本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定區域拒絕控制
AWS Control Tower 提供兩個區域拒絕控制項。啟用GRREGIONDENY時,一個控制項 會套用至整個登陸區域。啟用 CTMULTISERVICEPV1時,另一個控制項 可以套用到您指定的特定 OUs 。如需詳細資訊,請參閱 AWS 根據請求的拒絕存取 AWS 區域,以及套用到 OU 的區域拒絕控制。
登陸區域的區域拒絕控制考量
區域拒絕控制項GRREGIONDENY是唯一的,因為它會套用至整個登陸區域,而不是任何特定的 OU。若要設定區域拒絕控制,請前往登陸區域設定頁面,然後選取修改設定。
-
稍後可以變更此設定。
-
啟用時,此控制項會套用至所有已註冊的 OUs。
-
無法針對個別 設定此控制項OUs。
注意
啟用區域拒絕控制項之前,請確定您在這些區域中沒有現有資源,因為您套用控制項後將無法存取您的資源。啟用控制項時,您將無法在遭拒的區域中部署資源。
當您啟用控制項時,它會套用至階層OUs中的所有已註冊頂層,並且由鏈結中的OUs較低層級繼承。當您移除控制項時,它會在所有已註冊的 上移除它OUs,AWS控制塔中的所有非受管區域都會保留在不受管狀態,而且您可以在AWS控制塔可用性之外的區域中部署資源。
例外狀況
您無法拒絕存取您的主區域。特定全域 AWS 服務,例如 IAM和 AWS Organizations,不受區域拒絕控制限制。若要進一步了解,請參閱AWS 根據請求拒絕對 的存取 AWS 區域。
-
完整控制名稱: AWS 根據請求 AWS 的區域拒絕對 的存取
-
控制描述:不允許在指定區域外的全域和區域服務中存取未列出的操作。
-
這是具有預防性指導的選擇性控制。
若要檢視區域拒絕控制 的範本SCP,請參閱 AWS Control Tower Control 參考中的根據請求拒絕對 AWS 的存取 AWS 區域。AWS Control Tower 與 SCP 的 AWS Organizations SCP 類似,但不同。
您可以在區域服務頁面上判斷區域服務
