Configurar o controle de negação de região - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o controle de negação de região

AWSA Control Tower oferece dois controles de negação de região. Um controle, GRREGIONDENY, que quando ativado, se aplica a toda a zona de pouso. Outro controleCTMULTISERVICEPV1, quando ativado, pode ser aplicado ao específico OUs especificado por você. Para obter mais informações, consulte Negar acesso AWS com base na solicitação Região da AWS e Controle de negação de região aplicado à OU.

Considerações sobre o controle de negação de região da zona de pouso

O controle de negação de região, GRREGIONDENY é único, pois se aplica à zona de pouso como um todo, e não a uma UO específica. Para configurar o controle de negação de região, acesse a página Configurações de zona inicial e selecione Modificar configurações.

  • Essa configuração pode ser alterada posteriormente.

  • Quando ativado, esse controle se aplica a todos os cadastradosOUs.

  • Esse controle não pode ser configurado individualmenteOUs.

nota

Antes de habilitar o controle de negação de região, verifique se não há recursos nessas regiões, pois você não terá acesso a eles depois de aplicar o controle. Enquanto o controle estiver habilitado, você não poderá implantar recursos nas regiões negadas.

Quando você ativa o controle, ele se aplica a todos os registros de nível superior OUs em sua hierarquia e é herdado pela OUs parte inferior da cadeia. Quando você remove o controle, ele é removido em todas as regiões registradas OUs e não controladas na AWS Control Tower permanecem com o status Não controlado, e você pode implantar recursos em regiões fora da disponibilidade da AWS Control Tower.

Exceções

Você não pode negar o acesso à região de origem. Certos AWS serviços globais, como IAM e AWS Organizations, estão isentos da Região e negam o controle. Para saber mais, consulte Deny access to AWS based on the requested Região da AWS.

  • Nome completo do controle: negar acesso AWS com base na AWS região solicitada

  • Descrição do controle: proíbe o acesso a operações não listadas em serviços globais e regionais fora das regiões especificadas.

  • Esse é um controle eletivo com orientação preventiva.

Para ver o modelo do controle de negação de regiãoSCP, consulte Negar acesso AWS com base na solicitação Região da AWS na referência do AWS Control Tower Control. O AWS Control Tower SCP é semelhante ao SCP for AWS Organizations, mas não idêntico.

É possível determinar os endpoints do serviço regional na página Serviços regionais.