本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 AWS Control Tower 中联网
AWS Control Tower 为通过 VPC 进行联网提供基本支持。
如果 AWS Control Tower VPC 的默认配置或功能无法满足您的需求,则可以使用其他 AWS 服务来配置您的 VPC。有关如何使用 VPC 和 AWS Control Tower 的更多信息,请参阅构建可扩展且安全的多 VPC AWS 网络
相关 主题
-
有关注册现有 VPC 的账户时 AWS Control Tower 的工作原理的信息,请参阅在 VPC 中注册现有账户。
-
使用 Account Factory,您可以配置包含 AWS Control Tower VPC 的账户,也可以配置没有 VPC 的账户。有关如何删除 AWS Control Tower VPC 或配置没有 VPC 的 AWS Control Tower 账户的信息,请参阅演练:在没有 VPC 的情况下配置 AWS Control Tower。
-
有关如何更改 VPC 账户设置的信息,请参阅有关更新账户的 Acco unt Factory 文档。
-
有关在 AWS Control Tower 中使用联网和 VPC 的更多信息,请参阅本用户指南相关信息页面上有关联网的部分。
AWS Control T AWS ower 中的 VPC 和区域
作为账户创建的标准部分,在每个区域 AWS 创建 AWS默认 VPC,即使是您不使用 AWS Control Tower 管理的区域也是如此。此默认 VPC 与 AWS Control Tower 为预配置账户创建的 VPC 不同,但是 IAM 用户可以访问非受监管区域中的 AWS 默认 VPC。
管理员可以启用区域拒绝控制,这样您的最终用户就无权连接到 AWS Control Tower 支持的区域,但在您的管辖区域之外的 VPC。要配置区域拒绝控制,请转到着陆区域设置页面,然后选择修改设置。
区域拒绝控制会阻止 API 调用大多数不受治理 AWS 区域的服务。有关更多信息,请参阅AWS 根据请求拒绝访问 AWS 区域。 。
注意
在不支持 AWS Control Tower 的区域中,区域拒绝控制可能不会阻止 IAM 用户连接到 AWS 默认 VPC。
或者,您可以移除非治理 AWS 区域中的默认 VPC。要列出某个区域中的默认 VPC,您可以使用类似于以下示例的 CLI 命令:
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true