングゾーン設定) ページに移動し、[Modify settings] (設定を変更する) を選択します。
-
この設定は後で変更できます。
-
有効にすると、このコントロールは登録されているすべての に適用されますOUs。
-
このコントロールを個々の に設定することはできませんOUs。
注記
リージョン拒否コントロールを有効にする前に、適用するリージョンに既存のリソースがないことを確認してください。コントロールを適用すると、以後そのリージョン内のリソースにアクセスできなくなるためです。このコントロールが有効になっている間は、拒否したリージョンにリソースをデプロイできません。
コントロールを有効にすると、階層OUs内のすべての登録済み最上位レベルに適用され、チェーン内のOUs下位に継承されます。コントロールを削除すると、すべての登録済み で削除されOUs、AWSControl Tower のすべての非管理リージョンは管理対象外ステータスのままになり、AWSControl Tower の可用性の外部にあるリージョンにリソースをデプロイできます。
例外
ホームリージョンへのアクセスを拒否することはできません。IAM や などの特定のグローバル AWS サービスは AWS Organizations、リージョン拒否コントロールから除外されます。詳細については、「Deny access to AWS based on the requested AWS リージョン」を参照してください。
-
フルコントロール名: リクエスト AWS されたリージョン AWS に基づいて へのアクセスを拒否する
-
コントロールの説明: 指定されたリージョンの外部にあるグローバルサービスおよびリージョンサービスでは、リストされていない操作へのアクセスを禁止します。
-
これは、予防ガイダンスによる選択的コントロールです。
リージョン拒否コントロール のテンプレートを表示するにはSCP、AWS「Control Tower Control リファレンス」の「リクエストされた に基づいて へのアクセス AWS を拒否する AWS リージョン」を参照してください。AWS Control Tower SCPは for と似SCP AWS Organizationsていますが、同一ではありません。
リージョンサービスページ
