リージョン拒否ガードレールの設定 - AWS Control Tower

リージョン拒否ガードレールの設定

リージョン拒否ガードレールは独特のガードレールです。特定の OU ではなく、ランディングゾーン全体に適用されるためです。リージョン拒否ガードレールを設定するには、[Landing zone settings] (ランディングゾーン設定) ページに移動し、[Modify settings] (設定を変更する) を選択します。

  • この設定は後で変更可能です。

  • 有効にすると、このガードレールが登録済みのすべての OU に適用されます。

  • このガードレールは個々の OU には設定できません。

注記

リージョン拒否ガードレールを有効にする前に、適用するリージョンに既存のリソースがないことを確認してください。ガードレールを適用すると、以後そのリージョン内のリソースにアクセスできなくなるためです。このガードレールが有効になっている間は、拒否したリージョンにリソースをデプロイできません。

リージョン拒否ガードレールにより、AWS Control Tower リージョンの設定に基づいて、AWS サービスにアクセスできなくなります。ステータスが [Not Governed] (管理対象外) である AWS リージョンへのアクセスが拒否されます。リージョン拒否ガードレールにより、AWS Control Tower が利用できないリージョンへのアクセスも拒否されます。ホームリージョンへのアクセスを拒否することはできません。IAM や AWS Organizations などのグローバルな AWS サービスの中には、リージョン拒否ガードレールの適用から除外されているものもあります。詳細については、「リクエストされた AWS リージョンに基づいて AWS へのアクセスを拒否する」を参照してください。

リージョン拒否ガードレールを有効にすると、このガードレールは階層の最上位にある登録済みのすべての OU に適用され、それが階層の下位にある OU に継承されます。ガードレールを削除すると、登録済みのすべての OU でガードレールが削除され、AWS Control Tower の管理対象でないすべてのリージョンが [Not Governed] (管理対象外) ステータスのままになり、AWS Control Tower が利用できないリージョンにリソースをデプロイできるようになります。

  • ガードレールのフルネーム: Deny access to AWS based on the requested AWS Region (リクエストされた AWS リージョンに基づいて AWS へのアクセスを拒否する)

  • ガードレールの説明: 指定されたリージョンの外部にあるグローバルサービスおよびリージョンサービスでは、リストされていない操作へのアクセスを禁止します。

  • これは、予防ガイダンスによる選択的ガードレールです。

リージョン拒否ガードレール SCP のテンプレートを表示するには、「AWS Control Tower ガードレールのリファレンス」の「リクエストされた AWS リージョンに基づいて AWS へのアクセスを拒否する」を参照してください。AWS Control Tower の SCP は、AWS Organizations の SCP によく似ていますが、まったく同じものではありません。

リージョンサービスページでリージョンサービスエンドポイントを設定できます。