本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Control Tower 功能的區域差異
AWS Control Tower 的行為存在某些差異 AWS 區域,因為 AWS Control Tower 會協調其他服務的行為 AWS 。例如:
-
AWS Service Catalog 並非所有可使用 AWS Control Tower AWS 區域 的 都可用,這會變更這些區域中 Account Factory 的行為。
-
在某些區域中,帳戶工廠自訂 (AFC) 無法使用,因為 Service Catalog 無法支援藍圖的基礎功能。
-
AWS 區域 由於缺少基礎功能,某些控制項在所有 中都無法使用。
-
由於缺少基礎功能, AWS 區域 AFT 和 CfCT 在所有 中都無法使用。
若要為您的 AWS Control Tower 環境做出行為的最佳判斷,請確認您的所在區域。然後,評估下列項目。如需詳細資訊,請參閱 AWS Control Tower 中的限制和配額。
-
在您想要的主區域中 AWS Service Catalog 可用嗎?
-
您需要的控制項是否可用? 請參閱控制限制。
-
IAM Identity Center 是否可在您所需的主區域中使用?
控制項的可部署區域
由於缺少基礎相依性,AWS Control Tower 無法在某些區域中部署特定控制項。您可以呼叫 ListControls和 GetControl APIs,找到任何控制項可部署區域的最新資訊。您也可以在 AWS Control Tower 主控台中檢視可部署的區域。
當您在由 AWS Control Tower 管理的 OU 上啟用控制項時,控制項的有效區域是 AWS Control Tower 受管區域與控制項可部署區域的交集。
例如,可以在在受管區域 X、Y 和 Z 操作的 OU 上啟用控制項。但在啟用之後,相同的控制項只會部署在區域 X 和 Z 上,因為控制項本身不支援區域 Y。
請務必監控您部署的控制項和在 AWS Control Tower 中操作工作負載的 區域之間的關係,以免發生保護 AWS 資源的差距。
如何檢查您的受保護區域
在 AWS Control Tower 主控台中,您可以在已啟用控制項區段中檢視已啟用的控制項和區域。
如果您呼叫
GetEnabledControlAPI,targetRegions 參數只會顯示您可以有效部署控制項的區域,而不是無法部署的區域。
