Limitações de controle - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Limitações de controle

Um novo guia de referência de controles

As informações sobre os controles da AWS Control Tower foram movidas para o Guia de referência dos controles da AWS Control Tower.

Se você modificar recursos da AWS Control Tower, como umSCP, ou remover qualquer AWS Config recurso, como um gravador ou agregador do Config, a Control Tower AWS não poderá mais garantir que os controles estejam funcionando conforme projetado. Portanto, a segurança do seu ambiente de várias contas pode estar comprometida. O modelo de segurança de responsabilidade AWS compartilhada é aplicável a quaisquer alterações que você possa fazer.

nota

AWSO Control Tower ajuda a manter a integridade do seu ambiente redefinindo os SCPs controles para a configuração padrão quando você atualiza sua landing zone. As alterações que você possa ter feito SCPs são substituídas pela versão padrão do controle, por design.

Alguns controles na AWS Control Tower não operam em determinados Regiões da AWS locais onde a AWS Control Tower está disponível, porque essas regiões não oferecem suporte à funcionalidade subjacente necessária. Essa limitação afeta certos controles de detetive, certos controles proativos e certos controles no Security Hub Service-Managed Standard: Control Tower. AWS Para obter mais informações sobre a disponibilidade regional, consulte a documentação da lista de serviços regionais e a documentação de referência dos controles do Security Hub.

O comportamento de controle também é limitado no caso de governança mista. Para obter mais informações, consulte Evite governança mista ao configurar regiões.

Para obter mais informações sobre como a AWS Control Tower gerencia as limitações de regiões e controles, consulteConsiderações sobre a ativação de regiões opcionais AWS.

Como encontrar controles e regiões disponíveis

Você pode ver as regiões disponíveis para cada controle no console AWS Control Tower. Você pode visualizar as regiões disponíveis programaticamente com o GetControl e do Catálogo ListControls APIs de AWS Controle.

Consulte também a tabela de referência dos controles da AWS Control Tower e regiões suportadas, Control availability by Region, no AWSControl Tower Controls Reference Guide.

nota

Para obter as informações mais atualizadas sobre controles e suporte regional, recomendamos que você ligue para as ListControlsAPIoperações GetControle.

Os itens a seguir Regiões da AWS não oferecem suporte a controles proativos.

  • Oeste do Canadá (Calgary)

A tabela a seguir mostra controles proativos que não são suportados em alguns Regiões da AWS.

Identificador de controle Regiões não suportadas

CT.REDSHIFT.PR.5

ap-southeast-4, ap-south-2, ap-southeast-3, eu-central-2, eu-sul-2, il-central-1, me-central-1

CT.DAX.PR.2

us-west-1

CT.GLUE.PR.2

Sem suporte

A tabela a seguir mostra os controles de detetive da AWS Control Tower que não são suportados em alguns Regiões da AWS.

Identificador de controle Regiões não suportadas

AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED

ap-nordeste-3, ap-southeast-3, ap-central-1, ap-southeast-4, ca-west-1 ca-west-1

AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

eu-south-2

AWS-GR_EMR_MASTER_NO_PUBLIC_IP

ap-northeast-3, ap-southeast-3, ap-southeast-3, af-sul-1, eu-south-1, il-central-1, me-central-1, eu-sul-2, ap-sul-2, eu-central-2, ap-southeast-4, ca-west-1

AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

eu-south-2

AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW

ap-northeast-3, ap-sudeste-3, ap-southeast-3, ap-south-2, eu-south-2, ca-west-1

AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

ap-northeast-3, ap-southeast-3, ap-southeast-3, af-sul-1, eu-south-1, il-central-1, me-central-1, eu-sul-2, ap-sul-2, eu-central-2, ap-southeast-4, ca-west-1

AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP

ap-northeast-3

AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS

ap-northeast-3, ap-southeast-3, ap-southeast-3, af-south-1, eu-south-1, us-west-1, il-central-1, me-central-1, me-central-1, eu-sul-2 ap-southeast-2, eu-central-2, ap-southeast-4, ca-west-1

AWS-GR_ELASTICSEARCH_IN_VPC_ONLY

ap-southeast-3, il-central-1, eu-south-2, ap-south-2, ap-south-2, eu-central-2, ap-southeast-4, ca-west-1

AWS-GR_RESTRICTED_SSH

af-south-1, ap-nordeste-3, ap-south-2, ap-south-2, ap-southeast-3, ap-southeast-4, eu-central-2, eu-sul-2, eu-sul-1, eu-sul-2 -south-2, il-central-1, me-central-1

AWS-GR_DMS_REPLICATION_NOT_PUBLIC

af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, eu-central-2, eu-sul-1, eu-sul-1, eu-sul-2, eu-sul-1, eu-sul-2, il-central-1, me-central-1, ca-west-1

AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED

af-south-1, ap-southeast-4, eu-central-2, eu-sul-1, eu-south-2, eu-central-1

AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED

ap-northeast-3

AWS-GR_ENCRYPTED_VOLUMES

af-south-1, ap-northeast-3, eu-sul-1, il-central-1

AWS-GR_RESTRICTED_COMMON_PORTS

af-sul-1, ap-nordeste-3, eu-central-2, eu-sul-1, eu-sul-1, eu-sul-2, il-central-1, me-central-1

AWS-GR_IAM_USER_MFA_ENABLED

il-central-1, me-central-1, eu-sul-2, ap-south-2, ap-south-2, eu-central-2, ap-southeast-4, ca-west-1

AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS

il-central-1, me-central-1, eu-sul-2, ap-south-2, ap-south-2, eu-central-2, ap-southeast-4, ca-west-1

AWS-GR_SSM_DOCUMENT_NOT_PUBLIC

il-central-1, ca-west-1

AWS-GR_ROOT_ACCOUNT_MFA_ENABLED

il-central-1, me-central-1, ca-west-1

AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC

il-central-1, eu-sul-2, eu-central-2

AWS-GR_RDS_STORAGE_ENCRYPTED

eu-central-2, eu-sul-2

AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK

ap-south-2, eu-south-2

AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

ap-south-2, ap-southeast-3, eu-south-2, ca-west-1

AWS-GR_EC2_VOLUME_INUSE_CHECK

ca-west-1

AWS-GR_EBS_OPTIMIZED_INSTANCE

ca-west-1