View a markdown version of this page

Konfigurieren Sie die Option „Region Deny Control“ - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie die Option „Region Deny Control“

AWS Control Tower bietet zwei Regionsverweigerungskontrollen. Wenn ein Steuerelement aktiviert ist, gilt es für die gesamte landing zone. AWS-GR_REGION_DENY Ein anderes Steuerelement kannCT.MULTISERVICE.PV.1, sofern aktiviert, für bestimmte von Ihnen angegebene Organisationseinheiten gelten. Weitere Informationen finden Sie unter Zugriff verweigern auf der AWS Grundlage der angeforderten Daten AWS-Region und unter Kontrolle, die auf die Organisationseinheit angewendet wurde.

Überlegungen zur Region verweigern die Kontrolle über die landing zone

Die Region verweigert die Kontrolle, AWS-GR_REGION_DENYist einzigartig, da sie sich auf die gesamte landing zone bezieht und nicht auf eine bestimmte Organisationseinheit. Um die Steuerung „Region Deny“ zu konfigurieren, rufen Sie die Seite mit den Landingzone-Einstellungen auf und wählen Sie Einstellungen ändern aus.

  • Diese Einstellung kann zu einem späteren Zeitpunkt geändert werden.

  • Wenn diese Option aktiviert ist, gilt diese Steuerung für alle Organisationseinheiten, für die die AWSControlTowerBaseline Option aktiviert ist.

  • Dieses Steuerelement kann nicht für einzelne Organisationseinheiten konfiguriert werden.

Anmerkung

Bevor Sie die Steuerung „Region verweigern“ aktivieren, stellen Sie sicher, dass Sie in diesen Regionen nicht über Ressourcen verfügen, da Sie nach der Anwendung der Steuerung keinen Zugriff mehr auf Ihre Ressourcen haben werden. Solange die Steuerung aktiviert ist, können Sie in den Regionen, in denen der Zugriff verweigert wurde, keine Ressourcen bereitstellen.

Wenn Sie das Steuerelement aktivieren, gilt es für alle Organisationseinheiten der obersten Ebene, bei denen das Steuerelement AWSControlTowerBaseline aktiviert ist, und es wird von Organisationseinheiten übernommen, die in der Organisationshierarchie weiter unten stehen. Wenn Sie die Kontrolle entfernen, wird sie für alle zuvor angewendeten Organisationseinheiten entfernt, alle nicht verwalteten Regionen in AWS Control Tower behalten den Status Nicht reguliert, und Sie können Ressourcen in Regionen außerhalb der Verfügbarkeit von AWS Control Tower bereitstellen.

Ausnahmen

Sie können den Zugriff auf Ihre Heimatregion nicht verweigern. Bestimmte globale AWS Dienste, wie IAM und AWS Organizations, sind von der Sperrung durch die Region ausgenommen. Weitere Informationen finden Sie unter Zugriff verweigern auf AWS Grundlage der angeforderten Daten. AWS-Region

  • Vollständiger Kontrollname: Zugriff auf AWS basierend auf der angeforderten AWS Region für die landing zone verweigern

  • Beschreibung der Steuerung: Verbietet den Zugriff auf nicht gelistete Operationen in globalen und regionalen Diensten außerhalb der angegebenen Regionen für die landing zone.

  • Es handelt sich um eine Wahlkontrolle mit präventiver Anleitung.

Die Vorlage für das Region Deny Control SCP finden Sie unter Zugriff verweigern auf AWS Grundlage der AWS-Region in der AWS Control Tower Control-Referenz angeforderten Angaben. Der AWS Control Tower SCP ähnelt dem SCP für AWS Organizations, ist aber nicht identisch.

Sie können die regionalen Service-Endpunkte auf der Seite Regionale Services festlegen.