Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Einschränkungen der Kontrolle

PDF
RSS
Fokusmodus
Einschränkungen der Kontrolle - AWS Control Tower
Suchen Sie nach verfügbaren Steuerelementen und Regionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Control Tower unterstützt Sie bei der Aufrechterhaltung einer sicheren Umgebung mit mehreren Konten mithilfe AWS von Kontrollen, die in verschiedenen Formen implementiert werden, wie z. B. Richtlinien zur Servicesteuerung (SCPs), AWS Config Regeln und AWS CloudFormation Hooks.

Das Referenzhandbuch für Steuerungen

Detaillierte Informationen zu AWS Control Tower Controls wurden in das AWS Control Tower Controls Reference Guide verschoben.

Wenn Sie AWS Control Tower-Ressourcen wie ein SCP ändern oder AWS Config Ressourcen entfernen, z. B. einen Config-Recorder oder -Aggregator, kann AWS Control Tower nicht mehr garantieren, dass die Kontrollen wie vorgesehen funktionieren. Daher kann die Sicherheit Ihrer Umgebung mit mehreren Konten gefährdet sein. Das Sicherheitsmodell der AWS geteilten Verantwortung gilt für alle derartigen Änderungen, die Sie vornehmen.

Anmerkung

AWS Control Tower trägt dazu bei, die Integrität Ihrer Umgebung aufrechtzuerhalten, indem die SCPs präventiven Kontrollen auf ihre Standardkonfiguration zurückgesetzt werden, wenn Sie Ihre landing zone aktualisieren. Änderungen, die Sie möglicherweise vorgenommen haben, SCPs werden konstruktionsbedingt durch die Standardversion der Steuerung ersetzt.

Einschränkungen nach Regionen

Einige Kontrollen in AWS Control Tower funktionieren in bestimmten Regionen, in AWS-Regionen denen AWS Control Tower verfügbar ist, nicht, da diese Regionen die erforderlichen zugrunde liegenden Funktionen nicht unterstützen. Wenn Sie diese Steuerung bereitstellen, ist sie daher möglicherweise nicht in allen Regionen verfügbar, die Sie mit AWS Control Tower verwalten. Diese Einschränkung betrifft bestimmte detektive Kontrollen, bestimmte proaktive Kontrollen und bestimmte Kontrollen im vom Security Hub Service verwalteten Standard: AWS Control Tower. Weitere Informationen zur regionalen Verfügbarkeit finden Sie in den Security Hub-Steuerelementen. Weitere Informationen finden Sie in der Dokumentation zur regionalen Serviceliste und in der Referenzdokumentation zu Security Hub-Steuerungen.

Das Kontrollverhalten ist auch bei gemischter Verwaltung begrenzt. Weitere Informationen finden Sie unter Vermeiden Sie gemischte Verwaltungsstrukturen bei der Konfiguration von Regionen.

Weitere Informationen darüber, wie AWS Control Tower mit den Einschränkungen von Regionen und Kontrollen umgeht, finden Sie unterÜberlegungen zur Aktivierung von AWS Opt-in-Regionen.

Anmerkung

Für die aktuellsten Informationen über Kontrollen und regionalen Support empfehlen wir Ihnen, die Operationen GetControlund ListControlsAPI aufzurufen.

Suchen Sie nach verfügbaren Steuerelementen und Regionen

Sie können die verfügbaren Regionen für jede Kontrolle in der AWS Control Tower Tower-Konsole anzeigen. Sie können die verfügbaren Regionen programmgesteuert mit dem GetControlund ListControls APIs im AWS Control Catalog anzeigen.

Weitere Informationen finden Sie in der Referenztabelle zu AWS Control Tower Controls und den unterstützten Regionen, Verfügbarkeit nach Regionen kontrollieren, im Referenzhandbuch zu AWS Control Tower Controls.

Informationen zu AWS Security Hub Kontrollen aus dem Service-Managed Standard: AWS Control Tower, die in bestimmten Fällen nicht unterstützt werden AWS-Regionen, finden Sie unter „Nicht unterstützte Regionen“ im Security Hub Hub-Standard.

Die folgende Tabelle zeigt spezifische proaktive Kontrollen, die in bestimmten Fällen nicht unterstützt werden. AWS-Regionen

Kennung des Steuerelements Regionen, die nicht eingesetzt werden können

CT.DAX.PR.2

ap-Southeast-5, ca-west-1, us-west-1

CT.REDSHIFT.PR.5

ap-south-2, ap-southeast-3, ap-southeast-4, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1

Die folgende Tabelle zeigt AWS Control Tower Detective Controls, die in bestimmten Fällen nicht unterstützt werden AWS-Regionen.

Kontroll-ID Regionen, die nicht eingesetzt werden können

API_GW_CACHE_ENABLED_AND_ENCRYPTED

ap-Southeast-5, ca-west-1

APPSYNC_ASSOCIATED_WITH_WAF

af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, ap-Südost-5, ca-west-1, eu-central-2, eu-south-2, il-central-1, me-central-1

AURORA_LAST_BACKUP_RECOVERY_POINT_CREATED

ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1

AURORA_RESOURCES_PROTECTED_BY_BACKUP_PLAN

ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1

AUTOSCALING_CAPACITY_REBALANCING

ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1

AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED

ap-northeast-3, ap-southeast-3, ap-southeast-4, AP-Südoast-5, CA-West-1, il-central-1

AWS-GR_DMS_REPLICATION_NOT_PUBLIC

af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, ap-Südost-5, ca-west-1, eu-central-2, eu-south-1, eu-south-2, il-central-1, me-central-1

AWS-GR_EBS_OPTIMIZED_INSTANCE

ap-Southeast-5, ca-west-1

AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

eu-south-2

AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP

ap-northeast-3

AWS-GR_EC2_VOLUME_INUSE_CHECK

ap-Southeast-5, ca-west-1

AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS

ap-Southeast-5, ca-west-1

AWS-GR_ELASTICSEARCH_IN_VPC_ONLY

ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1

AWS-GR_EMR_MASTER_NO_PUBLIC_IP

af-south-1, ap-northeast-3, ap-south-2, ap-southeast-3, ap-southeast-4, ap-Südost-5, ca-west-1, eu-central-2, eu-south-1, eu-south-2, il-central-1, me-central-1

AWS-GR_ENCRYPTED_VOLUMES

af-south-1, ap-northeast-3, eu-south-1, il-central-1

AWS-GR_IAM_USER_MFA_ENABLED

ap-south-2, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1

AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

eu-south-2

AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS

ap-south-2, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1

AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW

ap-northeast-3, ap-south-2, ap-southeast-3, AP-Südost-5, CA-West-1, eu-south-2

AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK

ap-south-2, eu-south-2

AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED

af-south-1, ap-southeast-4, eu-central-2, eu-south-1, eu-south-2, il-central-1

AWS-GR_RDS_STORAGE_ENCRYPTED

eu-central-2, eu-south-2

AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

ap-south-2, ap-southeast-3, AP-Südost-5, CA-West-1, eu-south-2

AWS-GR_RESTRICTED_SSH

af-south-1, eu-south-1

AWS-GR_ROOT_ACCOUNT_MFA_ENABLED

ap-Southeast-5, ca-west-1, il-central-1, me-central-1

AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC

eu-central-2, eu-south-2, il-central-1

AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

af-south-1, ap-northeast-3, ap-south-2, ap-southeast-3, ap-southeast-4, ap-Südost-5, ca-west-1, eu-central-2, eu-south-1, eu-south-2, il-central-1, me-central-1

AWS-GR_SSM_DOCUMENT_NOT_PUBLIC

AP-southeast-5, ca-west-1, il-central-1

AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED

ap-northeast-3

BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK

ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1

BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED

ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1

BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK

ap-south-2, ap-southeast-3, ap-southeast-4, AP-Südost-5, CA-West-1, eu-central-2, eu-south-2, il-central-1, me-central-1

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.