As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar o controle de negação de região
O AWS Control Tower oferece dois controles de negação de região. Um controle, AWS-GR_REGION_DENY, que quando ativado, se aplica a toda a zona de pouso. Outro controle, CT.MULTISERVICE.PV.1, que quando ativado, pode ser aplicado às UOs que você especificar. Para obter mais informações, consulte Negar acesso AWS com base na solicitação Região da AWS e Controle de negação de região aplicado à OU.
Considerações sobre o controle de negação de região da zona de pouso
O controle de negação de região, AWS-GR_REGION_DENY é único, pois se aplica à zona de pouso como um todo, e não a uma UO específica. Para configurar o controle de negação de região, acesse a página Configurações de zona inicial e selecione Modificar configurações.
-
Essa configuração pode ser alterada posteriormente.
-
Quando ativado, esse controle se aplica a todas as OUs com o
AWSControlTowerBaselineativado. -
Esse controle não pode ser configurado para UOs individuais.
nota
Antes de habilitar o controle de negação de região, verifique se não há recursos nessas regiões, pois você não terá acesso a eles depois de aplicar o controle. Enquanto o controle estiver habilitado, você não poderá implantar recursos nas regiões negadas.
Quando você ativa o controle, ele se aplica a todas as OUs de nível superior com o AWSControlTowerBaseline ativado e é herdado pelas OUs mais baixas na hierarquia da organização. Quando você remove o controle, ele é removido em todas as OUs aplicadas anteriormente, todas as regiões não governadas no AWS Control Tower permanecem com o status Não governado e você pode implantar recursos em regiões fora da disponibilidade do AWS Control Tower.
Exceções
Você não pode negar o acesso à região de origem. Certos AWS serviços globais, como IAM e AWS Organizations, estão isentos do controle de negação da região. Para saber mais, consulte Deny access to AWS based on the requested Região da AWS.
-
Nome completo do controle: negue acesso AWS com base na AWS região solicitada para a landing zone
-
Descrição do controle: Proíbe o acesso a operações não listadas em serviços globais e regionais fora das regiões especificadas para a landing zone.
-
Esse é um controle eletivo com orientação preventiva.
Consulte o modelo de SCP do controle de negação de região em Deny access to AWS based on the requested Região da AWS na Referência de controles do AWS Control Tower. O AWS Control Tower SCP é semelhante ao SCP AWS Organizations, mas não idêntico.
É possível determinar os endpoints do serviço regional na página Serviços regionais