Limitações de controle

Um novo guia de referência de controles

As informações sobre os controles da AWS Control Tower foram transferidas para o AWS Control Tower Controls Reference Guide.

Se você modificar os recursos da AWS Control Tower, como um SCP, ou remover qualquer AWS Config recurso, como um gravador ou agregador do Config, a AWS Control Tower não poderá mais garantir que os controles estejam funcionando conforme projetado. Portanto, a segurança do seu ambiente de várias contas pode estar comprometida. O modelo de segurança de responsabilidade AWS compartilhada é aplicável a quaisquer alterações que você possa fazer.

nota

O AWS Control Tower ajuda a manter a integridade do seu ambiente redefinindo as SCPs dos controles para a configuração padrão quando você atualiza sua landing zone. As alterações que você possa ter feito nos SCPs são substituídas pela versão padrão do controle, por design.

Alguns controles na AWS Control Tower não operam em determinados Regiões da AWS locais onde a AWS Control Tower está disponível, porque essas regiões não oferecem suporte à funcionalidade subjacente necessária. Essa limitação afeta certos controles de detetive, certos controles proativos e certos controles no padrão gerenciado por serviços do Security Hub: AWS Control Tower. Para obter mais informações sobre a disponibilidade regional, consulte a documentação da lista de serviços regionais e a documentação de referência dos controles do Security Hub.

O comportamento de controle também é limitado no caso de governança mista. Para ter mais informações, consulte Evite governança mista ao configurar regiões.

Para obter mais informações sobre como o AWS Control Tower gerencia as limitações de regiões e controles, consulteConsiderações sobre a ativação de regiões opcionais AWS.

Você pode ver as regiões de cada controle no console do AWS Control Tower.

As seguintes AWS regiões não oferecem suporte a controles que fazem parte do padrão gerenciado por serviços do Security Hub: AWS Control Tower.

• Região Ásia-Pacífico (Hong Kong), ap-east-1

• Região Ásia-Pacífico (Jacarta), ap-southeast-3

• Região Ásia-Pacífico (Osaka), ap-northeast-3

• Região da Europa (Milão), eu-south-1

• Região da África (Cidade do Cabo), af-south-1

• Região do Oriente Médio (Bahrein), me-south-1

• Israel (Tel Aviv), il-central-1

• Região do Oriente Médio (EAU), me-central-1

• Região da Europa (Espanha), eu-south-2

• Região Ásia-Pacífico (Hyderabad), ap-south-2

• Região da Europa (Zurique), eu-central-2

• Região Ásia-Pacífico (Melbourne), ap-southeast-4

• Oeste do Canadá (Calgary), ca-west-1

Os itens a seguir Regiões da AWS não oferecem suporte a controles proativos.

• Oeste do Canadá (Calgary)

A tabela a seguir mostra controles proativos que não são suportados em alguns Regiões da AWS.

Identificador de controle	Regiões não suportadas
CT.REDSHIFT.PR.5	ap-southeast-4, ap-south-2, ap-southeast-3, eu-central-2, eu-sul-2, il-central-1, me-central-1
CT.DAX.PR.2	us-west-1
CT.GLUE.PR.2	Sem suporte

A tabela a seguir mostra os controles de detetive do AWS Control Tower que não são suportados em alguns Regiões da AWS.

Identificador de controle	Regiões não suportadas
AWS-GR_AUTOSCALING_LAUNCH_CONFIG_PUBLIC_IP_DISABLED	ap-nordeste-3, ap-southeast-3, ap-central-1, ap-southeast-4, ca-west-1 ca-west-1
AWS-GR_LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED	eu-south-2
AWS-GR_EMR_MASTER_NO_PUBLIC_IP	ap-northeast-3, ap-southeast-3, ap-southeast-3, af-sul-1, eu-south-1, il-central-1, me-central-1, eu-sul-2, ap-sul-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK	eu-south-2
AWS-GR_NO_UNRESTRICTED_ROUTE_TO_IGW	ap-northeast-3, ap-sudeste-3, ap-southeast-3, ap-south-2, eu-south-2, ca-west-1
AWS-GR_SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS	ap-northeast-3, ap-southeast-3, ap-southeast-3, af-sul-1, eu-south-1, il-central-1, me-central-1, eu-sul-2, ap-sul-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_EC2_INSTANCE_NO_PUBLIC_IP	ap-northeast-3
AWS-GR_EKS_ENDPOINT_NO_PUBLIC_ACCESS	ap-northeast-3, ap-southeast-3, ap-southeast-3, af-south-1, eu-south-1, us-west-1, il-central-1, me-central-1, me-central-1, eu-sul-2, ap-south-2 ap-southeast-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_ELASTICSEARCH_IN_VPC_ONLY	ap-southeast-3, il-central-1, eu-south-2, ap-south-2, ap-south-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_RESTRICTED_SSH	af-south-1, ap-nordeste-3, ap-south-2, ap-south-2, ap-southeast-3, ap-southeast-4, eu-central-2, eu-sul-2, eu-sul-1, eu-sul-2 -south-2, il-central-1, me-central-1
AWS-GR_DMS_REPLICATION_NOT_PUBLIC	af-south-1, ap-south-2, ap-southeast-3, ap-southeast-4, eu-central-2, eu-sul-1, eu-sul-1, eu-sul-2, eu-sul-1, eu-sul-2, il-central-1, me-central-1, ca-west-1
AWS-GR_RDS_SNAPSHOTS_PUBLIC_PROHIBITED	af-south-1, ap-southeast-4, eu-central-2, eu-sul-1, eu-south-2, eu-central-1
AWS-GR_SUBNET_AUTO_ASSIGN_PUBLIC_IP_DISABLED	ap-northeast-3
AWS-GR_ENCRYPTED_VOLUMES	af-south-1, ap-northeast-3, eu-sul-1, il-central-1
AWS-GR_RESTRICTED_COMMON_PORTS	af-south-1, ap-northeast-3, eu-central-2, eu-sul-1, eu-south-2, eu-central-1, eu-central-1, me-central-1
AWS-GR_IAM_USER_MFA_ENABLED	il-central-1, me-central-1, eu-sul-2, ap-south-2, ap-south-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS	il-central-1, me-central-1, eu-sul-2, ap-south-2, ap-south-2, eu-central-2, ap-southeast-4, ca-west-1
AWS-GR_SSM_DOCUMENT_NOT_PUBLIC	il-central-1, ca-west-1
AWS-GR_ROOT_ACCOUNT_MFA_ENABLED	il-central-1, me-central-1, ca-west-1
AWS-GR_S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC	il-central-1, eu-sul-2, eu-central-2
AWS-GR_RDS_STORAGE_ENCRYPTED	eu-central-2, eu-sul-2
AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK	ap-south-2, eu-south-2
AWS-GR_REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK	ap-south-2, ap-southeast-3, eu-south-2, ca-west-1
AWS-GR_EC2_VOLUME_INUSE_CHECK	ca-west-1
AWS-GR_EBS_OPTIMIZED_INSTANCE	ca-west-1