Limites de contrôle

Un nouveau guide de référence sur les commandes

Les informations relatives aux contrôles d'AWS Control Tower ont été transférées vers le guide de référence d'AWS Control Tower Controls.

Si vous modifiez les ressources d'AWS Control Tower, telles qu'un SCP, ou si vous supprimez une AWS Config ressource, telle qu'un enregistreur ou un agrégateur Config, AWS Control Tower ne peut plus garantir que les contrôles fonctionnent comme prévu. Par conséquent, la sécurité de votre environnement multi-comptes peut être compromise. Le modèle de sécurité à responsabilité AWS partagée s'applique à toutes les modifications que vous pourriez apporter.

Note

AWS Control Tower contribue à préserver l'intégrité de votre environnement en rétablissant la configuration standard des SCP des commandes lorsque vous mettez à jour votre zone de landing zone. Les modifications que vous avez éventuellement apportées aux SCP sont remplacées par la version standard du contrôle, dès sa conception.

Certains contrôles d'AWS Control Tower ne fonctionnent pas dans certains Régions AWS endroits où AWS Control Tower est disponible, car ces régions ne prennent pas en charge les fonctionnalités sous-jacentes requises. Cette limitation concerne certains contrôles de détection, certains contrôles proactifs et certains contrôles de la norme gérée par le Security Hub Service : AWS Control Tower. Pour plus d'informations sur la disponibilité régionale, consultez la documentation de la liste des services régionaux et la documentation de référence des contrôles Security Hub.

Le comportement de contrôle est également limité en cas de gouvernance mixte. Pour plus d’informations, consultez Évitez la gouvernance mixte lors de la configuration des régions.

Pour plus d'informations sur la façon dont AWS Control Tower gère les limites des régions et des contrôles, consultezConsidérations relatives à l'activation des AWS régions optionnelles.

Vous pouvez consulter les régions de chaque contrôle dans la console AWS Control Tower.

Les AWS régions suivantes ne prennent pas en charge les contrôles relevant de la norme gérée par le Security Hub Service : AWS Control Tower.

• Région Asie-Pacifique (Hong Kong), ap-east-1

• Région Asie-Pacifique (Jakarta), ap-southeast-3

• Région Asie-Pacifique (Osaka), ap-northeast-3

• Région Europe (Milan), eu-south-1

• Région Afrique (Cape Town), af-south-1

• Région du Moyen-Orient (Bahreïn), me-south-1

• Israël (Tel Aviv), il-central-1

• Région du Moyen-Orient (EAU), me-central-1

• Région Europe (Espagne), eu-south-2

• Région Asie-Pacifique (Hyderabad), ap-south-2

• Région Europe (Zurich), eu-central-2

• Région Asie-Pacifique (Melbourne), ap-southeast-4

• Canada Ouest (Calgary), ca-west-1

Les éléments suivants Régions AWS ne prennent pas en charge les contrôles proactifs.

• Canada Ouest (Calgary)

Le tableau suivant indique les contrôles proactifs qui ne sont pas pris en charge dans certains cas Régions AWS.

Identifiant de contrôle	Régions non prises en charge
CT.REDSHIFT.PR.5	ap-southeast-4, ap-southeast-2, ap-southeast-3, eu-central-2, eu-south-2, il-central-1, me-central-1
CT.DAX.PR.2	us-west-1
CT.GLUE.PR.2	Non pris en charge

Le tableau suivant indique les contrôles de détection d'AWS Control Tower qui ne sont pas pris en charge dans certains cas Régions AWS.

Identifiant de contrôle	Régions non prises en charge
AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED	ap-northeast-3, ap-southeast-3, il-central-1, ap-southeast-4, ca-west-1
AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED	eu-south-2
AWS-GR_EMR_MASTER_NO_PUBLIC_IP	ap-northeast-3, ap-southeast-3, af-south-1, eu-south-1, eu-south-1, il-central-1, il-central-1, me-central-1, eu-sud-2, ap-sud-2, eu-central-2, ap-southeast-2 ap-southeast-4, ca-west-1
AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK	eu-south-2
AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW	ap-northeast-3, ap-southeast-3, ap-southeast-2, eu-south-2, ca-west-1
AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS	ap-northeast-3, ap-southeast-3, af-south-1, eu-south-1, eu-south-1, il-central-1, il-central-1, me-central-1, eu-sud-2, ap-sud-2, eu-central-2, ap-southeast-2 ap-southeast-4, ca-west-1
AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP	ap-northeast-3
AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS	ap-northeast-3, ap-southeast-3, af-south-1, eu-south-1, eu-south-1, us-west-1, il-central-1, eu-central-1, eu-sud-2, eu-central-2, eu-central-2, eu-central-2 al-2, ap-southeast-4, ca-west-1
AWS-GR_ELASTICSEARCH_IN_VPC_ONLY	ap-southeast-3, il-central-1, eu-sud-2, ap-southeast-2, eu-central-2, ap-southeast-2, ap-southeast-4, ca-west-1
AWS-GR_RESTRICTED_SSH	af-south-1, ap-northeast-3, ap-southeast-2, ap-southeast-3, ap-southeast-4, eu-central-2, eu-sud-1, eu-sud-2, il-central-1, me-central-1
AWS-GR_DMS_REPLICATION_NOT_PUBLIC	af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, eu-central-2, eu-sud-1, eu-sud-2, eu-sud-2, il-central-1, ca-ouest-1 a-west-1
AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED	af-south-1, ap-southeast-4, eu-central-2, eu-south-1, eu-south-2, il-central-1
AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED	ap-northeast-3
AWS-GR_ENCRYPTED_VOLUMES	af-south-1, ap-northeast-3, eu-south-1, il-central-1
AWS-GR_RESTRICTED_COMMON_PORTS	af-south-1, ap-northeast-3, eu-central-2, eu-sud-1, eu-south-2, il-central-1, me-central-1
AWS-GR_IAM_USER_MFA_ENABLED	il-central-1, me-central-1, eu-sud-2, ap-sud-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS	il-central-1, me-central-1, eu-sud-2, ap-sud-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_SSM_DOCUMENT_NOT_PUBLIC	il-central-1, ca-west-1
AWS-GR_ROOT_ACCOUNT_MFA_ENABLED	il-central-1, me-central-1, ca-west-1
AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC	il-central-1, eu-sud-2, eu-central-2
AWS-GR_RDS_STORAGE_ENCRYPTED	eu-central-2, eu-south-2
AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK	ap-south-2, eu-south-2
AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK	ap-south-2, ap-southeast-3, eu-sud-2, ca-west-1
AWS-GR_EC2_VOLUME_INUSE_CHECK	ca-west-1
AWS-GR_EBS_OPTIMIZED_INSTANCE	ca-west-1