Limitaciones de control

Una nueva guía de referencia de controles

La información sobre los controles de la Torre de Control de AWS se ha trasladado a la Guía de referencia de controles de la Torre de Control de AWS.

Si modifica los recursos de la Torre de Control de AWS, como un SCP, o elimina algún AWS Config recurso, como un grabador o un agregador de Config, la Torre de Control de AWS ya no puede garantizar que los controles funcionen según lo diseñado. Por lo tanto, la seguridad de su entorno de múltiples cuentas puede verse comprometida. El modelo de seguridad de responsabilidad AWS compartida se aplica a todos los cambios que realice.

nota

AWS Control Tower ayuda a mantener la integridad de su entorno al restablecer los SCP de los controles a su configuración estándar al actualizar su landing zone. Los cambios que haya realizado en los SCP se sustituyen por la versión estándar del control, por diseño.

Algunos controles de la Torre de Control de AWS no funcionan en algunos Regiones de AWS lugares donde está disponible la Torre de Control de AWS, porque esas regiones no admiten la funcionalidad subyacente requerida. Esta limitación afecta a determinados controles de detección, a determinados controles proactivos y a determinados controles del estándar gestionado por el Servicio Security Hub: AWS Control Tower. Para obtener más información sobre la disponibilidad regional, consulte la documentación de la lista de servicios regionales y la documentación de referencia de controles del Security Hub.

El comportamiento de control también está limitado en el caso de una gobernanza mixta. Para obtener más información, consulte Evite la gobernanza mixta al configurar las regiones.

Para obtener más información sobre cómo AWS Control Tower gestiona las limitaciones de las regiones y los controles, consulteConsideraciones a la hora de activar las regiones con AWS suscripción.

Puede ver las regiones de cada control en la consola de la Torre de Control de AWS.

Las siguientes AWS regiones no admiten controles que formen parte del estándar gestionado por el Servicio Security Hub: AWS Control Tower.

• Región de Asia Pacífico (Hong Kong), ap-east-1

• Región de Asia Pacífico (Yakarta), ap-southeast-3

• Región de Asia Pacífico (Osaka), ap-northeast-3

• Región Europa (Milán), eu-south-1

• Región de África (Ciudad del Cabo), af-south-1

• Región de Medio Oriente (Bahréin), me-south-1

• Israel (Tel Aviv), il-central-1

• Región de Oriente Medio (EAU), me-central-1

• Región Europa (España), eu-south-2

• Región Asia Pacífico (Hyderabad), ap-south-2

• Región Europa (Zúrich), eu-central-2

• Región Asia Pacífico (Melbourne), ap-southeast-4

• Canadá oeste (Calgary), ca-west-1

Lo siguiente Regiones de AWS no es compatible con los controles proactivos.

• Oeste de Canadá (Calgary)

La siguiente tabla muestra los controles proactivos que no son compatibles en algunos casos Regiones de AWS.

Identificador de control	Regiones no compatibles
CT.REDSHIFT.PR.5	ap-southeast-4, ap-south-2, ap-southeast-3, eu-central-2, eu-sur-2, il-central-1, me-central-1
CT.DAX.PR.2	us-west-1
CT.GLUE.PR.2	No se admite

En la siguiente tabla se muestran los controles de detección de AWS Control Tower que no son compatibles en algunos casos Regiones de AWS.

Identificador de control	Regiones no compatibles
AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED	ap-northeast-3, ap-southeast-3, il-central-1, ap-southeast-4, ca-west-1
AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED	eu-south-2
AWS-GR_EMR_MASTER_NO_PUBLIC_IP	ap-northeast-3, ap-southeast-3, af-south-1, eu-sur-1, il-central-1, me-central-1, eu-sur-2, ap-south-2, eu-central-2, ap-south-2, eu-central-2, ap-southeast-4 ast-4, ca-west-1
AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK	eu-south-2
AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW	ap-northeast-3, ap-southeast-3, ap-south-2, eu-south-2, ca-west-1
AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS	ap-northeast-3, ap-southeast-3, af-south-1, eu-sur-1, il-central-1, me-central-1, eu-sur-2, ap-south-2, eu-central-2, ap-south-2, eu-central-2, ap-southeast-4 ast-4, ca-west-1
AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP	ap-northeast-3
AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS	ap-northeast-3, ap-southeast-3, af-south-1, eu-south-1, us-west-1, il-central-1, me-central-1, me-central-1, eu-sur-2, ap-south-2, eu-central-2, ap-south-2 ap-southeast-4, ca-west-1
AWS-GR_ELASTICSEARCH_IN_VPC_ONLY	ap-southeast-3, il-central-1, eu-sur-2, ap-south-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_RESTRICTED_SSH	af-south-1, ap-northeast-3, ap-sur-2, ap-southeast-3, ap-southeast-4, eu-central-2, eu-sur-1, eu-sur-2, eu-sur-2, il-central-1, me-central-1 al-1
AWS-GR_DMS_REPLICATION_NOT_PUBLIC	af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, eu-central-2, eu-sur-1, eu-sur-2, il-central-1, me-central-1, ca-west-1
AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED	af-south-1, ap-southeast-4, eu-central-2, eu-sur-1, eu-south-2, il-central-1
AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED	ap-northeast-3
AWS-GR_ENCRYPTED_VOLUMES	af-south-1, ap-northeast-3, eu-south-1, il-central-1
AWS-GR_RESTRICTED_COMMON_PORTS	af-south-1, ap-northeast-3, eu-central-2, eu-sur-1, eu-sur-2, il-central-1, me-central-1
AWS-GR_IAM_USER_MFA_ENABLED	il-central-1, me-central-1, eu-sur-2, ap-south-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS	il-central-1, me-central-1, eu-sur-2, ap-south-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_SSM_DOCUMENT_NOT_PUBLIC	il-central-1, ca-west-1
AWS-GR_ROOT_ACCOUNT_MFA_ENABLED	il-central-1, me-central-1, ca-west-1
AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC	il-central-1, eu-sur-2, eu-central-2
AWS-GR_RDS_STORAGE_ENCRYPTED	eu-central-2, eu-sur-2
AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK	ap-south-2, eu-sur-2
AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK	ap-south-2, ap-southeast-3, eu-south-2, ca-west-1
AWS-GR_EC2_VOLUME_INUSE_CHECK	ca-west-1
AWS-GR_EBS_OPTIMIZED_INSTANCE	ca-west-1