本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Control Tower 中的聯網
AWS Control Tower 提供透過 VPC 聯網的基本支援。
如果 AWS Control Tower VPC 的預設組態或功能不符合您的需求,您可以使用其他 AWS 服務來設定 VPC。如需如何使用 VPC 和 AWS Control Tower 的詳細資訊,請參閱建立可擴展且安全的多虛擬私人雲端 AWS
相關主題
-
如需註冊具有現有 VPC 的帳戶時,AWS Control Tower 如何運作的相關資訊,請參閱使用 VPC 註冊現有帳戶。
-
使用 Account Factory,您可以佈建包含 AWS Control 塔 VPC 的帳戶,也可以在沒有 VPC 的情況下佈建帳戶。如需如何在沒有 VPC 的情況下刪除 AWS Control Tower VPC 或設定 AWS Control Tower 帳戶的相關資訊,請參閱。逐步解說:在沒有 VPC 的情況下設定 AWS Control Tower
-
如需如何變更 VPC 帳戶設定的相關資訊,請參閱更新帳戶的 Account Factory 文件。
-
如需有關在 AWS Control Tower 中使用聯網和 VPC 的詳細資訊,請參閱本使用者指南的相關資訊頁面中有關聯網的章節。
AWS Control Tower 中的 VPC 和 AWS 區域
作為帳戶建立的標準部分, AWS 會在每個區域建立一個 AWS預設的 VPC,即使您不是使用 AWS Control Tower 管理的區域也是如此。此預設 VPC 與 AWS Control Tower 為佈建帳戶建立的 VPC 不同,但 IAM 使用者可以存取非受管區域中的 AWS 預設 VPC。
管理員可以啟用區域拒絕控制,如此一來,您的最終使用者就沒有權限連線到 AWS Control Tower 支援但管轄區域之外的區域中的 VPC。若要設定「區域」拒絕控制,請前往「著陸區設定」頁面,然後選取「修改設定」。
區域拒絕控制會封鎖對非受管理 AWS 區域中大部分服務的 API 呼叫。如需詳細資訊,請參閱AWS 根據要求拒絕存取 AWS 區域。 。
注意
區域拒絕控制可能無法阻止 IAM 使用者連線到不支援 AWS Control Tower 的區域中的 AWS 預設 VPC。
或者,您可以移除非受控管區域中的 AWS 預設 VPC。若要列出區域中的預設 VPC,您可以使用類似下列範例的 CLI 命令:
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true
