AWS Control Tower 功能的区域差异 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Control Tower 功能的区域差异

AWS Control Tower 的行为存在某些差异 AWS 区域,因为 AWS Control Tower 会协调其他 AWS 服务的行为。例如:

  • AWS Service Catalog 并非在所有可用 AWS Control Tower AWS 区域 的地方都可用,这会改变这些区域中 Account Factory 的行为。

  • 在某些区域中,Account Factory Customizations(AFC)不可用,因为 Service Catalog 无法支持蓝图的基础功能。

  • AWS 区域 由于缺少底层功能,某些控件并非全部可用。

  • AWS 区域 由于缺乏底层功能,AFT 和 cfCT 并非全部可用。

要最好地确定您的 AWS Control Tower 环境的行为,请确定您的主区域。然后,评估以下项目。有关更多详细信息,请参阅 AWS Control Tower 中的限制和配额

  • 在你想要的家乡地区 AWS Service Catalog 有吗?

  • 您需要的控件是否可用? 请参阅控件限制

  • IAM Identity Center 是否在您希望的主区域中可用?

控件的可部署区域

由于缺乏底层依赖关系,AWS Control Tower 在某些区域部署某些控件时无法激活它们。您可以通过调用ListControlsGetControl APIs来查找有关任何控件的可部署区域的最新信息。您还可以在 AWS Control Tower 控制台中查看可部署区域。

当您在受 AWS Control Tower 监管的 OU 上激活控件时,该控件的有效区域是您的 AWS Control Tower 监管区域与该控件的可部署区域的交集

例如,可以在受监管区域 X、Y 和 Z 中运行的 OU 上启用控件。但启用后,仅能在区域 X 和 Z 中部署相同的控件,因为该控件本身不支持区域 Y。

监控您在 AWS Control Tower 中部署的控件与您操作工作负载的区域之间的关系非常重要,这样您就不会在 AWS 资源保护方面遇到漏洞。

如何查看您的受保护区域

  • 在 AWS Control Tower 控制台中,您可以在已启用的控件部分查看已启用的控件和区域。

  • 如果您调用 GetEnabledControl API,则 targetRegions 参数将仅显示您可以有效部署控件的区域,而不显示不可部署的区域。