View a markdown version of this page

Configuración del control de denegación de regiones - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del control de denegación de regiones

AWS Control Tower ofrece dos controles de denegación de regiones. Cuando se activa, el control AWS-GR_REGION_DENY se puede aplicar a toda la zona de aterrizaje. Si se activa otro control, CT.MULTISERVICE.PV.1, se puede aplicar a las OU determinadas que especifique. Para obtener más información, consulte Denegar el acceso a en AWS función del control de Región de AWS denegación regional solicitado y aplicado a la OU.

Consideraciones sobre el control de denegación de regiones de la zona de aterrizaje

El control de denegación de regiones AWS-GR_REGION_DENY es único, ya que se aplica a la zona de aterrizaje en su conjunto y no a una OU específica. Para configurar el control de denegación de regiones, vaya a la página Configuración de la zona de almacenamiento y seleccione Modificar configuración.

  • Esta configuración se puede cambiar más adelante.

  • Cuando está activado, este control se aplica a todas las unidades organizativas que tengan la AWSControlTowerBaseline opción habilitada.

  • Este control no se puede configurar para OU individuales.

nota

Antes de activar el control de denegación de regiones, asegúrese de que no dispone de recursos en estas regiones, ya que no tendrá acceso a los recursos una vez que haya aplicado el control. Mientras el control esté activado, no podrá implementar recursos en las regiones denegadas.

Al habilitar el control, se aplica a todas las unidades organizativas de nivel superior que tengan el control AWSControlTowerBaseline activado y lo heredan las unidades organizativas de nivel inferior en la jerarquía de la organización. Al eliminar el control, se elimina de todas las unidades organizativas aplicadas anteriormente, todas las regiones no gobernadas de la Torre de Control de AWS permanecen en el estado No gobernadas y puede implementar recursos en regiones fuera de la disponibilidad de la Torre de Control de AWS.

Excepciones

No puede denegar el acceso a la región de origen. Algunos AWS servicios globales, como IAM, están exentos de la región AWS Organizations, deniegan el control. Para obtener más información, consulte Deny access to AWS based on the requested Región de AWS.

  • Nombre de control completo: Denegar el acceso a en AWS función de la AWS región solicitada para la landing zone

  • Descripción del control: No permite el acceso a operaciones no listadas en servicios globales y regionales fuera de las regiones especificadas para la landing zone.

  • Se trata de un control opcional con directrices preventivas.

Para ver la plantilla de la SCP del control de denegación de regiones, consulte Deny access to AWS based on the requested Región de AWS en la referencia de control de AWS Control Tower. El SCP de la Torre de Control de AWS es similar al SCP AWS Organizations, pero no idéntico.

Puede determinar los puntos de conexión de los servicios regionales en la página de servicios regionales.