Januar — Dezember 2023 - AWS Control Tower
Übergang zum neuen AWS Service Catalog externen Produkttyp (Phase 3)AWS-Control-Tower-Landezone, Version 3.3Umstellung auf einen neuen AWS Service Catalog externen Produkttyp (Phase 2)AWS Control Tower kündigt Kontrollen zur Unterstützung der digitalen Souveränität anlanding zone des AWS Control Tower APIsKennzeichnung von Kontrolldaten in AWS Control Tower APIsAWS Control Tower im AWS asiatisch-pazifischen Raum (Melbourne) verfügbarUmstellung auf den neuen AWS Service Catalog externen Produkttyp (Phase 1)AWS Control Tower fügt neue Kontroll-API hinzuAWS Control Tower fügt neue Steuerungen hinzuAWS Control Tower erkennt Drift beim vertrauenswürdigen ZugriffAWS Control Tower ist in vier weiteren Varianten erhältlich AWS-RegionenAWS Control Tower in AWS Israel (Tel Aviv) verfügbarAWS Control Tower fügt 28 neue proaktive Kontrollen hinzuAWS Control Tower lehnt zwei Kontrollen abAWS-Control-Tower-Landezone, Version 3.2AWS Control Tower fügt email-to-ID Mapping für IAM Identity Center hinzuAWS Control Tower fügt mehr AWS Security Hub Kontrollen hinzuAWS Control Tower veröffentlicht Metadaten für AWS Security Hub KontrollenAWS Control Tower fügt Account Factory Customization (AFC) für Terraform hinzuAWS Control Tower fügt selbstverwaltetes IAM-Identitätszentrum hinzuAWS Control Tower fügt einen gemischten Hinweis zur Unternehmensführung hinzuAWS Control Tower fügt neue proaktive Kontrollen hinzuAWS Control Tower aktualisiert Amazon EC2 ControlsAWS Control Tower ist in sieben weiteren Versionen erhältlich AWS-RegionenAWS Control Tower Account Factory Customization (AFC) und Anforderungsverfolgung allgemein verfügbarAWS-Control-Tower-Landezone, Version 3.1Proaktive Kontrollen von AWS Control Tower sind allgemein verfügbar

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Januar — Dezember 2023

Im Jahr 2023 veröffentlichte AWS Control Tower die folgenden Updates:

Übergang zum neuen AWS Service Catalog externen Produkttyp (Phase 3)

14. Dezember 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower unterstützt Terraform Open Source nicht mehr als Produkttyp (Blueprint) bei der Erstellung neuer Produkte. AWS-Konten Weitere Informationen und Anweisungen zur Aktualisierung Ihrer Konto-Blueprints finden Sie unter Umstellung auf den AWS Service Catalog Produkttyp Extern.

Wenn Sie Ihre Konto-Blueprints nicht aktualisieren, um den Produkttyp Extern zu verwenden, können Sie nur Konten aktualisieren oder kündigen, die Sie mit Terraform Open Source-Blueprints bereitgestellt haben.

AWS-Control-Tower-Landezone, Version 3.3

14. Dezember 2023

(Für die AWS Control Tower landing zone ist ein Update auf Version 3.3 erforderlich. Weitere Informationen finden Sie unterAktualisiere deine landing zone).

Aktualisierungen der S3-Bucket-Richtlinie im AWS Control Tower Audit-Konto

Wir haben die Amazon S3 S3-Audit-Bucket-Richtlinie, die AWS Control Tower in Konten bereitstellt, geändert, sodass eine aws:SourceOrgID Bedingung für alle Schreibberechtigungen erfüllt sein muss. Mit dieser Version haben AWS Services nur dann Zugriff auf Ihre Ressourcen, wenn die Anfrage von Ihrer Organisation oder Organisationseinheit (OU) stammt.

Sie können den aws:SourceOrgID Bedingungsschlüssel verwenden und den Wert auf Ihre Organisations-ID im Bedingungselement Ihrer S3-Bucket-Richtlinie setzen. Diese Bedingung stellt sicher, dass CloudTrail nur Protokolle im Namen von Konten innerhalb Ihrer Organisation in Ihren S3-Bucket geschrieben werden können. Dadurch wird verhindert, dass CloudTrail Protokolle außerhalb Ihrer Organisation in Ihren AWS Control Tower S3-Bucket schreiben.

Wir haben diese Änderung vorgenommen, um eine potenzielle Sicherheitslücke zu beheben, ohne die Funktionalität Ihrer vorhandenen Workloads zu beeinträchtigen. Die aktualisierte Richtlinie finden Sie unter. Amazon S3 S3-Bucket-Richtlinie im Auditkonto

Weitere Informationen zum neuen Bedingungsschlüssel finden Sie in der IAM-Dokumentation und im IAM-Blogbeitrag mit dem Titel „Verwenden Sie skalierbare Kontrollen für AWS Dienste, die auf Ihre Ressourcen zugreifen“.

Aktualisierungen der Richtlinie im SNS-Thema AWS Config

Wir haben den neuen aws:SourceOrgID Bedingungsschlüssel zur Richtlinie für das AWS Config SNS-Thema hinzugefügt. Die aktualisierte Richtlinie finden Sie unter Die AWS Config SNS-Themenrichtlinie.

Aktualisierungen der Steuerung „Region Deny“ für die landing zone

  • discovery-marketplace: wurde entfernt. Diese Maßnahme fällt unter die aws-marketplace:* Ausnahmeregelung.

  • quicksight:DescribeAccountSubscription hinzugefügt

AWS CloudFormation Vorlage aktualisiert

Wir haben die AWS CloudFormation Vorlage für den genannten Stack BASELINE-CLOUDTRAIL-MASTER so aktualisiert, dass sie keine Drift zeigt, wenn keine AWS KMS Verschlüsselung verwendet wird.

Umstellung auf einen neuen AWS Service Catalog externen Produkttyp (Phase 2)

7. Dezember 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

HashiCorp hat ihre Terraform-Lizenzierung aktualisiert. Infolgedessen wurde die Unterstützung für Terraform Open Source-Produkte und bereitgestellte Produkte auf einen neuen Produkttyp namens External AWS Service Catalog umgestellt.

Um eine Unterbrechung der bestehenden Workloads und AWS Ressourcen in Ihren Konten zu vermeiden, folgen Sie bis zum 14. Dezember 2023 den Schritten zur Umstellung auf den Produkttyp AWS Service Catalog External auf AWS Control Tower.

AWS Control Tower kündigt Kontrollen zur Unterstützung der digitalen Souveränität an

27. November 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower kündigt 65 neue AWS verwaltete Kontrollen an, mit denen Sie Ihre Anforderungen an digitale Souveränität erfüllen können. Mit dieser Version können Sie diese Kontrollen unter einer neuen Gruppe für digitale Souveränität in der AWS Control Tower Tower-Konsole entdecken. Sie können diese Kontrollen verwenden, um Aktionen zu verhindern und Ressourcenänderungen in Bezug auf Datenresidenz, granulare Zugriffsbeschränkung, Verschlüsselung und Ausfallsicherheit zu erkennen. Diese Kontrollen sollen es Ihnen erleichtern, Anforderungen in großem Umfang zu erfüllen. Weitere Informationen zu Kontrollen der digitalen Souveränität finden Sie unter Kontrollen, die den Schutz der digitalen Souveränität verbessern.

Sie können sich beispielsweise dafür entscheiden, Kontrollen zu aktivieren, mit denen Sie Ihre Verschlüsselungs- und Ausfallsicherheitsstrategien durchsetzen können, wie z. B. Erfordern Sie, dass ein AWS AppSync API-Cache erforderlich ist, um die Verschlüsselung bei der Übertragung zu aktivieren, oder Erfordern, dass eine AWS Network Firewall in mehreren Availability Zones bereitgestellt wird. Sie können auch die AWS Control Tower Region Deny Control so anpassen, dass regionale Einschränkungen angewendet werden, die Ihren individuellen Geschäftsanforderungen am besten entsprechen.

Diese Version bietet deutlich verbesserte Funktionen zum Ablehnen von AWS Control Tower Region. Sie können eine neue, parametrisierte Regionsverweigerungssteuerung auf OU-Ebene anwenden, um die Granularität der Steuerung zu erhöhen und gleichzeitig zusätzliche Region-Governance auf Landing-Zone-Ebene beizubehalten. Diese anpassbare Regionsverweigerungssteuerung hilft Ihnen dabei, regionale Beschränkungen anzuwenden, die Ihren individuellen Geschäftsanforderungen am besten entsprechen. Weitere Informationen zur neuen, konfigurierbaren Regionsverweigerungssteuerung finden Sie unter Auf die Organisationseinheit angewendete Regionsverweigerungssteuerung.

Als neues Tool für die neue Erweiterung „Region Deny“ enthält diese Version eine neue APIUpdateEnabledControl, mit der Sie Ihre aktivierten Kontrollen auf die Standardeinstellungen zurücksetzen können. Diese API ist besonders hilfreich in Anwendungsfällen, in denen Sie Abweichungen schnell beheben oder programmgesteuert sicherstellen müssen, dass sich ein Steuerelement nicht im Drift-Zustand befindet. Weitere Informationen zur neuen API finden Sie in der AWS Control Tower API-Referenz

Neue proaktive Kontrollen

  • CT.APIGATEWAY.PR.6: Erfordert, dass eine Amazon API Gateway Gateway-REST-Domain eine Sicherheitsrichtlinie verwendet, die eine Mindestversion des TLS-Protokolls von TLSv1 .2 festlegt

  • CT.APPSYNC.PR.2: Erfordert, dass eine AWS AppSync GraphQL-API mit privater Sichtbarkeit konfiguriert wird

  • CT.APPSYNC.PR.3: Erfordert, dass eine AWS AppSync GraphQL-API nicht mit API-Schlüsseln authentifiziert ist

  • CT.APPSYNC.PR.4: Erfordert einen AWS AppSync GraphQL-API-Cache, um die Verschlüsselung bei der Übertragung zu aktivieren.

  • CT.APPSYNC.PR.5: Erfordert einen AWS AppSync GraphQL-API-Cache, um die Verschlüsselung im Ruhezustand zu aktivieren.

  • CT.AUTOSCALING.PR.9: Erfordert ein Amazon EBS-Volume, das über eine Amazon EC2 Auto Scaling Scaling-Startkonfiguration konfiguriert wurde, um Daten im Ruhezustand zu verschlüsseln

  • CT.AUTOSCALING.PR.10: Erfordert, dass eine Amazon EC2 Auto Scaling Scaling-Gruppe nur AWS Nitro-Instance-Typen verwendet, wenn eine Startvorlage überschrieben wird

  • CT.AUTOSCALING.PR.11: Erfordert, dass nur AWS Nitro-Instance-Typen, die die Verschlüsselung des Netzwerkverkehrs zwischen Instances unterstützen, zu einer Amazon EC2 Auto Scaling Scaling-Gruppe hinzugefügt werden, wenn eine Startvorlage überschrieben wird

  • CT.DAX.PR.3: Erfordert einen DynamoDB Accelerator-Cluster, um Daten während der Übertragung mit Transport Layer Security (TLS) zu verschlüsseln

  • CT.DMS.PR.2: Erfordert einen DMS-Endpunkt ( AWS Database Migration Service), um Verbindungen für Quell- und Zielendpunkte zu verschlüsseln

  • CT.EC2.PR.15: Erfordert, dass eine EC2 Amazon-Instance einen AWS Nitro-Instance-Typ verwendet, wenn sie aus dem AWS::EC2::LaunchTemplate Ressourcentyp erstellt

  • CT.EC2.PR.16: Erfordert, dass eine EC2 Amazon-Instance einen AWS Nitro-Instance-Typ verwendet, wenn sie mit dem AWS::EC2::Instance Ressourcentyp erstellt wurde

  • CT.EC2.PR.17: Für die Verwendung eines AWS-Nitro-Instance-Typs ist ein EC2 dedizierter Amazon-Host erforderlich

  • CT.EC2.PR.18: Erfordert, dass eine EC2 Amazon-Flotte nur die Startvorlagen mit AWS Nitro-Instance-Typen überschreibt

  • CT.EC2.PR.19: Erfordert, dass eine EC2 Amazon-Instance einen Nitro-Instance-Typ verwendet, der die Verschlüsselung während der Übertragung zwischen Instances unterstützt, wenn sie mit dem AWS::EC2::Instance Ressourcentyp erstellt wird

  • CT.EC2.PR.20: Erfordert, dass eine EC2 Amazon-Flotte nur die Startvorlagen mit AWS Nitro-Instance-Typen überschreibt, die die Verschlüsselung bei der Übertragung zwischen Instances unterstützen

  • CT.ELASTICACHE.PR.8: Für eine ElastiCache Amazon-Replikationsgruppe späterer Redis-Versionen muss die RBAC-Authentifizierung aktiviert sein

  • CT.MQ.PR.1: Erfordert, dass ein Amazon MQ ActiveMQ-Broker den active/standby Bereitstellungsmodus für hohe Verfügbarkeit verwendet

  • CT.MQ.PR.2: Erfordert einen Amazon MQ Rabbit MQ-Broker, der den Multi-AZ-Clustermodus für hohe Verfügbarkeit verwendet

  • CT.MSK.PR.1: Erfordert einen Amazon Managed Streaming for Apache Kafka (MSK) -Cluster, um die Verschlüsselung bei der Übertragung zwischen Cluster-Broker-Knoten zu erzwingen

  • CT.MSK.PR.2: Erfordert die Konfiguration eines Amazon Managed Streaming for Apache Kafka (MSK) -Clusters mit deaktivierter Option PublicAccess

  • CT.NETWORK-FIREWALL.PR.5: Erfordert die Bereitstellung einer AWS Netzwerk-Firewall-Firewall in mehreren Availability Zones

  • CT.RDS.PR.26: Erfordert einen Amazon RDS-DB-Proxy, um Transport Layer Security (TLS) -Verbindungen zu benötigen

  • CT.RDS.PR.27: Erfordert eine Amazon RDS-DB-Cluster-Parametergruppe, die Transport Layer Security (TLS) -Verbindungen für unterstützte Engine-Typen erfordert

  • CT.RDS.PR.28: Erfordert eine Amazon RDS-DB-Parametergruppe, die Transport Layer Security (TLS) -Verbindungen für unterstützte Engine-Typen erfordert

  • CT.RDS.PR.29: Erfordert, dass ein Amazon RDS-Cluster nicht so konfiguriert ist, dass er über die Eigenschaft 'PubliclyAccessible' öffentlich zugänglich ist

  • CT.RDS.PR.30: Erfordert, dass für eine Amazon RDS-Datenbank-Instance die Verschlüsselung im Ruhezustand so konfiguriert ist, dass sie einen KMS-Schlüssel verwendet, den Sie für unterstützte Engine-Typen angeben

  • CT.S3.PR.12: Für einen Amazon S3 S3-Zugriffspunkt ist eine Block Public Access (BPA) -Konfiguration erforderlich, bei der alle Optionen auf true gesetzt sind

Neue präventive Kontrollen

  • CT.APPSYNC.PV.1Erfordern, dass eine AWS AppSync GraphQL-API mit privater Sichtbarkeit konfiguriert ist

  • CT.EC2.PV.1Erfordern, dass ein Amazon EBS-Snapshot aus einem verschlüsselten EC2 Volume erstellt wird

  • CT.EC2.PV.2Erfordern, dass ein angehängtes Amazon EBS-Volume so konfiguriert ist, dass Daten im Ruhezustand verschlüsselt werden

  • CT.EC2.PV.3Erfordern, dass ein Amazon EBS-Snapshot nicht öffentlich wiederherstellbar ist

  • CT.EC2.PV.4Erfordern, dass Amazon EBS Direct nicht APIs aufgerufen wird

  • CT.EC2.PV.5Die Verwendung von Amazon EC2 VM-Import und -Export verbieten

  • CT.EC2.PV.6Die Verwendung veralteter Amazon- und API-Aktionen verbieten EC2 RequestSpotFleet RequestSpotInstances

  • CT.KMS.PV.1Eine AWS KMS wichtige Richtlinie muss eine Erklärung enthalten, die die Gewährung von AWS KMS Zuschüssen auf Dienstleistungen beschränkt AWS

  • CT.KMS.PV.2Erfordern, dass ein AWS KMS asymmetrischer Schlüssel mit RSA-Schlüsselmaterial, der für die Verschlüsselung verwendet wird, keine Schlüssellänge von 2048 Bit hat

  • CT.KMS.PV.3Erfordern Sie, dass bei der Konfiguration eines AWS KMS Schlüssels die Sicherheitsüberprüfung zur Sperrung der Umgehungsrichtlinie aktiviert ist

  • CT.KMS.PV.4Erfordern, dass ein AWS KMS vom Kunden verwalteter Schlüssel (CMK) mit Schlüsselmaterial konfiguriert ist, das von CloudHSM stammt AWS

  • CT.KMS.PV.5Erfordern Sie, dass ein AWS KMS vom Kunden verwalteter Schlüssel (CMK) mit importiertem Schlüsselmaterial konfiguriert ist

  • CT.KMS.PV.6Erfordern Sie, dass AWS KMS ein vom Kunden verwalteter Schlüssel (CMK) mit Schlüsselmaterial konfiguriert ist, das aus einem externen Schlüsselspeicher (XKS) stammt

  • CT.LAMBDA.PV.1Für die Verwendung der IAM-basierten AWS Lambda Authentifizierung ist eine Funktions-URL erforderlich AWS

  • CT.LAMBDA.PV.2Erfordern Sie, dass eine AWS Lambda Funktions-URL für den Zugriff nur durch Principals in Ihrem AWS-Konto

landing zone des AWS Control Tower APIs

26. November 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower bietet jetzt Angebote APIs , mit denen Sie Ihre landing zone programmgesteuert verwalten können. APIs Mit diesen können Sie Ihre landing zone erstellen, aktualisieren und zurücksetzen sowie Informationen über die Konfiguration und den Betrieb Ihrer landing zone abrufen. Weitere Informationen finden Sie unter Beispiele für Landingzone-APIs.

Die landing zone ist APIs überall verfügbar, AWS-Regionen wo AWS Control Tower verfügbar ist, mit Ausnahme der Regionen GovCloud (USA). Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

Kennzeichnung von Kontrolldaten in AWS Control Tower APIs

10. November 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower bietet jetzt Angebote APIs , mit denen Sie Ihre aktivierten Steuerungen programmgesteuert taggen können. Diese APIs ermöglichen es Ihnen, Tags für Ihre aktivierten Steuerelemente hinzuzufügen, zu entfernen und aufzulisten. Weitere Informationen finden Sie unter Tagging AWS Control Tower Tower-Ressourcen.

Das Kontroll-Tagging ist APIs überall verfügbar, AWS-Regionen wo AWS Control Tower verfügbar ist, mit Ausnahme der Regionen GovCloud (USA). Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower im AWS asiatisch-pazifischen Raum (Melbourne) verfügbar

3. November 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower ist im asiatisch-pazifischen Raum (Melbourne) verfügbar. Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

Umstellung auf den neuen AWS Service Catalog externen Produkttyp (Phase 1)

31. Oktober 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

HashiCorp hat ihre Terraform-Lizenzierung aktualisiert. Infolgedessen wurde die Unterstützung für Terraform Open Source-Produkte und bereitgestellte Produkte auf einen neuen Produkttyp namens External AWS Service Catalog umgestellt.

Um eine Unterbrechung der bestehenden Workloads und AWS Ressourcen in Ihren Konten zu vermeiden, folgen Sie bis zum 14. Dezember 2023 den Schritten zur Umstellung auf den Produkttyp AWS Service Catalog External auf AWS Control Tower.

AWS Control Tower fügt neue Kontroll-API hinzu

27. Oktober 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower bietet jetzt eine neue APIUpdateEnabledControl, mit der Sie Ihre aktivierten Kontrollen aktualisieren können. Diese API ist besonders hilfreich in Anwendungsfällen, in denen Sie Abweichungen schnell beheben oder programmgesteuert sicherstellen müssen, dass sich eine Steuerung nicht im Drift-Zustand befindet. Weitere Informationen zur neuen API finden Sie in der AWS Control Tower API-Referenz.

Die UpdateEnabledControl API ist überall verfügbar, AWS-Regionen wo AWS Control Tower verfügbar ist, mit Ausnahme der Regionen GovCloud (USA). Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower fügt neue Steuerungen hinzu

20. Oktober 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower hat der AWS Control Tower-Steuerbibliothek 22 neue Steuerungen hinzugefügt. Diese Kontrollen helfen Ihnen dabei, bewährte Verfahren für Ihre AWS Ressourcen durchzusetzen. Weitere Informationen zu den neuen Steuerelementen finden Sie unter Kontrollkategorien.

Die neuen Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower erkennt Drift beim vertrauenswürdigen Zugriff

13. Oktober 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower erkennt und meldet jetzt Abweichungen bei vertrauenswürdigen Zugriffseinstellungen. Vertrauenswürdige Zugriffseinstellungen ermöglichen es AWS Control Tower, in Ihrem Namen mit anderen AWS Services zu interagieren. Wenn diese Einstellungen außerhalb von AWS Control Tower geändert werden, erkennt AWS Control Tower die Abweichung und meldet sie in der AWS Control Tower Tower-Konsole. Weitere Informationen zu Abweichungen beim vertrauenswürdigen Zugriff finden Sie unter Arten von Abweichungen in der Unternehmensführung.

Die Erkennung vertrauenswürdiger Zugriffsabweichungen ist überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower ist in vier weiteren Varianten erhältlich AWS-Regionen

29. September 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower ist in vier weiteren Ländern verfügbar AWS-Regionen: Asien-Pazifik (Hyderabad), Asien-Pazifik (Jakarta), Europa (Spanien) und Europa (Zürich). Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower in AWS Israel (Tel Aviv) verfügbar

1. August 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower ist in Israel (Tel Aviv) verfügbar. Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower fügt 28 neue proaktive Kontrollen hinzu

27. Juli 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower hat der AWS Control Tower Tower-Steuerbibliothek 28 neue proaktive Kontrollen hinzugefügt. Diese Kontrollen helfen Ihnen dabei, bewährte Verfahren für Ihre AWS Ressourcen durchzusetzen. Weitere Informationen zu den neuen Steuerelementen finden Sie unter Kontrollkategorien.

Die neuen Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower lehnt zwei Kontrollen ab

27. Juli 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower hat zwei Steuerelemente als veraltet eingestuft: CT.CLOUDFORMATION.PR.2 und. CT.CLOUDFORMATION.PR.3 Diese Steuerelemente sind in der AWS Control Tower Tower-Steuerelementbibliothek nicht mehr verfügbar. Weitere Informationen zu den veralteten Steuerelementen finden Sie unter Kontrollkategorien.

Die veralteten Steuerelemente sind in keinem mehr verfügbar. AWS-Region

AWS-Control-Tower-Landezone, Version 3.2

16. Juni 2023

(Für die AWS Control Tower landing zone ist ein Update auf Version 3.2 erforderlich. Weitere Informationen finden Sie unterAktualisiere deine landing zone).

Mit Version 3.2 der AWS Control Tower landing zone sind die Kontrollen, die Teil des AWS Security Hub Service-Managed Standard: AWS Control Tower sind, jetzt allgemein verfügbar. Es bietet die Möglichkeit, den Drift-Status von Kontrollen, die Teil dieses Standards sind, in der AWS Control Tower-Konsole einzusehen.

Dieses Update beinhaltet eine neue Service-Linked Role (SLR), den AWSService RoleFor AWSControl Tower. Diese Rolle unterstützt AWS Control Tower bei der Erstellung einer EventBridge verwalteten Regel, die AWSControlTowerManagedRulein jedem Mitgliedskonto so genannt wird. Diese verwaltete Regel sammelt AWS Security Hub Findereignisse, anhand derer mithilfe von AWS Control Tower Kontrollabweichungen festgestellt werden können.

Diese Regel ist die erste verwaltete Regel, die von AWS Control Tower erstellt wurde. Die Regel wird nicht von einem Stack bereitgestellt; sie wird direkt von der bereitgestellt EventBridge APIs. Sie können die Regel in der EventBridge Konsole oder mit dem anzeigen EventBridge APIs. Wenn das managed-by Feld ausgefüllt ist, wird der AWS Control Tower Service Principal angezeigt.

Zuvor hatte AWS Control Tower die AWSControlTowerExecutionRolle übernommen, Operationen in Mitgliedskonten durchzuführen. Diese neue Rolle und Regel entsprechen besser dem Best-Practice-Prinzip, bei der Ausführung von Vorgängen in einer AWS Umgebung mit mehreren Konten die geringsten Rechte zuzulassen. Die neue Rolle bietet spezielle Berechtigungen, die Folgendes ermöglichen: die Erstellung der verwalteten Regel in Mitgliedskonten, die Verwaltung der verwalteten Regel, die Veröffentlichung von Sicherheitsbenachrichtigungen über SNS und die Überprüfung von Abweichungen. Weitere Informationen finden Sie unter AWSServiceRoleForAWSControlTurm.

Das landing zone 3.2-Update enthält auch eine neue StackSet Ressource im VerwaltungskontoBP_BASELINE_SERVICE_LINKED_ROLE, mit der zunächst die dienstverknüpfte Rolle bereitgestellt wird.

Wenn eine Abweichung der Security Hub-Kontrolle gemeldet wird (in der landing zone 3.2 und höher), erhält AWS Control Tower täglich ein Status-Update von Security Hub. Obwohl die Kontrollen in jeder kontrollierten Region aktiv sind, sendet AWS Control Tower die AWS Security Hub Finding-Ereignisse nur an die AWS Control Tower Tower-Heimatregion. Weitere Informationen finden Sie unter Berichterstattung über Kontrollabweichungen in Security Hub.

Update zur Steuerung „Region Deny“

Diese landing zone Zone-Version beinhaltet auch ein Update für die Steuerung „Region Deny“.

Globale Dienste und APIs hinzugefügt

  • AWS Fakturierung und Kostenmanagement (billing:*)

  • AWS CloudTrail (cloudtrail:LookupEvents) um die Sichtbarkeit globaler Ereignisse in den Mitgliedskonten zu ermöglichen.

  • AWS Konsolidierte Abrechnung (consolidatedbilling:*)

  • AWS Mobile Anwendung der Managementkonsole (consoleapp:*)

  • AWS Kostenloses Kontingent (freetier:*)

  • AWS Invoicing (invoicing:*)

  • AWS IQ (iq:*)

  • AWS Benutzerbenachrichtigungen (notifications:*)

  • AWS Benutzerbenachrichtigungen Kontakte (notifications-contacts:*)

  • Amazon Payments (payments:*)

  • AWS Steuereinstellungen (tax:*)

Globale Dienste und APIs entfernt

  • Wurde entfernts3:GetAccountPublic, weil es sich nicht um eine gültige Aktion handelt.

  • Wurde entfernts3:PutAccountPublic, weil es sich nicht um eine gültige Aktion handelt.

AWS Control Tower fügt email-to-ID Mapping für IAM Identity Center hinzu

13. Juli 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower unterstützt jetzt die email-to-ID Zuordnung für IAM Identity Center. Mit dieser Funktion können Sie E-Mail-Adressen IAM Identity Center-Benutzern zuordnen IDs, was die Verwaltung des Benutzerzugriffs auf Ihre AWS Control Tower Tower-Umgebung erleichtert. Weitere Informationen zur email-to-ID Zuordnung finden Sie unter Integration mit IAM Identity Center.

Email-to-ID Mapping ist überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower fügt mehr AWS Security Hub Kontrollen hinzu

29. Juni 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower hat der AWS Control Tower Tower-Steuerbibliothek weitere AWS Security Hub Steuerelemente hinzugefügt. Diese Kontrollen helfen Ihnen dabei, bewährte Verfahren für Ihre AWS Ressourcen durchzusetzen. Weitere Informationen zu den neuen Steuerelementen finden Sie unter Kontrollkategorien.

Die neuen Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower veröffentlicht Metadaten für AWS Security Hub Kontrollen

22. Juni 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower veröffentlicht jetzt Metadaten für AWS Security Hub Kontrollen. Diese Metadaten enthalten Informationen über die Kontrolle, wie z. B. die Kontroll-ID, den Titel der Kontrolle und die Beschreibung der Kontrolle. Weitere Informationen zu den Metadaten finden Sie unter Kontrollmetadaten.

Kontrollmetadaten sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower fügt Account Factory Customization (AFC) für Terraform hinzu

15. Juni 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower unterstützt jetzt Account Factory Customization (AFC) für Terraform. Mit dieser Funktion können Sie Terraform verwenden, um Ihre AWS Control Tower Tower-Konten anzupassen. Weitere Informationen zu AFC for Terraform finden Sie unter Account Factory Customization for Terraform.

AFC for Terraform ist überall verfügbar, AWS-Regionen wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower fügt selbstverwaltetes IAM-Identitätszentrum hinzu

8. Juni 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower unterstützt jetzt das selbstverwaltete IAM-Identitätscenter. Mit dieser Funktion können Sie Ihren eigenen Identitätsanbieter mit AWS Control Tower verwenden. Weitere Informationen zum selbstverwalteten IAM-Identitätscenter finden Sie unter IAM-Identitätscenter.

Das selbstverwaltete IAM-Identitätscenter ist überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower fügt einen gemischten Hinweis zur Unternehmensführung hinzu

1. Juni 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower enthält jetzt einen Hinweis zur gemischten Verwaltung. In diesem Hinweis wird erklärt, wie AWS Control Tower mit anderen AWS Services zusammenarbeitet, um die Verwaltung Ihrer AWS Ressourcen zu gewährleisten. Weitere Informationen zu gemischter Unternehmensführung finden Sie unter Gemischte Unternehmensführung.

Der gemischte Hinweis zur Unternehmensführung ist überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower fügt neue proaktive Kontrollen hinzu

25. Mai 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower hat der AWS Control Tower Tower-Steuerbibliothek neue proaktive Steuerungen hinzugefügt. Diese Kontrollen helfen Ihnen dabei, bewährte Verfahren für Ihre AWS Ressourcen durchzusetzen. Weitere Informationen zu den neuen Steuerelementen finden Sie unter Kontrollkategorien.

Die neuen Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower aktualisiert Amazon EC2 Controls

18. Mai 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower hat die EC2 Amazon-Steuerelemente in der AWS Control Tower Tower-Steuerbibliothek aktualisiert. Diese Updates verbessern die Sicherheit und Zuverlässigkeit Ihrer AWS Control Tower Tower-Umgebung. Weitere Informationen zu den aktualisierten Kontrollen finden Sie unter Kontrollkategorien.

Die aktualisierten Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower ist in sieben weiteren Versionen erhältlich AWS-Regionen

11. Mai 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower ist in sieben weiteren Ländern verfügbar AWS-Regionen: Asien-Pazifik (Osaka), Kanada (Zentral), Europa (Mailand), Europa (Stockholm), Naher Osten (Bahrain), Naher Osten (VAE) und Südamerika (São Paulo). Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower Account Factory Customization (AFC) und Anforderungsverfolgung allgemein verfügbar

27. April 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower Account Factory Customization (AFC) und Request Tracing sind jetzt allgemein verfügbar. Mit AFC können Sie Ihre AWS Control Tower Tower-Konten anpassen, und mit der Anforderungsverfolgung können Sie den Status Ihrer AWS Control Tower Tower-Anfragen verfolgen. Weitere Informationen zu AFC und Request Tracing finden Sie unter Account Factory Customization und Request Tracing.

AFC und Request Tracing sind überall verfügbar, AWS-Regionen wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS-Control-Tower-Landezone, Version 3.1

9. Februar 2023

(Für die AWS Control Tower landing zone ist ein Update auf Version 3.1 erforderlich. Weitere Informationen finden Sie unterAktualisiere deine landing zone)

Die AWS Control Tower landing zone Version 3.1 beinhaltet die folgenden Updates:

  • Mit dieser Version deaktiviert AWS Control Tower die unnötige Zugriffsprotokollierung für Ihren Access Logging Bucket, den Amazon S3 S3-Bucket, in dem Zugriffsprotokolle im Log Archive-Konto gespeichert werden, während die Serverzugriffsprotokollierung für S3-Buckets weiterhin aktiviert wird. Diese Version enthält auch Aktualisierungen der Steuerung „Region Deny“, die zusätzliche Aktionen für globale Dienste wie Support Pläne und ermöglichen. AWS Artifact

  • Die Deaktivierung der Serverzugriffsprotokollierung für den Access Logging Bucket von AWS Control Tower veranlasst Security Hub, einen Befund für den Access Logging Bucket des Log-Archive-Kontos zu erstellen. Aufgrund einer AWS Security Hub Regel sollte die [S3.9] S3-Bucket-Serverzugriffsprotokollierung aktiviert sein. In Übereinstimmung mit Security Hub empfehlen wir, dass Sie dieses spezielle Ergebnis unterdrücken, wie in der Security Hub Hub-Beschreibung dieser Regel angegeben. Weitere Informationen finden Sie unter Informationen zu unterdrückten Ergebnissen.

  • Die Zugriffsprotokollierung für den (regulären) Logging-Bucket im Log Archive-Konto ist in Version 3.1 unverändert. Gemäß den bewährten Methoden werden Zugriffsereignisse für diesen Bucket als Protokolleinträge im Access-Logging-Bucket aufgezeichnet. Weitere Informationen zur Zugriffsprotokollierung finden Sie unter Protokollierung von Anfragen mithilfe der Serverzugriffsprotokollierung in der Amazon S3 S3-Dokumentation.

  • Wir haben die Steuerung „Region Deny“ aktualisiert. Dieses Update ermöglicht Aktionen durch mehr globale Dienste. Einzelheiten zu diesem SCP finden Sie unter Zugriff verweigern auf AWS Grundlage der angeforderten Daten AWS-Region und unter Kontrollen, die den Schutz der Datenspeicherung verbessern.

    Globale Dienste wurden hinzugefügt:

    • AWS -Kontenverwaltung (account:*)

    • AWS Aktivieren (activate:*)

    • AWS Artifact (artifact:*)

    • AWS Billing Conductor (billingconductor:*)

    • AWS Compute Optimizer (compute-optimizer:*)

    • AWS Data Pipeline (datapipeline:GetAccountLimits)

    • AWS Device Farm(devicefarm:*)

    • AWS Marketplace (discovery-marketplace:*)

    • Amazon ECR () ecr-public:*

    • AWS License Manager (license-manager:ListReceivedLicenses)

    • AWS Lightsail () lightsail:Get*

    • AWS Resource Explorer (resource-explorer-2:*)

    • Amazon S3 (s3:CreateMultiRegionAccessPoint,s3:GetBucketPolicyStatus,s3:PutMultiRegionAccessPointPolicy)

    • AWS Savings Plans (savingsplans:*)

    • IAM-Identitätszentrum () sso:*

    • AWS Support App (supportapp:*)

    • Support Pläne () supportplans:*

    • AWS Nachhaltigkeit (sustainability:*)

    • AWS Resource Groups Tagging API (tag:GetResources)

    • AWS Marketplace Einblicke von Anbietern (vendor-insights:ListEntitledSecurityProfiles)

Proaktive Kontrollen von AWS Control Tower sind allgemein verfügbar

13. April 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

Die proaktiven Kontrollen von AWS Control Tower sind jetzt allgemein verfügbar. Proaktive Kontrollen helfen Ihnen dabei, bewährte Verfahren für Ihre AWS Ressourcen durchzusetzen. Weitere Informationen zu proaktiven Kontrollen finden Sie unter Proaktive Kontrollen.

Proaktive Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.