As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Limitações de controle
AWSO Control Tower ajuda você a manter um ambiente seguro com várias contas AWS por meio de controles, que são implementados de várias formas, como políticas de controle de serviço (SCPs), AWS Config regras e AWS CloudFormation ganchos.
O guia de referência de controles
Informações detalhadas sobre os controles da AWS Control Tower foram transferidas para o Guia de referência dos controles da AWS Control Tower.
Se você modificar recursos da AWS Control Tower, como umSCP, ou remover qualquer AWS Config recurso, como um gravador ou agregador do Config, a Control Tower AWS não poderá mais garantir que os controles estejam funcionando conforme projetado. Portanto, a segurança do seu ambiente de várias contas pode estar comprometida. O modelo de segurança de responsabilidade AWS compartilhada
nota
AWSO Control Tower ajuda a manter a integridade do seu ambiente redefinindo os SCPs controles preventivos para a configuração padrão quando você atualiza sua landing zone. As alterações que você possa ter feito SCPs são substituídas pela versão padrão do controle, por design.
Limitações por região
Alguns controles na AWS Control Tower não operam em determinados Regiões da AWS locais onde a AWS Control Tower está disponível, porque essas regiões não oferecem suporte à funcionalidade subjacente necessária. Como resultado, quando você implanta esse controle, ele pode não estar operando em todas as regiões que você governa com a AWS Control Tower. Essa limitação afeta certos controles de detetive, certos controles proativos e certos controles no Security Hub Service-Managed Standard: Control Tower. AWS Para obter mais informações sobre a disponibilidade regional, consulte os controles do Security Hub. Consulte também a documentação da lista de serviços regionais e a documentação
O comportamento de controle também é limitado no caso de governança mista. Para obter mais informações, consulte Evite governança mista ao configurar regiões.
Para obter mais informações sobre como a AWS Control Tower gerencia as limitações de regiões e controles, consulteConsiderações sobre a ativação de regiões opcionais AWS.
nota
Para obter as informações mais atualizadas sobre controles e suporte regional, recomendamos que você ligue para as ListControlsAPIoperações GetControle.
Encontre controles e regiões disponíveis
Você pode ver as regiões disponíveis para cada controle no console AWS Control Tower. Você pode visualizar as regiões disponíveis programaticamente com o GetControle do Catálogo ListControlsAPIsde AWS Controle.
Consulte também a tabela de referência dos controles da AWS Control Tower e regiões suportadas, Control availability by Region, no AWSControl Tower Controls Reference Guide.
Não compatível com o padrão AWS Security Hub gerenciado Regiões da AWS por serviços: Control Tower AWS
Para obter informações sobre AWS Security Hub controles do Service-Managed Standard: AWS Control Tower que não são suportados em determinadas regiões Regiões da AWS, consulte “Regiões não suportadas” no padrão do Security Hub.
Os itens a seguir Regiões da AWS, como região de origem, não oferecem suporte à implantação de controles proativos. Você pode implantar controles proativos para governar essas regiões se implantar os controles de uma região de origem diferente que ofereça suporte a controles proativos.
-
Oeste do Canadá (Calgary)
A tabela a seguir mostra controles proativos que não são suportados em alguns Regiões da AWS.
| Identificador de controle | Regiões não implantáveis |
|---|---|
|
ca-west-1, us-west-1 |
|
ap-south-2, ap-southeast-3, ap-southeast-4, ap-southeast-4, ca-west-1, eu-central-2, eu-sul-2, il-central-1, me-central-1 |
A tabela a seguir mostra os controles de detetive da AWS Control Tower que não são suportados em alguns Regiões da AWS.
| Identificador de controle | Regiões não implantáveis |
|---|---|
|
ap-nordeste-3, ap-sudeste-3, ap-southeast-3, ap-southeast-4, ca-west-1, il-central-1 |
|
af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, ca-west-1, eu-central-2, eu-sul-1, eu-central-2, eu-south-1, eu-south-2, eu-south-2, -central-1, me-central-1 |
|
ca-west-1 |
|
eu-south-2 |
|
ap-northeast-3 |
|
ca-west-1 |
|
ca-west-1 |
|
ap-south-2, ap-southeast-3, ap-southeast-4, ap-southeast-4, ca-west-1, eu-central-2, eu-south-2, il-central-1 |
|
af-south-1, ap-nordeste-3, ap-south-2, ap-south-2, ap-southeast-3, ap-southeast-4, ca-west-1, eu-central-2, eu-sul-1, eu-central-2, eu-sul-1 eu-sul-2, il-central-1, eu-central-1, me-central-1 |
|
af-south-1, ap-northeast-3, eu-sul-1, il-central-1 |
|
ap-south-2, ap-southeast-4, ca-west-1, eu-central-2, eu-south-2, il-central-1, me-central-1 |
|
eu-south-2 |
|
ap-south-2, ap-southeast-4, ca-west-1, eu-central-2, eu-south-2, il-central-1, me-central-1 |
|
ap-northeast-3, ap-south-2, ap-southeast-3, ap-west-1, eu-south-2 |
|
ap-south-2, eu-south-2 |
|
af-south-1, ap-southeast-4, eu-central-2, eu-sul-1, eu-south-2, eu-central-1 |
|
eu-central-2, eu-south-2 |
|
ap-south-2, ap-southeast-3, ap-west-1, eu-south-2 |
|
af-south-1, eu-south-1 |
|
ca-west-1, il-central-1, me-central-1 |
|
eu-central-2, eu-sul-2, il-central-1 |
|
af-south-1, ap-nordeste-3, ap-south-2, ap-south-2, ap-southeast-3, ap-southeast-4, ca-west-1, eu-central-2, eu-sul-1, eu-central-2, eu-sul-1 eu-sul-2, il-central-1, eu-central-1, me-central-1 |
|
ca-west-1, il-central-1 |
|
ap-northeast-3 |
