控制限制 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

控制限制

新的控制項參考指南

AWSControl Tower 控制項的相關資訊已移至《Con AWS trol Tower 控制參考指南》

如果您修改 Con AWS trol Tower 資源,例如SCP,或移除任何 AWS Config 資源,例如 Config 記錄器或彙總器,Con AWS trol Tower 將無法再保證控制項能如設計般運作。因此,您的多帳戶環境的安全性可能會受到影響。安全性的 AWS 共同責任模式適用於您可能進行的任何此類更改。

注意

AWS當您更新 landing zone 時,Control Tower 可將控制項重設為標準配置,以協助維護環境SCPs的完整性。根據設計,您可能已經對其進行的變更會被控制項的標準版本取代。SCPs

AWSControl Tower 中的某些控制項無法在某些可用 AWS Control Tower 的地 AWS 區域 方運作,因為這些區域不支援所需的基礎功能。此限制會影響 Security Hub 服務管理的標準:AWSControl Tower 中的特定偵探控制、特定主動控制,以及特定控制項。如需區域可用性的詳細資訊,請參閱區域服務清單文件Security Hub 控制項參考文件

混合治理的情況下,控制行為也會受到限制。如需詳細資訊,請參閱設定區域時避免混合控管

如需 AWS Control Tower 如何管理區域和控制項限制的詳細資訊,請參閱啟用 AWS 選擇加入區域的注意事項

如何尋找可用的控制項和區域

您可以在「Control Tower」主控台中檢視每個AWS控制項的可用區域。您可以使用GetControlListControlsAPIs AWS 控制目錄以程式設計方式檢視可用的區域。

另請參閱《AWS Control Tower 控制項參考指南》中的「Control Tower 控制項」和「支援區域」、「按區域分類AWS控制可用性」的參考表格。

注意

如需控制項和區域支援的最新資訊,建議您撥打GetControlListControlsAPI作業。

下列項目 AWS 區域 不支援主動式控制。

  • 加拿大西部 (卡加利)

下表顯示某些不支援的主動式控制項 AWS 區域。

控制標識符 不支援地區

CT.REDSHIFT.PR.5

ap-southeast-4,方向 ap-south-2,ap-southeast-3,eu-central-2,eu-south-2,il-central-1,me-central-1

CT.DAX.PR.2

us-west-1

CT.GLUE.PR.2

不支援

下表顯示某些不支援的 AWS Control Tower 偵探控制項 AWS 區域。

控制標識符 不支援地區

AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED

ap-northeast-3, ap-southeast-3, il-central-1, ap-southeast-4, ca-west-1

AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

eu-south-2

AWS-GR_EMR_MASTER_NO_PUBLIC_IP

ap-northeast-3,ap-southeast-3,遠南 -1,歐盟-南 -1,中央 -1,me-central-1 il-central-1,歐盟-南部 -2,歐盟-中央 -2,歐盟-東南 -2,ap-southeast-4,ca-west-1

AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

eu-south-2

AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW

ap-northeast-3, ap-southeast-3, ap-south-2, eu-south-2, ca-west-1

AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

ap-northeast-3,ap-southeast-3,遠南 -1,歐盟-南 -1,中央 -1,me-central-1 il-central-1,歐盟-南部 -2,歐盟-中央 -2,歐盟-東南 -2,ap-southeast-4,ca-west-1

AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP

ap-northeast-3

AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS

AP-東北 -3,AP-東南 -3,南方 -1,歐盟-南 -1,us-west-1,中央 -1,我中 me-central-1,歐盟南部 -2,歐盟 ap-south-2,eu-central-2,阿里-東南 -4,ca-west-1

AWS-GR_ELASTICSEARCH_IN_VPC_ONLY

ap-southeast-3,中央 -1,eu-south-2,公里 ap-south-2,eu-central-2,ap-southeast-4,ca-west-1

AWS-GR_RESTRICTED_SSH

自動對 af-south-1,ap-northeast-3,公里 ap-south-2,ap-southeast-3,ap-southeast-4,eu-central-2,歐盟-南部 -1,eu-south-2,中央 -1,中央 -1,me-central-1

AWS-GR_DMS_REPLICATION_NOT_PUBLIC

自動對焦-南 -1,AP-南 -2,AP-東南-3,ap-southeast-4,eu-central-2,eu-south-1,eu-south-2,il-central-1,me-central-1,ca-west-1

AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED

自動對 af-south-1, ap-southeast-4, eu-central-2, 歐洲-南 -1, 歐南 -2, il-central-1

AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED

ap-northeast-3

AWS-GR_ENCRYPTED_VOLUMES

自動對 af-south-1, 東北 -3, eu-south-1, il-central-1

AWS-GR_RESTRICTED_COMMON_PORTS

自動對 af-south-1,ap-northeast-3,eu-central-2,歐盟-南 -1,歐南 -2,il-central-1,me-central-1

AWS-GR_IAM_USER_MFA_ENABLED

中央 -1,me-central-1,eu-south-2,公里 ap-south-2,eu-central-2,ap-southeast-4,ca-west-1

AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS

中央 -1,me-central-1,eu-south-2,公里 ap-south-2,eu-central-2,ap-southeast-4,ca-west-1

AWS-GR_SSM_DOCUMENT_NOT_PUBLIC

il-central-1,ca-west-1

AWS-GR_ROOT_ACCOUNT_MFA_ENABLED

il-central-1,me-central-1,ca-west-1

AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC

il-central-1,eu-south-2,eu-central-2

AWS-GR_RDS_STORAGE_ENCRYPTED

eu-central-2, eu-south-2

AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK

ap-south-2, eu-south-2

AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

ap-south-2, ap-southeast-3, eu-south-2, ca-west-1

AWS-GR_EC2_VOLUME_INUSE_CHECK

ca-west-1

AWS-GR_EBS_OPTIMIZED_INSTANCE

ca-west-1