本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置区域拒绝控件
AWSControl Tower 提供了两个区域拒绝控件。一种控件是 GRREGIONDENY,激活后,可应用于整个登录区。另一个控件在激活后CTMULTISERVICEPV1,可以应用于您指定的OUs特定控件。有关更多信息,请参阅AWS 根据请求拒绝访问 AWS 区域和应用于 OU 的区域拒绝控制。
关于登录区的区域拒绝控件的注意事项
区域拒绝控件 GRREGIONDENY 是唯一的,因为它可应用于整个登录区,而不是任何特定的 OU。要配置该区域拒绝控件,请转到登录区设置页面,然后选择修改设置。
-
稍后可更改此设置。
-
启用后,此控件将应用于所有已注册的用户OUs。
-
无法为个人配置此控件OUs。
注意
在启用该区域拒绝控件之前,请确保这些区域中没有现有资源,因为在应用控件后,您将无法访问您的资源。启用该控件后,您将无法在被拒绝的区域中部署资源。
启用该控件后,它将应用于层次结构OUs中所有已注册的顶级控件,并由链中的OUs较低层继承。移除控件后,所有已注册的控件都会被移除OUs,AWS控制塔中所有不受管控的区域仍处于 “未受管辖” 状态,并且您可以在 Cont AWS rol Tower 可用性之外的区域部署资源。
异常
您不能拒绝访问您的主区域。某些全球 AWS 服务(例如IAM和 AWS Organizations)不受区域拒绝控制的约束。要了解更多信息,请参阅 Deny access to AWS based on the requested AWS 区域。
-
完整控制名称: AWS 根据请求的 AWS 区域拒绝访问权限
-
控件说明:禁止访问指定区域之外的全局和区域服务中未列出的操作。
-
这是一种具有预防性指导的选择性控件。
要查看 “区域拒绝” 控制的模板SCP,请参阅 Control T ower Cont AWS rol 参考资料 AWS 区域中的请求拒绝访问。 AWS Cont AWS rol SCP Tower 与 f SCP or 类似 AWS Organizations,但并不相同。
您可以在区域服务
