Einschränkungen der Kontrolle

Ein neues Referenzhandbuch für Steuerungen

Informationen zu AWS Control Tower Controls wurden in das AWS Control Tower Controls Reference Guide verschoben.

Wenn Sie AWS Control Tower-Ressourcen wie ein SCP ändern oder AWS Config Ressourcen entfernen, z. B. einen Config-Recorder oder -Aggregator, kann AWS Control Tower nicht mehr garantieren, dass die Kontrollen wie vorgesehen funktionieren. Daher kann die Sicherheit Ihrer Umgebung mit mehreren Konten gefährdet sein. Das Sicherheitsmodell der AWS geteilten Verantwortung gilt für alle derartigen Änderungen, die Sie vornehmen.

Anmerkung

AWS Control Tower trägt zur Aufrechterhaltung der Integrität Ihrer Umgebung bei, indem die SCPs der Kontrollen auf ihre Standardkonfiguration zurückgesetzt werden, wenn Sie Ihre landing zone aktualisieren. Änderungen, die Sie möglicherweise an SCPs vorgenommen haben, werden konstruktionsbedingt durch die Standardversion der Steuerung ersetzt.

Einige Kontrollen in AWS Control Tower funktionieren in bestimmten Regionen, in AWS-Regionen denen AWS Control Tower verfügbar ist, nicht, da diese Regionen die erforderlichen zugrunde liegenden Funktionen nicht unterstützen. Diese Einschränkung betrifft bestimmte detektive Kontrollen, bestimmte proaktive Kontrollen und bestimmte Kontrollen im vom Security Hub Service verwalteten Standard: AWS Control Tower. Weitere Informationen zur regionalen Verfügbarkeit finden Sie in der Dokumentation zur Liste der regionalen Dienste und in der Referenzdokumentation zu Security Hub-Steuerelementen.

Das Kontrollverhalten ist auch bei gemischter Verwaltung begrenzt. Weitere Informationen finden Sie unter Vermeiden Sie gemischte Verwaltungsstrukturen bei der Konfiguration von Regionen.

Weitere Informationen darüber, wie AWS Control Tower die Einschränkungen von Regionen und Kontrollen verwaltet, finden Sie unterÜberlegungen zur Aktivierung von AWS Opt-in-Regionen.

Sie können die Regionen für jede Kontrolle in der AWS Control Tower Tower-Konsole anzeigen.

Die folgenden AWS Regionen unterstützen keine Kontrollen, die Teil des vom Security Hub Service verwalteten Standards sind: AWS Control Tower.

• Region Asien-Pazifik (Hongkong), ap-east-1

• Region Asien-Pazifik (Jakarta), ap-southeast-3

• Region Asien-Pazifik (Osaka), ap-northeast-3

• Region Europa (Mailand), eu-south-1

• Region Afrika (Kapstadt), af-south-1

• Region Naher Osten (Bahrain), me-south-1

• Israel (Tel Aviv), il-central-1

• Region Naher Osten (VAE), me-central-1

• Region Europa (Spanien), eu-south-2

• Region Asien-Pazifik (Hyderabad), ap-south-2

• Region Europa (Zürich), eu-central-2

• Region Asien-Pazifik (Melbourne), ap-southeast-4

• Kanada West (Calgary), ca-west-1

Die folgenden Systeme unterstützen AWS-Regionen keine proaktiven Kontrollen.

• Kanada West (Calgary)

Die folgende Tabelle zeigt proaktive Kontrollen, die in bestimmten Fällen nicht unterstützt werden AWS-Regionen.

Kennung des Steuerelements	Nicht unterstützte Regionen
CT.REDSHIFT.PR.5	ap-southeast-4, ap-south-2, ap-southeast-3, eu-central-2, eu-south-2, il-central-1, me-central-1
CT.DAX.PR.2	us-west-1
CT.GLUE.PR.2	Nicht unterstützt

Die folgende Tabelle zeigt AWS Control Tower Detective Controls, die in bestimmten Fällen nicht unterstützt werden AWS-Regionen.

Kontroll-ID	Nicht unterstützte Regionen
AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED	ap-northeast-3, ap-southeast-3, il-central-1, ap-southeast-4, CA-West-1
AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED	eu-south-2
AWS-GR_EMR_MASTER_NO_PUBLIC_IP	ap-northeast-3, ap-southeast-3, Af-Süd-1, eu-south-1, IL-Zentral-1, me-central-1, eu-south-2, ap-south-2, eu-central-2, ap-southeast-4, CA-West-1
AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK	eu-south-2
AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW	ap-northeast-3, ap-southeast-3, ap-south-2, eu-south-2, CA-West-1
AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS	ap-northeast-3, ap-southeast-3, Af-Süd-1, eu-south-1, IL-Zentral-1, me-central-1, eu-south-2, ap-south-2, eu-central-2, ap-southeast-4, CA-West-1
AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP	ap-northeast-3
AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS	ap-northeast-3, ap-southeast-3, af-south-1, eu-south-1, US-West-1, il-central-1, me-central-1, eu-south-2, ap-south-2, eu-central-2, ap-southeast-4, CA-West-1
AWS-GR_ELASTICSEARCH_IN_VPC_ONLY	ap-southeast-3, il-central-1, eu-south-2, ap-south-2, eu-central-2, ap-southeast-4, CA-West-1
AWS-GR_RESTRICTED_SSH	af-south-1, ap-northeast-3, ap-south-2, ap-southeast-3, ap-southeast-4, eu-central-2, eu-south-1, eu-south-2, il-central-1, me-central-1
AWS-GR_DMS_REPLICATION_NOT_PUBLIC	af-south-1, ap-south-2 ap-southeast-3, ap-southeast-4, eu-central-2, eu-south-1, eu-south-2, il-central-1, me-central-1, ca-west-1
AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED	af-south-1, ap-southeast-4, eu-central-2, eu-south-1, eu-south-2, il-central-1
AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED	ap-northeast-3
AWS-GR_ENCRYPTED_VOLUMES	af-south-1, ap-northeast-3, eu-south-1, il-central-1
AWS-GR_RESTRICTED_COMMON_PORTS	af-south-1, ap-northeast-3, eu-central-2, eu-south-1, eu-south-2, il-central-1, me-central-1
AWS-GR_IAM_USER_MFA_ENABLED	il-central-1, me-central-1, eu-soud-2, ap-south-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS	il-central-1, me-central-1, eu-soud-2, ap-south-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_SSM_DOCUMENT_NOT_PUBLIC	il-central-1, ca-west-1
AWS-GR_ROOT_ACCOUNT_MFA_ENABLED	il-central-1, me-central-1, ca-west-1
AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC	il-central-1, eu-south-2, eu-central-2
AWS-GR_RDS_STORAGE_ENCRYPTED	eu-central-2, eu-south-2
AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK	ap-south-2, eu-south-2
AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK	ap-south-2, ap-southeast-3, eu-south-2, CA-West-1
AWS-GR_EC2_VOLUME_INUSE_CHECK	ca-west-1
AWS-GR_EBS_OPTIMIZED_INSTANCE	ca-west-1