리전 거부 제어 구성
AWS Control Tower는 두 가지 리전 거부 제어를 제공합니다. 하나의 제어 GRREGIONDENY는 활성화될 경우 전체 랜딩 존에 적용됩니다. 또 다른 제어인 CTMULTISERVICEPV1은 활성화될 경우 지정한 특정 OU에 적용될 수 있습니다. 자세한 내용은 요청된 AWS 리전을 기반으로 AWS에 대한 액세스 거부 및 OU에 적용된 리전 거부 제어를 참조하세요.
랜딩 존에 대한 리전 거부 제어 고려 사항
리전 거부 제어 GRREGIONDENY는 특정 OU가 아닌 전체 랜딩 존에 적용되므로 고유합니다. 리전 거부 제어를 구성하려면 랜딩 존 설정 페이지로 이동하여 설정 수정을 선택합니다.
-
이 설정은 나중에 변경할 수 있습니다.
-
활성화되면 이 제어는 등록된 모든 OU에 적용됩니다.
-
개별 OU에 대해 이 제어를 구성할 수 없습니다.
참고
리전 거부 제어를 활성화하기 전에 이러한 리전에 기존의 리소스가 없는지 확인하세요. 제어를 적용한 후에는 리소스에 액세스할 수 없기 때문입니다. 제어가 활성화되어 있는 동안에는 거부된 리전에 리소스를 배포할 수 없습니다.
제어를 활성화하면 계층 구조에 등록된 모든 최상위 OU에 적용되며, 체인의 하위에 있는 OU에 상속됩니다. 제어를 제거하면 제어가 등록된 모든 OU에서 제거되고, AWS Control Tower의 모든 비관리형 리전은 비관리형 상태로 유지되며, AWS Control Tower 가용성 이외의 리전에 리소스를 배포할 수 있습니다.
예외
홈 리전에 대한 액세스는 거부할 수 없습니다. IAM 및 AWS Organizations와 같은 특정 글로벌 AWS 서비스는 리전 거부 제어에서 제외됩니다. 자세한 내용은 요청된 AWS 리전을 기반으로 AWS에 대한 액세스 거부를 참조하세요.
-
전체 제어 이름: 요청된 AWS 리전을 기반으로 AWS에 대한 액세스 거부
-
제어 설명: 지정된 리전 외부의 글로벌 및 리전 서비스에서 나열되지 않은 작업에 대한 액세스를 허용하지 않습니다.
-
이 제어는 예방 지침이 있는 선택적 제어입니다.
리전 거부 제어 SCP에 대한 템플릿을 보려면 AWS Control Tower 제어 참조에서 요청된 AWS 리전을 기반으로 AWS에 대한 액세스 거부를 참조하세요. AWS Control Tower SCP는 AWS Organizations의 SCP와 유사하지만 동일하지는 않습니다.
리전 서비스 페이지
