Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Januar — Dezember 2022
Im Jahr 2022 veröffentlichte AWS Control Tower die folgenden Updates:
-
Umfassende Kontrollen helfen bei der Bereitstellung und AWS Verwaltung von Ressourcen
-
Der Compliance-Status ist für alle AWS Config Regeln einsehbar
-
API für Kontrollen und eine neue AWS CloudFormation Ressource
-
Auf der Seite „Organisation“ werden Ansichten von Organisationseinheiten und Konten zusammengefasst
-
Einfachere Registrierung und Aktualisierung für einzelne Mitgliedskonten
-
AFT unterstützt automatisierte Anpassungen für gemeinsam genutzte AWS Control Tower Tower-Konten
-
Gleichzeitige Operationen für alle optionalen Steuerelemente
Gleichzeitige Kontooperationen
16. Dezember 2022
(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)
AWS Control Tower unterstützt jetzt gleichzeitige Aktionen in Account Factory. Sie können bis zu fünf (5) Konten gleichzeitig erstellen, aktualisieren oder registrieren. Reichen Sie bis zu fünf Aktionen nacheinander ein und sehen Sie sich den Abschlussstatus jeder Anfrage an, während Ihre Konten im Hintergrund fertig aufgebaut werden. Sie müssen beispielsweise nicht mehr warten, bis jeder Vorgang abgeschlossen ist, bevor Sie ein anderes Konto aktualisieren oder bevor Sie eine gesamte Organisationseinheit (OU) erneut registrieren.
Anpassung Account Factory (AFC)
28. November 2022
(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)
Die werkseitige Anpassung von Konten ermöglicht es Ihnen, neue und bestehende Konten von der AWS Control Tower Tower-Konsole aus anzupassen. Diese neuen Anpassungsfunktionen bieten Ihnen die Flexibilität, Konto-Blueprints zu definieren. Dabei handelt es sich um AWS CloudFormation Vorlagen, die in einem speziellen Service Catalog-Produkt enthalten sind. Blueprints bieten vollständig angepasste Ressourcen und Konfigurationen. Sie können sich auch dafür entscheiden, vordefinierte Blueprints zu verwenden, die von AWS Partnern erstellt und verwaltet werden und Ihnen helfen, Konten für bestimmte Anwendungsfälle anzupassen.
Bisher unterstützte AWS Control Tower Account Factory die Kontoanpassung in der Konsole nicht. Mit diesem Update von Account Factory können Sie Kontoanforderungen vordefinieren und diese als Teil eines klar definierten Workflows implementieren. Sie können Blueprints anwenden, um neue Konten zu erstellen, andere AWS Konten bei AWS Control Tower zu registrieren und bestehende AWS Control Tower Tower-Konten zu aktualisieren.
Wenn Sie ein Konto in Account Factory bereitstellen, registrieren oder aktualisieren, wählen Sie den Blueprint aus, der bereitgestellt werden soll. Die im Blueprint angegebenen Ressourcen werden in Ihrem Konto bereitgestellt. Wenn Ihr Konto mit der Erstellung fertig ist, können alle benutzerdefinierten Konfigurationen sofort verwendet werden.
Um mit der Anpassung von Konten zu beginnen, können Sie die Ressourcen für Ihren beabsichtigten Anwendungsfall in einem Service Catalog-Produkt definieren. Sie können auch von Partnern verwaltete Lösungen aus der Bibliothek „ AWS Erste Schritte“ auswählen. Weitere Informationen finden Sie unter Passen Sie Konten mit Account Factory Customization (AFC) an.
Umfassende Kontrollen helfen bei der Bereitstellung und AWS Verwaltung von Ressourcen
28. November 2022
(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)
AWS Control Tower unterstützt jetzt ein umfassendes Kontrollmanagement, einschließlich neuer, optionaler proaktiver Kontrollen, die über AWS CloudFormation Hooks implementiert werden. Diese Kontrollen werden als proaktiv bezeichnet, da sie Ihre Ressourcen — bevor die Ressourcen bereitgestellt werden — daraufhin überprüfen, ob die neuen Ressourcen den in Ihrer Umgebung aktivierten Kontrollen entsprechen.
Über 130 neue proaktive Kontrollen unterstützen Sie bei der Erfüllung bestimmter Richtlinienziele für Ihre AWS Control Tower Tower-Umgebung, bei der Erfüllung der Anforderungen branchenüblicher Compliance-Frameworks und bei der Steuerung von AWS Control Tower Tower-Interaktionen mit mehr als zwanzig anderen AWS Services.
Die Kontrollbibliothek von AWS Control Tower klassifiziert diese Kontrollen nach den zugehörigen AWS Services und Ressourcen. Weitere Informationen finden Sie unter Proaktive Kontrollen.
Mit dieser Version ist AWS Control Tower über den neuen Security Hub Service-Managed Standard auch in AWS Control Tower integriert, der den Standard AWS Foundational Security Best Practices (FSBP) unterstützt. AWS Security Hub In der Konsole können Sie neben den AWS Control Tower Tower-Kontrollen mehr als 160 Security Hub-Steuerelemente anzeigen und einen Security Hub-Sicherheitswert für Ihre AWS Control Tower Tower-Umgebung abrufen. Weitere Informationen finden Sie unter Security Hub-Steuerelemente.
Der Compliance-Status ist für alle AWS Config Regeln einsehbar
18. November 2022
(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)
AWS Control Tower zeigt jetzt den Compliance-Status aller AWS Config Regeln an, die in den bei AWS Control Tower registrierten Organisationseinheiten implementiert wurden. Sie können den Compliance-Status aller AWS Config Regeln, die sich auf Ihre Konten in AWS Control Tower auswirken, ob registriert oder nicht registriert, einsehen, ohne die AWS Control Tower Tower-Konsole verlassen zu müssen. Kunden können wählen, ob sie Config-Regeln, sogenannte Detective Controls, in AWS Control Tower oder direkt über den AWS Config Service einrichten möchten. Die von bereitgestellten Regeln AWS Config werden zusammen mit den von AWS Control Tower bereitgestellten Regeln angezeigt.
Bisher waren AWS Config Regeln, die über den AWS Config Service bereitgestellt wurden, in der AWS Control Tower Tower-Konsole nicht sichtbar. Kunden mussten zum AWS Config Service navigieren, um AWS Config Regeln zu identifizieren, die den Anforderungen nicht entsprachen. Jetzt können Sie jede nicht konforme AWS Config Regel in der AWS Control Tower Tower-Konsole identifizieren. Um den Compliance-Status all Ihrer Config-Regeln einzusehen, navigieren Sie zur Seite mit den Kontodetails in der AWS Control Tower Tower-Konsole. Sie sehen eine Liste mit dem Compliance-Status der von AWS Control Tower verwalteten Kontrollen und den Konfigurationsregeln, die außerhalb von AWS Control Tower bereitgestellt werden.
API für Kontrollen und eine neue AWS CloudFormation Ressource
1. September 2022
(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)
AWS Control Tower unterstützt jetzt die programmatische Verwaltung von Kontrollen, auch bekannt als Guardrails, über eine Reihe von API-Aufrufen. Eine neue AWS CloudFormation Ressource unterstützt die API-Funktionalität für Steuerungen. Weitere Informationen finden Sie unter Automatisieren Sie Aufgaben in AWS Control Tower und AWS Control Tower Ressourcen erstellen mit AWS CloudFormation.
Mit diesen APIs können Sie Steuerungen in der AWS Control Tower Tower-Bibliothek aktivieren, deaktivieren und deren Anwendungsstatus anzeigen. Die APIs bieten Unterstützung für AWS CloudFormation, sodass Sie AWS Ressourcen als infrastructure-as-code (IaC) verwalten können. AWS Control Tower bietet optionale präventive und detektive Kontrollen, die Ihre politischen Absichten in Bezug auf eine gesamte Organisationseinheit (OU) und jedes AWS Konto innerhalb der OU zum Ausdruck bringen. Diese Regeln bleiben in Kraft, wenn Sie neue Konten erstellen oder Änderungen an bestehenden Konten vornehmen.
In dieser Version enthaltene APIs
-
EnableControl— Dieser API-Aufruf aktiviert ein Steuerelement. Es startet einen asynchronen Vorgang, der AWS Ressourcen für die angegebene Organisationseinheit und die darin enthaltenen Konten erstellt.
-
DisableControl— Dieser API-Aufruf deaktiviert ein Steuerelement. Es startet einen asynchronen Vorgang, bei dem AWS Ressourcen in der angegebenen Organisationseinheit und den darin enthaltenen Konten gelöscht werden.
-
GetControlOperation— Gibt den Status einer bestimmten EnableControlDisableControlOR-Operation zurück.
-
ListEnabledControls— Listet die von AWS Control Tower für die angegebene Organisationseinheit aktivierten Kontrollen und die darin enthaltenen Konten auf.
Eine Liste der Kontrollnamen für optionale Kontrollen finden Sie unter Resource Identifiers for APIs and Controls im AWS Control Tower Tower-Benutzerhandbuch.
cFCT unterstützt das Löschen von Stack-Sets
26. August 2022
(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)
Anpassungen für AWS Control Tower (cFCT) unterstützen jetzt das Löschen von Stack-Sets, indem ein Parameter in der manifest.yaml Datei festgelegt wird. Weitere Informationen finden Sie unter Löschen eines Stack-Sets.
Wichtig
Wenn Sie zunächst den Wert enable_stack_set_deletion auf festlegentrue, werden beim nächsten Aufruf von cFCt ALLE Ressourcen, die mit dem Präfix beginnenCustomControlTower-, die über das zugehörige Schlüssel-Tag Key:AWS_Solutions, Value: CustomControlTowerStackSet verfügen und die nicht in der Manifestdatei deklariert sind, zum Löschen zwischengespeichert.
Benutzerdefinierte Aufbewahrung von Protokollen
15. August 2022
(Update für die AWS Control Tower Tower-Landezone erforderlich. Weitere Informationen finden Sie Aktualisieren Ihrer Landing Zone unter
AWS Control Tower bietet jetzt die Möglichkeit, die Aufbewahrungsrichtlinie für Amazon S3 S3-Buckets anzupassen, in denen Ihre AWS Control Tower CloudTrail Tower-Protokolle gespeichert werden. Sie können Ihre Amazon S3 S3-Richtlinie zur Aufbewahrung von Protokollen in Schritten von Tagen oder Jahren bis zu einem Maximum von 15 Jahren anpassen.
Wenn Sie Ihre Protokollaufbewahrung nicht anpassen möchten, sind die Standardeinstellungen 1 Jahr für die Standardkontenprotokollierung und 10 Jahre für die Zugriffsprotokollierung.
Diese Funktion ist für Bestandskunden über AWS Control Tower verfügbar, wenn Sie Ihre landing zone aktualisieren oder reparieren, und für Neukunden über den AWS Control Tower Tower-Setup-Prozess.
Reparatur von Role Drift verfügbar
11. August 2022
(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)
AWS Control Tower unterstützt jetzt die Reparatur von Rollenabweichungen. Sie können eine benötigte Rolle wiederherstellen, ohne Ihre landing zone vollständig reparieren zu müssen. Wenn diese Art von Drift-Reparatur erforderlich ist, finden Sie auf der Fehlerseite der Konsole Schritte zum Wiederherstellen der Rolle, sodass Ihre landing zone wieder verfügbar ist.
AWS-Control-Tower-Landezone, Version 3.0
29. Juli 2022
(Für die AWS Control Tower landing zone ist ein Update auf Version 3.0 erforderlich. Weitere Informationen finden Sie unterAktualisieren Ihrer Landing Zone)
Die AWS Control Tower landing zone Version 3.0 beinhaltet die folgenden Updates:
-
Die Option, Trails auf Organisationsebene zu wählen oder sich von AWS CloudTrail CloudTrail Trails abzumelden, die von AWS Control Tower verwaltet werden.
-
Zwei neue Detektivkontrollen, mit denen Sie feststellen können, ob AWS CloudTrail Aktivitäten in Ihren Konten protokolliert werden.
-
Die Option, AWS Config Informationen über globale Ressourcen nur in Ihrer Heimatregion zu aggregieren.
-
Ein Update für die Region Deny Control.
-
Eine Aktualisierung der verwalteten Richtlinie, AWSControlTowerServiceRolePolicy.
-
Wir erstellen die IAM-Rolle
aws-controltower-CloudWatchLogsRoleund die CloudWatch Protokollgruppe nicht mehraws-controltower/CloudTrailLogsin jedem registrierten Konto. Bisher haben wir diese in jedem Konto für seinen Konto-Trail erstellt. Bei Organization Trails erstellen wir nur einen im Verwaltungskonto.
In den folgenden Abschnitten finden Sie weitere Informationen zu den einzelnen neuen Funktionen.
CloudTrail Trails auf Organisationsebene in AWS Control Tower
Mit landing zone Version 3.0 unterstützt AWS Control Tower jetzt Trails auf Organisationsebene AWS CloudTrail .
Wenn Sie Ihre AWS Control Tower-Landezone auf Version 3.0 aktualisieren, haben Sie die Möglichkeit, AWS CloudTrail Trails auf Organisationsebene als bevorzugte Protokollierung auszuwählen oder CloudTrail Trails, die von AWS Control Tower verwaltet werden, abzulehnen. Wenn Sie auf Version 3.0 aktualisieren, löscht AWS Control Tower die vorhandenen Trails auf Kontoebene für registrierte Konten nach einer Wartezeit von 24 Stunden. AWS Control Tower löscht keine Trails auf Kontoebene für nicht registrierte Konten. In dem unwahrscheinlichen Fall, dass Ihr landing zone Zone-Update nicht erfolgreich ist, der Fehler jedoch auftritt, nachdem AWS Control Tower den Trail auf Organisationsebene bereits erstellt hat, können Ihnen doppelte Gebühren für Trails auf Organisations- und Kontoebene anfallen, bis Ihr Aktualisierungsvorgang erfolgreich abgeschlossen werden kann.
Ab landing zone 3.0 unterstützt AWS Control Tower keine verwalteten Trails auf Kontoebene mehr. AWS Stattdessen erstellt AWS Control Tower einen Trail auf Organisationsebene, der je nach Ihrer Auswahl aktiv oder inaktiv ist.
Anmerkung
Nach dem Update auf Version 3.0 oder höher haben Sie nicht die Möglichkeit, mit den von AWS Control Tower verwalteten CloudTrail Trails auf Kontoebene fortzufahren.
Aus Ihren aggregierten Kontoprotokollen gehen keine Protokolldaten verloren, da die Protokolle im vorhandenen Amazon S3 S3-Bucket verbleiben, in dem sie gespeichert werden. Nur die Trails werden gelöscht, nicht die vorhandenen Logs. Wenn Sie die Option zum Hinzufügen von Trails auf Organisationsebene auswählen, öffnet AWS Control Tower einen neuen Pfad zu einem neuen Ordner in Ihrem Amazon S3 S3-Bucket und sendet weiterhin Protokollierungsinformationen an diesen Speicherort. Wenn Sie sich dafür entscheiden, die von AWS Control Tower verwalteten Trails abzulehnen, bleiben Ihre vorhandenen Protokolle unverändert im Bucket.
Konventionen zur Benennung von Pfaden für den Protokollspeicher
-
Konto-Trail-Logs werden mit einem Pfad in der folgenden Form gespeichert:
/org id/AWSLogs/… -
Protokolldateien von Organisationen werden mit einem Pfad in der folgenden Form gespeichert:
/org id/AWSLogs/org id/…
Der Pfad, den AWS Control Tower für Ihre CloudTrail Trails auf Organisationsebene erstellt, unterscheidet sich vom Standardpfad für einen manuell erstellten Trail auf Organisationsebene, der die folgende Form haben würde:
-
/AWSLogs/org id/…
Tipp
Wenn Sie planen, Ihre eigenen Trails auf Kontoebene zu erstellen und zu verwalten, empfehlen wir Ihnen, die neuen Trails zu erstellen, bevor Sie das Update auf AWS Control Tower landing zone Version 3.0 abschließen, um sofort mit der Protokollierung zu beginnen.
Sie können sich jederzeit dafür entscheiden, neue CloudTrail Trails auf Konto- oder Organisationsebene zu erstellen und diese selbst zu verwalten. Die Option, CloudTrail Trails auf Organisationsebene auszuwählen, die von AWS Control Tower verwaltet werden, ist bei jedem landing zone Zone-Update auf Version 3.0 oder höher verfügbar. Du kannst Trails auf Organisationsebene aktivieren und deaktivieren, wann immer du deine landing zone aktualisierst.
Wenn Ihre Protokolle von einem Drittanbieter verwaltet werden, geben Sie Ihrem Dienst unbedingt den neuen Pfadnamen.
Anmerkung
Für Landezonen mit Version 3.0 oder höher werden AWS CloudTrail Trails auf Kontoebene von AWS Control Tower nicht unterstützt. Sie können jederzeit Ihre eigenen Trails auf Kontoebene erstellen und verwalten, oder Sie können sich für Trails auf Organisationsebene entscheiden, die von AWS Control Tower verwaltet werden.
Erfassen Sie AWS Config Ressourcen nur in der Heimatregion
In landing zone Version 3.0 hat AWS Control Tower die Basiskonfiguration für aktualisiert, AWS Config sodass globale Ressourcen nur in der Heimatregion aufgezeichnet werden. Nach dem Update auf Version 3.0 ist die Ressourcenaufzeichnung für globale Ressourcen nur in Ihrer Heimatregion aktiviert.
Diese Konfiguration wird als bewährte Methode angesehen. Sie wird von AWS Security Hub und empfohlen und ermöglicht Kosteneinsparungen AWS Config, da die Anzahl der Konfigurationselemente reduziert wird, die beim Erstellen, Ändern oder Löschen globaler Ressourcen erstellt werden. Bisher wurde jedes Mal, wenn eine globale Ressource von einem Kunden oder einem AWS Service erstellt, aktualisiert oder gelöscht wurde, für jedes Element in jeder kontrollierten Region ein Konfigurationselement erstellt.
Zwei neue Detektivsteuerungen für die AWS CloudTrail Protokollierung
Im Rahmen der Umstellung auf AWS CloudTrail Trails auf Organisationsebene führt AWS Control Tower zwei neue Erkennungskontrollen ein, die überprüfen, ob sie aktiviert CloudTrail sind. Das erste Steuerelement verfügt über eine obligatorische Anleitung und ist auf der Security OU bei Setup- oder Landingzone-Updates von 3.0 und höher aktiviert. Für das zweite Steuerelement wird dringend empfohlen, und es wird optional auf alle Organisationseinheiten außer der Sicherheits-Organisationseinheit angewendet, für die der obligatorische Kontrollschutz bereits durchgesetzt ist.
Obligatorische Kontrolle: Ermitteln Sie, ob für gemeinsame Konten der Organisationseinheit Security AWS CloudTrail oder CloudTrail Lake aktiviert ist
Dringend empfohlene Kontrolle: Ermitteln Sie, ob für ein Konto AWS CloudTrail oder CloudTrail Lake aktiviert ist
Weitere Informationen zu den neuen Steuerungen finden Sie in der AWS Control Tower Controls Library.
Ein Update für die Region Deny Control
Wir haben die NotActionListe in der Region „Steuerung verweigern“ aktualisiert und enthält nun auch Aktionen einiger zusätzlicher Dienste, die unten aufgeführt sind:
“chatbot:*”, "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", “s3:GetStorageLensDashboard", “s3:ListStorageLensConfigurations” “s3:GetAccountPublicAccessBlock“,, “s3:PutAccountPublic", “s3:PutAccountPublicAccessBlock“,
Video-Anleitung
In diesem Video (3:07) wird beschrieben, wie Sie Ihre bestehende AWS Control Tower Tower-Landing landing zone auf Version 3 aktualisieren. Wählen Sie zur besseren Ansicht das Symbol in der rechten unteren Ecke des Videos, um es in voller Bildschirmgröße anzuzeigen. Es stehen Untertitel zur Verfügung.
Auf der Seite „Organisation“ werden Ansichten von Organisationseinheiten und Konten zusammengefasst
18. Juli 2022
(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich)
Die neue Organisationsseite in AWS Control Tower zeigt eine hierarchische Ansicht aller Organisationseinheiten (OUs) und Konten. Sie kombiniert die Informationen aus den Seiten Organisationseinheiten und Konten, die zuvor vorhanden waren.
Auf der neuen Seite können Sie die Beziehungen zwischen übergeordneten Organisationseinheiten und ihren verschachtelten Organisationseinheiten und Konten sehen. Sie können Maßnahmen für Gruppierungen von Ressourcen ergreifen. Sie können die Seitenansicht konfigurieren. Sie können beispielsweise die hierarchische Ansicht erweitern oder reduzieren, die Ansicht filtern, sodass nur Konten oder Organisationseinheiten angezeigt werden, nur Ihre registrierten Konten und registrierten Organisationseinheiten angezeigt werden, oder Sie können Gruppen verwandter Ressourcen anzeigen. Es ist einfacher sicherzustellen, dass Ihre gesamte Organisation ordnungsgemäß aktualisiert wird.
Einfachere Registrierung und Aktualisierung für einzelne Mitgliedskonten
31. Mai 2022
(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich)
AWS Control Tower bietet Ihnen jetzt eine verbesserte Möglichkeit, Mitgliedskonten einzeln zu aktualisieren und zu registrieren. Für jedes Konto wird angezeigt, wann es für ein Update verfügbar ist, sodass Sie leichter sicherstellen können, dass Ihre Mitgliedskonten die neueste Konfiguration enthalten. In wenigen einfachen Schritten können Sie Ihre landing zone aktualisieren, Kontoabweichungen beheben oder ein Konto für eine registrierte Organisationseinheit registrieren.
Wenn Sie ein Konto aktualisieren, müssen Sie nicht die gesamte Organisationseinheit (OU) eines Kontos in jede Aktualisierungsaktion einbeziehen. Dadurch wird der Zeitaufwand für die Aktualisierung eines einzelnen Kontos erheblich reduziert.
Mithilfe der AWS Control Tower Tower-Konsole können Sie Konten für AWS Control Tower Tower-Organisationseinheiten registrieren. Bestehende Konten, die Sie bei AWS Control Tower registrieren, müssen weiterhin die Kontovoraussetzungen erfüllen, und Sie müssen die AWSControlTowerExecution Rolle hinzufügen. Anschließend können Sie eine beliebige registrierte Organisationseinheit auswählen und das Konto dort registrieren, indem Sie auf die Schaltfläche „Registrieren“ klicken.
Wir haben die Funktion „Konto registrieren“ vom Workflow „Konto erstellen“ in Account Factory getrennt, um diese ähnlichen Prozesse besser voneinander zu unterscheiden und Einrichtungsfehler bei der Eingabe von Kontoinformationen zu vermeiden.
AFT unterstützt automatisierte Anpassungen für gemeinsam genutzte AWS Control Tower Tower-Konten
27. Mai 2022
(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich)
Account Factory for Terraform (AFT) kann jetzt alle Ihre Konten, die von AWS Control Tower verwaltet werden, programmgesteuert anpassen und aktualisieren, einschließlich des Verwaltungskontos, des Prüfkontos und des Protokollarchiv-Kontos sowie Ihrer registrierten Konten. Sie können Ihre Kontoanpassung und das Aktualisierungsmanagement zentralisieren und gleichzeitig die Sicherheit Ihrer Kontokonfigurationen schützen, da Sie die Rolle, die die Arbeit ausführt, selbst festlegen.
Mit der vorhandenen AWSAFTExecutionRolle werden nun Anpassungen für alle Konten bereitgestellt. Sie können IAM-Berechtigungen mit Grenzen einrichten, die den Zugriff auf die AWSAFTExecutionRolle entsprechend Ihren Geschäfts- und Sicherheitsanforderungen einschränken. Sie können die genehmigten Anpassungsberechtigungen in dieser Rolle für vertrauenswürdige Benutzer auch programmgesteuert delegieren. Als bewährte Methode empfehlen wir, die Berechtigungen auf diejenigen zu beschränken, die für die Bereitstellung der erforderlichen Anpassungen erforderlich sind.
AFT erstellt jetzt die neue AWSAFTServiceRolle für die Bereitstellung von AFT-Ressourcen für alle verwalteten Konten, einschließlich der gemeinsamen Konten und des Verwaltungskontos. Ressourcen wurden früher von der AWSAFTExecutionRolle bereitgestellt.
Die gemeinsamen Konten und Verwaltungskonten von AWS Control Tower werden nicht über Account Factory bereitgestellt, sodass sie nicht über die entsprechenden bereitgestellten Produkte verfügen. AWS Service Catalog Daher können Sie die gemeinsamen Konten und Verwaltungskonten in Service Catalog nicht aktualisieren.
Gleichzeitige Operationen für alle optionalen Steuerelemente
18. Mai 2022
(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich)
AWS Control Tower unterstützt jetzt gleichzeitige Operationen für präventive Kontrollen sowie für detektive Kontrollen.
Mit dieser neuen Funktion kann jetzt jede optionale Steuerung gleichzeitig angewendet oder entfernt werden, wodurch die Benutzerfreundlichkeit und Leistung aller optionalen Kontrollen verbessert werden. Sie können mehrere optionale Steuerungen aktivieren, ohne auf den Abschluss einzelner Steuervorgänge warten zu müssen. Die einzigen eingeschränkten Zeiten sind, wenn AWS Control Tower gerade dabei ist, eine landing zone einzurichten oder die Verwaltung auf eine neue Organisation auszudehnen.
Unterstützte Funktionen für präventive Kontrollen:
-
Wenden Sie verschiedene präventive Kontrollen auf derselben Organisationseinheit an und entfernen Sie sie.
-
Wenden Sie verschiedene präventive Kontrollen auf verschiedenen Organisationseinheiten gleichzeitig an und entfernen Sie sie.
-
Wenden Sie dieselbe präventive Kontrolle auf mehrere Organisationseinheiten gleichzeitig an und entfernen Sie sie.
-
Sie können alle präventiven und detektiven Kontrollen gleichzeitig anwenden und entfernen.
Sie können diese Verbesserungen der Parallelität bei der Steuerung in allen veröffentlichten Versionen von AWS Control Tower erleben.
Wenn Sie präventive Kontrollen auf verschachtelte Organisationseinheiten anwenden, wirken sich die präventiven Kontrollen auf alle Konten und Organisationseinheiten aus, die unter der Ziel-OU verschachtelt sind, auch wenn diese Konten und Organisationseinheiten nicht bei AWS Control Tower registriert sind. Präventive Kontrollen werden mithilfe von Service Control Policies (SCPs) implementiert, die Teil von sind. AWS Organizations Detektivkontrollen werden mithilfe von AWS Config Regeln implementiert. Die Leitplanken bleiben in Kraft, wenn Sie neue Konten erstellen oder Änderungen an Ihren bestehenden Konten vornehmen, und AWS Control Tower bietet einen zusammenfassenden Bericht darüber, wie jedes Konto Ihren aktivierten Richtlinien entspricht. Eine vollständige Liste der verfügbaren Steuerelemente finden Sie in der AWS Control Tower Tower-Steuerungsbibliothek.
Bestehende Sicherheits- und Protokollierungskonten
16. Mai 2022
(Bei der Ersteinrichtung verfügbar.)
AWS Control Tower bietet Ihnen jetzt die Möglichkeit, während der ersten Einrichtung der landing zone ein vorhandenes AWS Konto als AWS Control Tower Tower-Sicherheits- oder Protokollierungskonto anzugeben. Diese Option macht es überflüssig, dass AWS Control Tower neue, gemeinsame Konten erstellt. Das Sicherheitskonto, das standardmäßig als Audit-Konto bezeichnet wird, ist ein eingeschränktes Konto, das Ihren Sicherheits- und Compliance-Teams Zugriff auf alle Konten in Ihrer landing zone gewährt. Das Protokollierungskonto, das standardmäßig als Log Archive-Konto bezeichnet wird, dient als Repository. Es speichert Protokolle von API-Aktivitäten und Ressourcenkonfigurationen von allen Konten in Ihrer landing zone.
Indem Sie Ihre bestehenden Sicherheits- und Protokollierungskonten verwenden, ist es einfacher, die AWS Control Tower-Governance auf Ihre bestehenden Organisationen auszudehnen oder von einer alternativen landing zone zu AWS Control Tower zu wechseln. Die Option, bestehende Konten zu verwenden, wird bei der ersten Einrichtung der landing zone angezeigt. Sie umfasst Prüfungen während des Einrichtungsprozesses, die eine erfolgreiche Bereitstellung sicherstellen. AWS Control Tower implementiert die erforderlichen Rollen und Kontrollen für Ihre bestehenden Konten. Es werden keine vorhandenen Ressourcen oder Daten, die in diesen Konten vorhanden sind, entfernt oder zusammengeführt.
Einschränkung: Wenn Sie planen, bestehende AWS Konten als Audit- und Protokollarchivkonten in AWS Control Tower zu integrieren, und wenn diese Konten über vorhandene AWS Config Ressourcen verfügen, müssen Sie die vorhandenen AWS Config Ressourcen löschen, bevor Sie die Konten bei AWS Control Tower registrieren können.
AWS-Control-Tower-Landezone, Version 2.9
22. April 2022
(Für die AWS Control Tower landing zone ist ein Update auf Version 2.9 erforderlich. Weitere Informationen finden Sie unterAktualisieren Ihrer Landing Zone)
AWS Control Tower landing zone Version 2.9 aktualisiert den Notification Forwarder Lambda, sodass er die Python-Laufzeit der Version 3.9 verwendet. Dieses Update behebt die veraltete Version 3.6 von Python, die für Juli 2022 geplant ist. Die neuesten Informationen finden Sie auf der Python-Verfallsseite.
AWS-Control-Tower-Landezone, Version 2.8
10. Februar 2022
(Für die AWS Control Tower landing zone ist ein Update auf Version 2.8 erforderlich. Weitere Informationen finden Sie unterAktualisieren Ihrer Landing Zone)
Die AWS Control Tower landing zone Version 2.8 fügt Funktionen hinzu, die den jüngsten Aktualisierungen der Best Practices für AWS grundlegende Sicherheit entsprechen.
In dieser Version:
-
Die Zugriffsprotokollierung ist für den Zugriffs-Log-Bucket im Log Archive-Konto konfiguriert, um den Zugriff auf den vorhandenen S3-Zugriffs-Log-Bucket nachzuverfolgen.
-
Support für Lifecycle-Richtlinien wurde hinzugefügt. Das Zugriffsprotokoll für den vorhandenen S3-Zugriffsprotokoll-Bucket ist auf eine standardmäßige Aufbewahrungszeit von 10 Jahren festgelegt.
-
Darüber hinaus aktualisiert diese Version AWS Control Tower so, dass es die von AWS Config bereitgestellte AWS Service Linked Role (SLR) in allen verwalteten Konten (mit Ausnahme des Verwaltungskontos) verwendet, sodass Sie Config-Regeln einrichten und verwalten können, die den AWS Config Best Practices entsprechen. Kunden, die kein Upgrade durchführen, werden weiterhin ihre bestehende Rolle verwenden.
-
Diese Version optimiert den AWS Control Tower KMS-Konfigurationsprozess für die Verschlüsselung von AWS Config Daten und verbessert die zugehörigen Statusmeldungen in. CloudTrail
-
Die Version enthält ein Update für die Region Deny Control, um die
route53-application-recoveryFunktion in zu ermöglichen.us-west-2 -
Update: Am 15. Februar 2022 haben wir die Warteschlange für tote Buchstaben für AWS Lambda-Funktionen entfernt.
Weitere Details:
-
Wenn Sie Ihre landing zone nehmen, entfernt AWS Control Tower die AWS Config serviceverknüpfte Rolle nicht.
-
Wenn Sie die Bereitstellung eines Account Factory Factory-Kontos aufheben, entfernt AWS Control Tower die AWS Config serviceverknüpfte Rolle nicht.
Um Ihre landing zone auf 2.8 zu aktualisieren, navigieren Sie zur Seite mit den Landingzone-Einstellungen, wählen Sie die Version 2.8 aus und wählen Sie dann Aktualisieren. Nachdem Sie Ihre landing zone aktualisiert haben, müssen Sie alle Konten aktualisieren, die von AWS Control Tower verwaltet werden, wie unter beschriebenVerwaltung von Konfigurationsupdates in AWS Control Tower.
