本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 控件限制
<a name="control-limitations"></a>

AWS Control Tower AWS 通过控制措施帮助您维护安全的多账户环境，这些控制以各种形式实施，例如服务控制策略 (SCP)、 AWS Config 规则和 CloudFormation 挂钩。

**控件参考指南**  
有关 AWS Control Tower 控件的详细信息已移至 [AWS Control Tower 控件参考指南](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html)。

如果您修改 AWS Control Tower 资源（例如 SCP），或者删除任何 AWS Config 资源（例如配置记录器或聚合器），AWS Control Tower 将无法再保证控件按设计运行。因此，您多账户环境的安全性可能会受到影响。安全分 AWS [担责任模式](https://aws.amazon.com/compliance/shared-responsibility-model)适用于您可能做出的任何此类更改。

**注意**  
 在您更新登录区时，AWS Control Tower 将预防性控件的 SCP 重置为标准配置，从而帮助维护环境的完整性。从设计上讲，您可能对 SCP 所做的更改会被控件的标准版本取代。

**按区域划分的限制**

AWS Control Tower 中的某些控件无法在 AWS Control Tower 可用 AWS 区域 的地方运行，因为这些区域不支持所需的底层功能。因此，当您部署该控件时，它可能无法在您使用 AWS Control Tower 监管的所有区域中运行。此限制会影响 Sec **urity Hub CSPM Service-managed 标准：AWS Control Tower 中的某些侦探控制、某些主动控制和 Security Hub CSPM 标准中的某些控**件。有关区域可用性的更多信息，请参阅 [Security Hub 控件](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html)。另请参阅[区域服务列表文档](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)和 Sec [urity Hub CSPM 控件参考](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-controls-reference.html)文档。

在*混合监管*的情况下，控件行为也受到限制。有关更多信息，请参阅 [配置区域时避免混合监管](mixed-governance.md)。

有关 AWS Control Tower 如何管理区域和控件限制的更多信息，请参阅 [激活注意事项 AWS 选择加入区域](opt-in-region-considerations.md)。

**注意**  
要了解有关控件和区域支持的最新信息，我们建议您调用 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) 和 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) API 操作。

## 查找可用的控件和区域
<a name="find-available-controls-and-regions"></a>

您可以在 AWS Control Tower 控制台中查看每个控件的可用区域。您可以使用 AWS 控制目录中的[https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)和 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html)API 以编程方式查看可用区域。

有关某些不支持的**Service-Managed标准：AWS Control Tower 中的控 AWS Security Hub CSPM **件的信息 AWS 区域，请参阅 Sec [urity Hub CSP](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html) M 标准中的 “不支持的区域”。