Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Januar — Dezember 2023

PDF
RSS
Fokusmodus
Januar — Dezember 2023 - AWS Control Tower
Übergang zum neuen AWS Service Catalog externen Produkttyp (Phase 3)AWS-Control-Tower-Landezone, Version 3.3Umstellung auf einen neuen AWS Service Catalog externen Produkttyp (Phase 2)AWS Control Tower kündigt Kontrollen zur Unterstützung der digitalen Souveränität anAWS Control Tower unterstützt die landing zone APIsAWS Control Tower unterstützt Tagging für aktivierte KontrollenAWS Control Tower in der Region Asien-Pazifik (Melbourne) verfügbarUmstellung auf den neuen AWS Service Catalog externen Produkttyp (Phase 1)Neue Kontroll-API verfügbarAWS Control Tower fügt zusätzliche Kontrollen hinzuEs wurde ein neuer Drift-Typ gemeldet: Vertrauenswürdiger Zugriff deaktiviertVier weitere AWS-RegionenAWS Control Tower in der Region Tel Aviv verfügbarAWS Control Tower führt 28 neue proaktive Kontrollen einAWS Control Tower lehnt zwei Kontrollen abAWS-Control-Tower-Landezone, Version 3.2AWS Control Tower verwaltet Konten auf der Grundlage von IDsZusätzliche Security Hub Hub-Detektivkontrollen sind in der AWS Control Tower Tower-Steuerungsbibliothek verfügbarAWS Control Tower veröffentlicht Tabellen mit KontrollmetadatenTerraform-Unterstützung für Account Factory CustomizationAWS IAM Identity Center-Selbstmanagement für die landing zone verfügbarAWS Control Tower befasst sich mit gemischter Governance für OUsZusätzliche proaktive Kontrollen verfügbarAktualisierte EC2 proaktive Kontrollen von AmazonSieben AWS-Regionen weitere verfügbar Rückverfolgung von Anfragen zur Kontoanpassung von Account Factory for Terraform (AFT) AWS-Control-Tower-Landezone, Version 3.1Proaktive Kontrollen sind allgemein verfügbar

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Im Jahr 2023 veröffentlichte AWS Control Tower die folgenden Updates:

Übergang zum neuen AWS Service Catalog externen Produkttyp (Phase 3)

14. Dezember 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower unterstützt Terraform Open Source nicht mehr als Produkttyp (Blueprint) bei der Erstellung neuer Produkte. AWS-Konten Weitere Informationen und Anweisungen zur Aktualisierung Ihrer Konto-Blueprints finden Sie unter Umstellung auf den AWS Service Catalog Produkttyp Extern.

Wenn Sie Ihre Konto-Blueprints nicht aktualisieren, um den Produkttyp Extern zu verwenden, können Sie nur Konten aktualisieren oder kündigen, die Sie mit Terraform Open Source-Blueprints bereitgestellt haben.

AWS-Control-Tower-Landezone, Version 3.3

14. Dezember 2023

(Für die AWS Control Tower landing zone ist ein Update auf Version 3.3 erforderlich. Weitere Informationen finden Sie unterAktualisiere deine landing zone).

Aktualisierungen der S3-Bucket-Richtlinie im AWS Control Tower Audit-Konto

Wir haben die Amazon S3 S3-Audit-Bucket-Richtlinie, die AWS Control Tower in Konten bereitstellt, geändert, sodass eine aws:SourceOrgID Bedingung für alle Schreibberechtigungen erfüllt sein muss. Mit dieser Version haben AWS Services nur dann Zugriff auf Ihre Ressourcen, wenn die Anfrage von Ihrer Organisation oder Organisationseinheit (OU) stammt.

Sie können den aws:SourceOrgID Bedingungsschlüssel verwenden und den Wert auf Ihre Organisations-ID im Bedingungselement Ihrer S3-Bucket-Richtlinie setzen. Diese Bedingung stellt sicher, dass CloudTrail nur Protokolle im Namen von Konten innerhalb Ihrer Organisation in Ihren S3-Bucket geschrieben werden können. Dadurch wird verhindert, dass CloudTrail Protokolle außerhalb Ihrer Organisation in Ihren AWS Control Tower S3-Bucket schreiben.

Wir haben diese Änderung vorgenommen, um eine potenzielle Sicherheitslücke zu beheben, ohne die Funktionalität Ihrer vorhandenen Workloads zu beeinträchtigen. Die aktualisierte Richtlinie finden Sie unter. Amazon S3 S3-Bucket-Richtlinie im Auditkonto

Weitere Informationen zum neuen Bedingungsschlüssel finden Sie in der IAM-Dokumentation und im IAM-Blogbeitrag mit dem Titel „Verwenden Sie skalierbare Kontrollen für AWS Dienste, die auf Ihre Ressourcen zugreifen“.

Aktualisierungen der Richtlinie im SNS-Thema AWS Config

Wir haben den neuen aws:SourceOrgID Bedingungsschlüssel zur Richtlinie für das AWS Config SNS-Thema hinzugefügt. Die aktualisierte Richtlinie finden Sie unter Die AWS Config SNS-Themenrichtlinie.

Aktualisierungen der Steuerung „Region Deny“ für die landing zone

  • Entferntdiscovery-marketplace:. Diese Maßnahme fällt unter die aws-marketplace:* Ausnahmeregelung.

  • quicksight:DescribeAccountSubscription hinzugefügt

AWS CloudFormation Vorlage wurde aktualisiert

Wir haben die AWS CloudFormation Vorlage für den genannten Stack BASELINE-CLOUDTRAIL-MASTER so aktualisiert, dass sie keine Drift zeigt, wenn keine AWS KMS Verschlüsselung verwendet wird.

Umstellung auf einen neuen AWS Service Catalog externen Produkttyp (Phase 2)

7. Dezember 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

HashiCorp hat ihre Terraform-Lizenzierung aktualisiert. Infolgedessen wurde die Unterstützung für Terraform Open Source-Produkte und bereitgestellte Produkte auf einen neuen Produkttyp namens External AWS Service Catalog umgestellt.

Um eine Unterbrechung der bestehenden Workloads und AWS Ressourcen in Ihren Konten zu vermeiden, folgen Sie bis zum 14. Dezember 2023 den Schritten zur Umstellung auf den Produkttyp AWS Service Catalog External auf AWS Control Tower.

AWS Control Tower kündigt Kontrollen zur Unterstützung der digitalen Souveränität an

27. November 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower kündigt 65 neue AWS verwaltete Kontrollen an, mit denen Sie Ihre Anforderungen an digitale Souveränität erfüllen können. Mit dieser Version können Sie diese Kontrollen unter einer neuen Gruppe für digitale Souveränität in der AWS Control Tower Tower-Konsole entdecken. Sie können diese Kontrollen verwenden, um Aktionen zu verhindern und Ressourcenänderungen in Bezug auf Datenresidenz, granulare Zugriffsbeschränkung, Verschlüsselung und Ausfallsicherheit zu erkennen. Diese Kontrollen sollen es Ihnen erleichtern, Anforderungen in großem Umfang zu erfüllen. Weitere Informationen zu Kontrollen der digitalen Souveränität finden Sie unter Kontrollen, die den Schutz der digitalen Souveränität verbessern.

Sie können sich beispielsweise dafür entscheiden, Kontrollen zu aktivieren, mit denen Sie Ihre Verschlüsselungs- und Ausfallsicherheitsstrategien durchsetzen können, wie z. B. Erfordern Sie, dass ein AWS AppSync API-Cache erforderlich ist, um die Verschlüsselung bei der Übertragung zu aktivieren, oder Erfordern, dass eine AWS Network Firewall in mehreren Availability Zones bereitgestellt wird. Sie können auch die AWS Control Tower Region Deny Control so anpassen, dass regionale Einschränkungen angewendet werden, die Ihren individuellen Geschäftsanforderungen am besten entsprechen.

Diese Version bietet deutlich verbesserte Funktionen zum Ablehnen von AWS Control Tower Region. Sie können eine neue, parametrisierte Regionsverweigerungskontrolle auf OU-Ebene anwenden, um die Granularität der Steuerung zu erhöhen und gleichzeitig zusätzliche Region-Governance auf Landing-Zone-Ebene beizubehalten. Diese anpassbare Regionsverweigerungssteuerung hilft Ihnen dabei, regionale Beschränkungen anzuwenden, die Ihren individuellen Geschäftsanforderungen am besten entsprechen. Weitere Informationen zur neuen, konfigurierbaren Regionsverweigerungssteuerung finden Sie unter Auf die Organisationseinheit angewendete Regionsverweigerungssteuerung.

Als neues Tool für die neue Erweiterung „Region Deny“ enthält diese Version eine neue APIUpdateEnabledControl, mit der Sie Ihre aktivierten Kontrollen auf die Standardeinstellungen zurücksetzen können. Diese API ist besonders hilfreich in Anwendungsfällen, in denen Sie Abweichungen schnell beheben oder programmgesteuert sicherstellen müssen, dass sich ein Steuerelement nicht im Drift-Zustand befindet. Weitere Informationen zur neuen API finden Sie in der AWS Control Tower API-Referenz

Neue proaktive Kontrollen

  • CT.APIGATEWAY.PR.6: Erfordert, dass eine Amazon API Gateway Gateway-REST-Domain eine Sicherheitsrichtlinie verwendet, die eine Mindestversion des TLS-Protokolls von TLSv1 .2 festlegt

  • CT.APPSYNC.PR.2: Erfordert, dass eine AWS AppSync GraphQL-API mit privater Sichtbarkeit konfiguriert wird

  • CT.APPSYNC.PR.3: Erfordert, dass eine AWS AppSync GraphQL-API nicht mit API-Schlüsseln authentifiziert ist

  • CT.APPSYNC.PR.4: Erfordert einen AWS AppSync GraphQL-API-Cache, um die Verschlüsselung bei der Übertragung zu aktivieren.

  • CT.APPSYNC.PR.5: Erfordert einen AWS AppSync GraphQL-API-Cache, um die Verschlüsselung im Ruhezustand zu aktivieren.

  • CT.AUTOSCALING.PR.9: Erfordert ein Amazon EBS-Volume, das über eine Amazon EC2 Auto Scaling Scaling-Startkonfiguration konfiguriert wurde, um Daten im Ruhezustand zu verschlüsseln

  • CT.AUTOSCALING.PR.10: Erfordert, dass eine Amazon EC2 Auto Scaling Scaling-Gruppe nur AWS Nitro-Instance-Typen verwendet, wenn eine Startvorlage überschrieben wird

  • CT.AUTOSCALING.PR.11: Erfordert, dass nur AWS Nitro-Instance-Typen, die die Verschlüsselung des Netzwerkverkehrs zwischen Instances unterstützen, zu einer Amazon EC2 Auto Scaling Scaling-Gruppe hinzugefügt werden, wenn eine Startvorlage überschrieben wird

  • CT.DAX.PR.3: Erfordert einen DynamoDB Accelerator-Cluster, um Daten während der Übertragung mit Transport Layer Security (TLS) zu verschlüsseln

  • CT.DMS.PR.2: Erfordert einen DMS-Endpunkt ( AWS Database Migration Service), um Verbindungen für Quell- und Zielendpunkte zu verschlüsseln

  • CT.EC2.PR.15: Erfordert, dass eine EC2 Amazon-Instance einen AWS Nitro-Instance-Typ verwendet, wenn sie aus dem AWS::EC2::LaunchTemplate Ressourcentyp erstellt

  • CT.EC2.PR.16: Erfordert, dass eine EC2 Amazon-Instance einen AWS Nitro-Instance-Typ verwendet, wenn sie mit dem AWS::EC2::Instance Ressourcentyp erstellt wurde

  • CT.EC2.PR.17: Für die Verwendung eines AWS-Nitro-Instance-Typs ist ein EC2 dedizierter Amazon-Host erforderlich

  • CT.EC2.PR.18: Erfordert, dass eine EC2 Amazon-Flotte nur die Startvorlagen mit AWS Nitro-Instance-Typen überschreibt

  • CT.EC2.PR.19: Erfordert, dass eine EC2 Amazon-Instance einen Nitro-Instance-Typ verwendet, der die Verschlüsselung während der Übertragung zwischen Instances unterstützt, wenn sie mit dem AWS::EC2::Instance Ressourcentyp erstellt wird

  • CT.EC2.PR.20: Erfordert, dass eine EC2 Amazon-Flotte nur die Startvorlagen mit AWS Nitro-Instance-Typen überschreibt, die die Verschlüsselung bei der Übertragung zwischen Instances unterstützen

  • CT.ELASTICACHE.PR.8: Für eine ElastiCache Amazon-Replikationsgruppe späterer Redis-Versionen muss die RBAC-Authentifizierung aktiviert sein

  • CT.MQ.PR.1: Erfordert, dass ein Amazon MQ ActiveMQ-Broker den Aktiv-/Standby-Bereitstellungsmodus für hohe Verfügbarkeit verwendet

  • CT.MQ.PR.2: Erfordert einen Amazon MQ Rabbit MQ-Broker, der den Multi-AZ-Clustermodus für hohe Verfügbarkeit verwendet

  • CT.MSK.PR.1: Erfordert einen Amazon Managed Streaming for Apache Kafka (MSK) -Cluster, um die Verschlüsselung bei der Übertragung zwischen Cluster-Broker-Knoten zu erzwingen

  • CT.MSK.PR.2: Erfordert die Konfiguration eines Amazon Managed Streaming for Apache Kafka (MSK) -Clusters mit deaktivierter Option PublicAccess

  • CT.NETWORK-FIREWALL.PR.5: Erfordert die Bereitstellung einer AWS Netzwerk-Firewall-Firewall in mehreren Availability Zones

  • CT.RDS.PR.26: Erfordert einen Amazon RDS-DB-Proxy, um Transport Layer Security (TLS) -Verbindungen zu benötigen

  • CT.RDS.PR.27: Erfordert eine Amazon RDS-DB-Cluster-Parametergruppe, die Transport Layer Security (TLS) -Verbindungen für unterstützte Engine-Typen erfordert

  • CT.RDS.PR.28: Erfordert eine Amazon RDS-DB-Parametergruppe, die Transport Layer Security (TLS) -Verbindungen für unterstützte Engine-Typen erfordert

  • CT.RDS.PR.29: Erfordert, dass ein Amazon RDS-Cluster nicht so konfiguriert ist, dass er über die Eigenschaft 'PubliclyAccessible' öffentlich zugänglich ist

  • CT.RDS.PR.30: Erfordert, dass für eine Amazon RDS-Datenbank-Instance die Verschlüsselung im Ruhezustand so konfiguriert ist, dass sie einen KMS-Schlüssel verwendet, den Sie für unterstützte Engine-Typen angeben

  • CT.S3.PR.12: Für einen Amazon S3 S3-Zugriffspunkt ist eine Block Public Access (BPA) -Konfiguration erforderlich, bei der alle Optionen auf true gesetzt sind

Neue präventive Kontrollen

  • CT.APPSYNC.PV.1 Erfordern, dass eine AWS AppSync GraphQL-API mit privater Sichtbarkeit konfiguriert ist

  • CT.EC2.PV.1 Erfordern, dass ein Amazon EBS-Snapshot aus einem verschlüsselten EC2 Volume erstellt wird

  • CT.EC2.PV.2 Erfordern, dass ein angehängtes Amazon EBS-Volume so konfiguriert ist, dass Daten im Ruhezustand verschlüsselt werden

  • CT.EC2.PV.3 Erfordern, dass ein Amazon EBS-Snapshot nicht öffentlich wiederherstellbar ist

  • CT.EC2.PV.4 Erfordern, dass Amazon EBS Direct nicht APIs aufgerufen wird

  • CT.EC2.PV.5 Die Verwendung von Amazon EC2 VM-Import und -Export verbieten

  • CT.EC2.PV.6 Die Verwendung veralteter Amazon- und API-Aktionen verbieten EC2 RequestSpotFleet RequestSpotInstances

  • CT.KMS.PV.1 Eine AWS KMS wichtige Richtlinie muss eine Erklärung enthalten, die die Gewährung von AWS KMS Zuschüssen auf Dienstleistungen beschränkt AWS

  • CT.KMS.PV.2 Erfordern, dass ein AWS KMS asymmetrischer Schlüssel mit RSA-Schlüsselmaterial, der für die Verschlüsselung verwendet wird, keine Schlüssellänge von 2048 Bit hat

  • CT.KMS.PV.3 Erfordern Sie, dass bei der Konfiguration eines AWS KMS Schlüssels die Sicherheitsüberprüfung zur Sperrung der Umgehungsrichtlinie aktiviert ist

  • CT.KMS.PV.4 Erfordern, dass ein AWS KMS vom Kunden verwalteter Schlüssel (CMK) mit Schlüsselmaterial konfiguriert ist, das von CloudHSM stammt AWS

  • CT.KMS.PV.5 Erfordern Sie, dass ein AWS KMS vom Kunden verwalteter Schlüssel (CMK) mit importiertem Schlüsselmaterial konfiguriert ist

  • CT.KMS.PV.6 Erfordern Sie, dass AWS KMS ein vom Kunden verwalteter Schlüssel (CMK) mit Schlüsselmaterial konfiguriert ist, das aus einem externen Schlüsselspeicher (XKS) stammt

  • CT.LAMBDA.PV.1 Für die Verwendung der IAM-basierten AWS Lambda Authentifizierung ist eine Funktions-URL erforderlich AWS

  • CT.LAMBDA.PV.2 Erfordern Sie, dass eine AWS Lambda Funktions-URL für den Zugriff nur durch Principals in Ihrem AWS-Konto

  • CT.MULTISERVICE.PV.1: Verweigern Sie den Zugriff auf AWS basierend auf der für eine Organisationseinheit angeforderten AWS-Region

Die neuen detektivischen Kontrollen, die Ihre Kontrolle über digitale Souveränität verbessern, sind Teil des AWS Security Hub Service-Managed Standard AWS Control Tower.

Neue detektivische Kontrollen

  • SH.ACM.2: Von ACM verwaltete RSA-Zertifikate sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

  • SH.AppSync.5: AWS AppSync GraphQL APIs sollte nicht mit API-Schlüsseln authentifiziert werden

  • SH.CloudTrail.6: Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist:

  • SH.DMS.9: DMS-Endpunkte sollten SSL verwenden

  • SH.DocumentDB.3: Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

  • SH.DynamoDB.3: DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

  • SH.EC2.23: EC2 Transit Gateways sollten VPC-Anhangsanfragen nicht automatisch akzeptieren

  • SH.EKS.1: EKS-Cluster-Endpunkte sollten nicht öffentlich zugänglich sein

  • SH.ElastiCache.3: Für ElastiCache Replikationsgruppen sollte automatisches Failover aktiviert sein

  • SH.ElastiCache.4: Für ElastiCache Replikationsgruppen hätte aktiviert werden müssen encryption-at-rest

  • SH.ElastiCache.5: ElastiCache Replikationsgruppen hätten encryption-in-transit aktiviert sein müssen

  • SH.ElastiCache.6: Für ElastiCache Replikationsgruppen früherer Redis-Versionen sollte Redis AUTH aktiviert sein

  • SH.EventBridge.3: An EventBridge benutzerdefinierte Event-Busse sollte eine ressourcenbasierte Richtlinie angehängt sein

  • SH.KMS.4: Die AWS KMS Schlüsselrotation sollte aktiviert sein

  • SH.Lambda.3: Lambda-Funktionen sollten sich in einer VPC befinden

  • SH.MQ.5: ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

  • SH.MQ.6: RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

  • SH.MSK.1: MSK-Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

  • SH.RDS.12: Die IAM-Authentifizierung sollte für RDS-Cluster konfiguriert werden

  • SH.RDS.15: RDS-DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

  • SH.S3.17: S3-Buckets sollten im Ruhezustand mit AWS KMS Schlüsseln verschlüsselt werden

Weitere Informationen zu den Kontrollen, die dem AWS Security Hub Service-Managed Standard AWS Control Tower hinzugefügt wurden, finden Sie in der Dokumentation unter Kontrollen, die für den AWS Security Hub Service-Managed Standard gelten: AWS Control Tower.

Eine Liste der Kontrollen AWS-Regionen , die Teil des AWS Security Hub Service-Managed Standard AWS Control Tower sind, nicht unterstützen, finden Sie unter Nicht unterstützte Regionen.

Neue konfigurierbare Steuerung für Regionsverweigerung auf OU-Ebene

CT.MULTISERVICE.PV.1: Dieses Steuerelement akzeptiert Parameter zur Angabe ausgenommener Regionen, IAM-Prinzipale und Aktionen, die auf OU-Ebene und nicht für die gesamte AWS Control Tower Tower-Landezone zulässig sind. Es handelt sich um eine präventive Kontrolle, die durch eine Service Control Policy (SCP) implementiert wird.

Weitere Informationen finden Sie unter Anwendung der auf die Organisationseinheit angewendeten Regionsverweigerungssteuerung.

Die UpdateEnabledControl-API

Diese AWS Control Tower Tower-Version bietet die folgende API-Unterstützung für Steuerungen:

  • Die aktualisierte EnableControl API kann konfigurierbare Steuerungen konfigurieren.

  • Die aktualisierte GetEnabledControl API zeigt die konfigurierten Parameter eines aktivierten Steuerelements an.

  • Die neue UpdateEnabledControl API kann die Parameter eines aktivierten Steuerelements ändern.

Weitere Informationen finden Sie in der AWS Control Tower API-Referenz.

AWS Control Tower unterstützt die landing zone APIs

26. November 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower unterstützt jetzt die Konfiguration und den Start von landing zone APIs. Sie können Landing Zones mithilfe von erstellen, aktualisieren, abrufen, auflisten, zurücksetzen und löschen APIs.

Mit den folgenden APIs Funktionen können Sie Ihre landing zone programmatisch einrichten und verwalten, indem Sie AWS CloudFormation oder das AWS CLI verwenden.

AWS Control Tower unterstützt Folgendes APIs für Landezonen:

  • CreateLandingZone— Dieser API-Aufruf erstellt eine landing zone mithilfe einer Landingzone-Version und einer Manifestdatei.

  • GetLandingZoneOperation— Dieser API-Aufruf gibt den Status einer angegebenen Landezonenoperation zurück.

  • GetLandingZone— Dieser API-Aufruf gibt Details zur angegebenen landing zone zurück, einschließlich Version, Manifestdatei und Status.

  • UpdateLandingZone— Dieser API-Aufruf aktualisiert die Landingzone-Version oder die Manifestdatei.

  • ListLandingZone— Dieser API-Aufruf gibt eine landing zone Identifier (ARN) für eine Landingzone-Einrichtung im Verwaltungskonto zurück.

  • ResetLandingZone— Dieser API-Aufruf setzt die landing zone auf die beim letzten Update angegebenen Parameter zurück, wodurch Drift behoben werden kann. Wenn die landing zone nicht aktualisiert wurde, setzt dieser Aufruf die landing zone auf die bei der Erstellung angegebenen Parameter zurück.

  • DeleteLandingZone—Dieser API-Aufruf setzt die landing zone außer Betrieb.

Informationen zu den ersten Schritten mit der landing zone APIs finden Sie unterErste Schritte mit AWS Control Tower mit APIs.

AWS Control Tower unterstützt Tagging für aktivierte Kontrollen

10. November 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower unterstützt jetzt das Ressourcen-Tagging für aktivierte Kontrollen über die AWS Control Tower Tower-Konsole oder über. APIs Sie können Tags für aktivierte Kontrollen hinzufügen, entfernen oder auflisten.

Mit der Veröffentlichung der folgenden Versionen können Sie Tags für die Kontrollen konfigurieren APIs, die Sie in AWS Control Tower aktivieren. Mithilfe von Tags können Sie Ressourcen verwalten, identifizieren, organisieren, suchen und filtern. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren.

AWS Control Tower unterstützt Folgendes APIs für das Kontroll-Tagging:

  • TagResource— Dieser API-Aufruf fügt Tags zu den in AWS Control Tower aktivierten Steuerelementen hinzu.

  • UntagResource— Dieser API-Aufruf entfernt Tags aus Steuerelementen, die in AWS Control Tower aktiviert sind.

  • ListTagsForResource— Dieser API-Aufruf gibt Tags für Kontrollen zurück, die in AWS Control Tower aktiviert sind.

AWS Control APIs Tower-Steuerungen sind dort verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine vollständige Liste der Länder, AWS-Regionen in denen AWS Control Tower verfügbar ist, finden Sie in der AWS Regionstabelle. Eine vollständige Liste von AWS Control Tower APIs finden Sie in der API-Referenz.

AWS Control Tower in der Region Asien-Pazifik (Melbourne) verfügbar

3. November 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower ist in der Region Asien-Pazifik (Melbourne) verfügbar.

Wenn Sie AWS Control Tower bereits verwenden und die Governance-Funktionen in Ihren Konten auf diese Region ausweiten möchten, gehen Sie in Ihrem AWS Control Tower Tower-Dashboard zur Seite Einstellungen, wählen Sie die Region aus und aktualisieren Sie dann Ihre landing zone. Nach einem landing zone Zone-Update müssen Sie alle Konten, die von AWS Control Tower verwaltet werden, aktualisieren, um Ihre Konten in der neuen Region OUs unter Kontrolle zu bringen. Weitere Informationen finden Sie unter Über Updates.

Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

Umstellung auf den neuen AWS Service Catalog externen Produkttyp (Phase 1)

31. Oktober 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

HashiCorp hat ihre Terraform-Lizenzierung aktualisiert. Infolgedessen wurde die Unterstützung für Terraform Open Source-Produkte und bereitgestellte Produkte auf einen neuen Produkttyp namens External AWS Service Catalog aktualisiert.

AWS Control Tower unterstützt keine Account Factory Factory-Anpassungen, die auf dem AWS Service Catalog externen Produkttyp basieren. Um eine Unterbrechung der bestehenden Workloads und AWS Ressourcen in Ihren Konten zu vermeiden, befolgen Sie die Schritte zur Umstellung auf AWS Control Tower bis zum 14. Dezember 2023 in dieser empfohlenen Reihenfolge:

  1. Aktualisieren Sie Ihre bestehende Terraform Reference Engine, sodass AWS Service Catalog sie Unterstützung sowohl für externe als auch für Terraform Open Source-Produkttypen bietet. Anweisungen zur Aktualisierung Ihrer Terraform Reference Engine finden Sie im Repository.AWS Service Catalog GitHub

  2. Gehen Sie zu allen vorhandenen Terraform Open Source-Blueprints AWS Service Catalog und duplizieren Sie sie, um den neuen externen Produkttyp zu verwenden. Beenden Sie nicht die vorhandenen Terraform Open Source-Blueprints.

  3. Verwenden Sie weiterhin Ihre vorhandenen Terraform Open Source-Blueprints, um Konten in AWS Control Tower zu erstellen oder zu aktualisieren.

Neue Kontroll-API verfügbar

14. Oktober 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower unterstützt jetzt eine zusätzliche API, mit der Sie Ihre AWS Control Tower Tower-Steuerungen in großem Umfang bereitstellen und verwalten können. Weitere Informationen zur AWS Control Tower Tower-Steuerung APIs finden Sie in der API-Referenz.

AWS Control Tower hat eine neue Kontroll-API hinzugefügt.

  • GetEnabledControl— Der API-Aufruf liefert Details zu einer aktivierten Steuerung.

Wir haben auch diese API aktualisiert:

ListEnabledControls— Dieser API-Aufruf listet die von AWS Control Tower für die angegebene Organisationseinheit aktivierten Kontrollen und die darin enthaltenen Konten auf. Es gibt jetzt zusätzliche Informationen in einem EnabledControlSummary Objekt zurück.

Mit diesen APIs können Sie mehrere gängige Operationen programmgesteuert ausführen. Zum Beispiel:

  • Rufen Sie eine Liste aller von Ihnen aktivierten Steuerungen aus der AWS Control Tower Tower-Steuerungsbibliothek ab.

  • Für jedes aktivierte Steuerelement können Sie Informationen über die Regionen abrufen, in denen das Steuerelement unterstützt wird, die Kennung (ARN) des Steuerelements, den Driftstatus des Steuerelements und die Statusübersicht des Steuerelements.

AWS Control APIs Tower-Steuerungen sind dort verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine vollständige Liste der Länder, AWS-Regionen in denen AWS Control Tower verfügbar ist, finden Sie in der AWS Regionstabelle. Eine vollständige Liste von AWS Control Tower APIs finden Sie in der API-Referenz.

AWS Control Tower fügt zusätzliche Kontrollen hinzu

5. Oktober 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower kündigt neue proaktive und detektive Kontrollen an.

Proaktive Kontrollen in AWS Control Tower werden mithilfe von AWS CloudFormation Hooks implementiert, die nicht konforme Ressourcen identifizieren und blockieren, bevor sie bereitgestellt AWS CloudFormation werden. Proaktive Kontrollen ergänzen die bestehenden präventiven und detektiven Kontrollfunktionen in AWS Control Tower.

Neue proaktive Kontrollen

  • [CT.ATHENA.PR.1] Erfordert eine Amazon Athena Athena-Arbeitsgruppe, um Athena-Abfrageergebnisse im Ruhezustand zu verschlüsseln

  • [CT.ATHENA.PR.2] Eine Amazon Athena Athena-Arbeitsgruppe auffordern, Athena-Abfrageergebnisse im Ruhezustand mit einem AWS Key Management Service (KMS-) Schlüssel zu verschlüsseln

  • [CT.CLOUDTRAIL.PR.4] Erfordert einen AWS CloudTrail Lake-Ereignisdatenspeicher, um die Verschlüsselung im Ruhezustand mit einem Schlüssel zu aktivieren AWS KMS

  • [CT.DAX.PR.2] Erfordert einen Amazon DAX-Cluster, um Knoten in mindestens drei Availability Zones bereitzustellen

  • [CT.EC2.PR.14] Erfordert ein Amazon EBS-Volume, das über eine EC2 Amazon-Startvorlage konfiguriert wurde, um Daten im Ruhezustand zu verschlüsseln

  • [CT.EKS.PR.2] Erfordert, dass ein Amazon EKS-Cluster mit geheimer Verschlüsselung mithilfe von AWS Key Management Service (KMS) -Schlüsseln konfiguriert wird

  • [CT.ELASTICLOADBALANCING.PR.14] Zonenübergreifendes Load Balancing muss über einen Network Load Balancer aktiviert sein

  • [CT.ELASTICLOADBALANCING.PR.15] Erfordern, dass eine Elastic Load Balancing v2-Zielgruppe den zonenübergreifenden Load Balancing nicht explizit deaktiviert

  • [CT.EMR.PR.1] Erfordern, dass eine Amazon EMR (EMR) -Sicherheitskonfiguration konfiguriert ist, um ruhende Daten in Amazon S3 zu verschlüsseln

  • [CT.EMR.PR.2] Erfordern, dass eine Amazon EMR (EMR) -Sicherheitskonfiguration so konfiguriert ist, dass ruhende Daten in Amazon S3 mit einem Schlüssel verschlüsselt werden AWS KMS

  • [CT.EMR.PR.3] Erfordern, dass eine Amazon EMR (EMR) -Sicherheitskonfiguration mit EBS-Volume und lokaler Festplattenverschlüsselung unter Verwendung eines Schlüssels konfiguriert ist AWS KMS

  • [CT.EMR.PR.4] Erfordern, dass eine Amazon EMR (EMR) -Sicherheitskonfiguration konfiguriert ist, um Daten während der Übertragung zu verschlüsseln

  • [CT.GLUE.PR.1] Erfordert, dass ein AWS Glue-Job über eine zugehörige Sicherheitskonfiguration verfügt

  • [CT.GLUE.PR.2] Erfordert eine AWS Glue-Sicherheitskonfiguration, um Daten in Amazon S3 S3-Zielen mithilfe von AWS KMS-Schlüsseln zu verschlüsseln

  • [CT.KMS.PR.2] Erfordern, dass ein AWS KMS asymmetrischer Schlüssel mit RSA-Schlüsselmaterial, der für die Verschlüsselung verwendet wird, eine Schlüssellänge von mehr als 2048 Bit hat

  • [CT.KMS.PR.3] Eine AWS KMS wichtige Richtlinie muss eine Erklärung enthalten, die die Gewährung von AWS KMS Zuschüssen auf Dienstleistungen beschränkt AWS

  • [CT.LAMBDA.PR.4] Sie benötigen eine AWS Lambda Ebenenberechtigung, um Zugriff auf eine AWS Organisation oder ein bestimmtes AWS Konto zu gewähren

  • [CT.LAMBDA.PR.5] Für die Verwendung der AWS IAM-basierten Authentifizierung ist eine AWS Lambda Funktions-URL erforderlich

  • [CT.LAMBDA.PR.6] Erfordert eine CORS-Richtlinie für AWS Lambda Funktions-URLs, um den Zugriff auf bestimmte Ursprünge zu beschränken

  • [CT.NEPTUNE.PR.4] Erfordert einen Amazon Neptune Neptune-DB-Cluster, um den CloudWatch Amazon-Protokollexport für Audit-Logs zu aktivieren

  • [CT.NEPTUNE.PR.5] Erfordern, dass ein Amazon Neptune Neptune-DB-Cluster einen Aufbewahrungszeitraum für Backups von mindestens sieben Tagen festlegt

  • [CT.REDSHIFT.PR.9] Erfordern, dass eine Amazon Redshift Redshift-Cluster-Parametergruppe für die Verwendung von Secure Sockets Layer (SSL) für die Verschlüsselung von Daten bei der Übertragung konfiguriert ist

Diese neuen proaktiven Kontrollen sind im Handel erhältlich AWS-Regionen , wo auch AWS Control Tower erhältlich ist. Weitere Informationen zu diesen Kontrollen finden Sie unter Proaktive Kontrollen. Weitere Informationen darüber, wo die Kontrollen verfügbar sind, finden Sie unter Einschränkungen der Steuerung.

Neue Detektivsteuerungen

Der Security Hub Service-Managed Standard: AWS Control Tower wurde um neue Kontrollen erweitert. Diese Kontrollen helfen Ihnen dabei, Ihre Unternehmensführung zu verbessern. Sie agieren als Teil des Security Hub Service-Managed Standard: AWS Control Tower, nachdem Sie sie auf einer bestimmten Organisationseinheit aktiviert haben.

  • [SH.Athena.1] Athena-Arbeitsgruppen sollten im Ruhezustand verschlüsselt sein

  • [SH.Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

  • [SH.Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

  • [SH.Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

  • [SH.Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

  • [SH.Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

  • [SH.Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

  • [SH.Neptune.7] Neptune-DB-Cluster sollten die IAM-Datenbankauthentifizierung aktiviert haben

  • [SH.Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

  • [SH.RDS.27] RDS-DB-Cluster sollten im Ruhezustand verschlüsselt werden

Die neuen AWS Security Hub Detective Controls sind in den meisten Ländern verfügbar, in AWS-Regionen denen AWS Control Tower verfügbar ist. Weitere Informationen zu diesen Kontrollen finden Sie unter Kontrollen, die für den Service-Managed Standard gelten: AWS Control Tower. Weitere Informationen darüber, wo die Kontrollen verfügbar sind, finden Sie unterEinschränkungen der Kontrolle.

Es wurde ein neuer Drift-Typ gemeldet: Vertrauenswürdiger Zugriff deaktiviert

21. September 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

Nachdem Sie Ihre AWS Control Tower-Landezone eingerichtet haben, können Sie den vertrauenswürdigen Zugriff auf AWS Control Tower in deaktivieren AWS Organizations. Dies führt jedoch zu Abweichungen.

Wenn der Drift-Typ Trusted Access deaktiviert ist, benachrichtigt Sie AWS Control Tower, wenn diese Art von Drift auftritt, sodass Sie Ihre AWS Control Tower Tower-Landezone reparieren können. Weitere Informationen finden Sie unter Arten von Abweichungen in der Unternehmensführung.

Vier weitere AWS-Regionen

13. September 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower ist jetzt im asiatisch-pazifischen Raum (Hyderabad), Europa (Spanien und Zürich) und im Nahen Osten (VAE) verfügbar.

Wenn Sie AWS Control Tower bereits verwenden und die Governance-Funktionen in Ihren Konten auf diese Region ausweiten möchten, gehen Sie in Ihrem AWS Control Tower Tower-Dashboard zur Seite Einstellungen, wählen Sie die Region aus und aktualisieren Sie dann Ihre landing zone. Nach einem landing zone Zone-Update müssen Sie alle Konten, die von AWS Control Tower verwaltet werden, aktualisieren, um Ihre Konten in der neuen Region OUs unter Kontrolle zu bringen. Weitere Informationen finden Sie unter Über Updates.

Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower in der Region Tel Aviv verfügbar

28. August 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower gibt die Verfügbarkeit in der Region Israel (Tel Aviv) bekannt.

Wenn Sie AWS Control Tower bereits verwenden und die Governance-Funktionen in Ihren Konten auf diese Region ausweiten möchten, gehen Sie in Ihrem AWS Control Tower Tower-Dashboard zur Seite Einstellungen, wählen Sie die Region aus und aktualisieren Sie dann Ihre landing zone. Nach einem landing zone Zone-Update müssen Sie alle Konten, die von AWS Control Tower verwaltet werden, aktualisieren, um Ihre Konten in der neuen Region OUs unter Kontrolle zu bringen. Weitere Informationen finden Sie unter Über Updates.

Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle.

AWS Control Tower führt 28 neue proaktive Kontrollen ein

24. Juli 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower fügt 28 neue proaktive Kontrollen hinzu, um Sie bei der Verwaltung Ihrer AWS Umgebung zu unterstützen.

Proaktive Kontrollen verbessern die Governance-Funktionen von AWS Control Tower in Ihren AWS Umgebungen mit mehreren Konten, indem nicht konforme Ressourcen blockiert werden, bevor sie bereitgestellt werden. Diese Steuerelemente helfen bei der Verwaltung von AWS Diensten wie Amazon CloudWatch, Amazon Neptune ElastiCache AWS Step Functions, Amazon und Amazon DocumentDB. Die neuen Kontrollen helfen Ihnen dabei, Kontrollziele wie die Einrichtung von Protokollierung und Überwachung, die Verschlüsselung ruhender Daten oder die Verbesserung der Ausfallsicherheit zu erreichen.

Im Folgenden finden Sie eine vollständige Liste der neuen Kontrollen:

  • [CT.APPSYNC.PR.1] Erfordert eine AWS AppSync GraphQL-API, um die Protokollierung zu aktivieren

  • [CT.CLOUDWATCH.PR.1] Für einen CloudWatch Amazon-Alarm muss eine Aktion für den Alarmstatus konfiguriert sein

  • [CT.CLOUDWATCH.PR.2] Erfordern, dass eine CloudWatch Amazon-Protokollgruppe mindestens ein Jahr lang aufbewahrt wird

  • [CT.CLOUDWATCH.PR.3] Erfordert, dass eine CloudWatch Amazon-Protokollgruppe im Ruhezustand mit einem KMS-Schlüssel verschlüsselt wird AWS

  • [CT.CLOUDWATCH.PR.4] Erfordert die Aktivierung einer Amazon-Alarmaktion CloudWatch

  • [CT.DOCUMENTDB.PR.1] Erfordert, dass ein Amazon DocumentDB-Cluster im Ruhezustand verschlüsselt wird

  • [CT.DOCUMENTDB.PR.2] Für einen Amazon DocumentDB-Cluster müssen automatische Backups aktiviert sein

  • [CT.DYNAMODB.PR.2] Erfordert, dass eine Amazon DynamoDB-Tabelle im Ruhezustand mithilfe von Schlüsseln verschlüsselt wird AWS KMS

  • [CT. EC2.PR.13] Für eine EC2 Amazon-Instance muss die detaillierte Überwachung aktiviert sein

  • [CT.EKS.PR.1] Erfordert die Konfiguration eines Amazon EKS-Clusters mit deaktiviertem öffentlichen Zugriff auf den Cluster-Kubernetes-API-Serverendpunkt

  • [CT.ELASTICACHE.PR.1] Für einen Amazon ElastiCache for Redis-Cluster müssen automatische Backups aktiviert sein

  • [CT.ELASTICACHE.PR.2] Für einen Amazon ElastiCache for Redis-Cluster müssen automatische Upgrades für kleinere Versionen aktiviert sein

  • [CT.ELASTICACHE.PR.3] Für eine Amazon ElastiCache for Redis-Replikationsgruppe muss der automatische Failover aktiviert sein

  • [CT.ELASTICACHE.PR.4] Für eine ElastiCache Amazon-Replikationsgruppe muss die Verschlüsselung im Ruhezustand aktiviert sein

  • [CT.ELASTICACHE.PR.5] Für eine Amazon ElastiCache for Redis-Replikationsgruppe muss die Verschlüsselung bei der Übertragung aktiviert sein

  • [CT.ELASTICACHE.PR.6] Erfordert einen ElastiCache Amazon-Cache-Cluster, um eine benutzerdefinierte Subnetzgruppe zu verwenden

  • [CT.ELASTICACHE.PR.7] Erfordert, dass eine ElastiCache Amazon-Replikationsgruppe früherer Redis-Versionen über die Redis-AUTH-Authentifizierung verfügt

  • [CT.ELASTICBEANSTALK.PR.3] Für eine AWS Elastic Beanstalk Beanstalk-Umgebung ist eine Logging-Konfiguration erforderlich

  • [CT.LAMBDA.PR.3] Eine AWS Lambda Funktion muss sich in einer vom Kunden verwalteten Amazon Virtual Private Cloud (VPC) befinden

  • [CT.NEPTUNE.PR.1] Erfordert, dass ein Amazon Neptune Neptune-DB-Cluster über eine (IAM) -Datenbankauthentifizierung verfügt AWS Identity and Access Management

  • [CT.NEPTUNE.PR.2] Für einen Amazon Neptune Neptune-DB-Cluster muss der Löschschutz aktiviert sein

  • [CT.NEPTUNE.PR.3] Für einen Amazon Neptune Neptune-DB-Cluster muss die Speicherverschlüsselung aktiviert sein

  • [CT.REDSHIFT.PR.8] Erfordert die Verschlüsselung eines Amazon Redshift Redshift-Clusters

  • [CT.S3.PR.9] Erfordert, dass für einen Amazon S3 S3-Bucket S3 Object Lock aktiviert ist

  • [CT.S3.PR.10] Für einen Amazon S3-Bucket muss die serverseitige Verschlüsselung mithilfe von Schlüsseln konfiguriert sein AWS KMS

  • [CT.S3.PR.11] Für einen Amazon S3 S3-Bucket muss die Versionierung aktiviert sein

  • [CT.STEPFUNCTIONS.PR.1] Erfordert, dass auf einer Zustandsmaschine die Protokollierung aktiviert ist AWS Step Functions

  • [CT.STEPFUNCTIONS.PR.2] Für eine Zustandsmaschine muss die Ablaufverfolgung aktiviert sein AWS Step Functions AWS X-Ray

Proaktive Kontrollen in AWS Control Tower werden mithilfe von AWS CloudFormation Hooks implementiert, die nicht konforme Ressourcen identifizieren und blockieren, bevor sie bereitgestellt AWS CloudFormation werden. Proaktive Kontrollen ergänzen die bestehenden präventiven und detektiven Kontrollfunktionen in AWS Control Tower.

Diese neuen proaktiven Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Weitere Informationen zu diesen Kontrollen finden Sie unter Proaktive Kontrollen.

AWS Control Tower lehnt zwei Kontrollen ab

18. Juli 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower führt regelmäßige Überprüfungen seiner Sicherheitskontrollen durch, um sicherzustellen, dass sie auf dem neuesten Stand sind und weiterhin als bewährte Methoden gelten. Die folgenden beiden Kontrollen sind seit dem 18. Juli 2023 veraltet und werden mit Wirkung zum 18. August 2023 aus der Kontrollbibliothek entfernt. Sie können diese Steuerungen für keine Organisationseinheiten mehr aktivieren. Sie können sich dafür entscheiden, diese Steuerungen vor dem Entfernungsdatum zu deaktivieren.

  • [SH.S3.4] Bei S3-Buckets sollte die serverseitige Verschlüsselung aktiviert sein

  • [CT.S3.PR.7] Für einen Amazon S3-Bucket muss die serverseitige Verschlüsselung konfiguriert sein

Grund für die Ablehnung

Ab Januar 2023 konfigurierte Amazon S3 die Standardverschlüsselung für alle neuen und vorhandenen unverschlüsselten Buckets, um serverseitige Verschlüsselung mit verwalteten S3-Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für neue Objekte anzuwenden, die in diese Buckets hochgeladen wurden. Es wurden keine Änderungen an der Standardverschlüsselungskonfiguration für einen vorhandenen Bucket vorgenommen, für den bereits SSE-S3 oder serverseitige Verschlüsselung mit AWS Key Management Service (KMS) -Schlüsseln (SSE-KMS) konfiguriert war.AWS

AWS-Control-Tower-Landezone, Version 3.2

16. Juni 2023

(Für die AWS Control Tower landing zone ist ein Update auf Version 3.2 erforderlich. Weitere Informationen finden Sie unterAktualisiere deine landing zone).

Mit Version 3.2 der AWS Control Tower landing zone sind die Kontrollen, die Teil des AWS Security Hub Service-Managed Standard: AWS Control Tower sind, jetzt allgemein verfügbar. Es bietet die Möglichkeit, den Drift-Status von Kontrollen, die Teil dieses Standards sind, in der AWS Control Tower-Konsole einzusehen.

Dieses Update beinhaltet eine neue Service-Linked Role (SLR), den AWSService RoleFor AWSControl Tower. Diese Rolle unterstützt AWS Control Tower bei der Erstellung einer EventBridge verwalteten Regel, die AWSControlTowerManagedRulein jedem Mitgliedskonto so genannt wird. Diese verwaltete Regel sammelt AWS Security Hub Findereignisse, anhand derer mithilfe von AWS Control Tower Kontrollabweichungen festgestellt werden können.

Diese Regel ist die erste verwaltete Regel, die von AWS Control Tower erstellt wurde. Die Regel wird nicht von einem Stack bereitgestellt, sondern direkt von EventBridge APIs. Sie können die Regel in der EventBridge Konsole oder mit dem anzeigen EventBridge APIs. Wenn das managed-by Feld ausgefüllt ist, wird der AWS Control Tower Service Principal angezeigt.

Zuvor hatte AWS Control Tower die AWSControlTowerExecutionRolle übernommen, Operationen in Mitgliedskonten durchzuführen. Diese neue Rolle und Regel entsprechen besser dem Best-Practice-Prinzip, bei der Ausführung von Vorgängen in einer AWS Umgebung mit mehreren Konten die geringsten Rechte zuzulassen. Die neue Rolle bietet spezielle Berechtigungen, die Folgendes ermöglichen: die Erstellung der verwalteten Regel in Mitgliedskonten, die Verwaltung der verwalteten Regel, die Veröffentlichung von Sicherheitsbenachrichtigungen über SNS und die Überprüfung von Abweichungen. Weitere Informationen finden Sie unter AWSServiceRoleForAWSControlTurm.

Das landing zone 3.2-Update enthält auch eine neue StackSet Ressource im VerwaltungskontoBP_BASELINE_SERVICE_LINKED_ROLE, das zunächst die dienstverknüpfte Rolle bereitstellt.

Wenn eine Abweichung der Security Hub-Kontrolle gemeldet wird (in der landing zone 3.2 und höher), erhält AWS Control Tower täglich ein Status-Update von Security Hub. Obwohl die Kontrollen in jeder kontrollierten Region aktiv sind, sendet AWS Control Tower die AWS Security Hub Finding-Ereignisse nur an die AWS Control Tower Tower-Heimatregion. Weitere Informationen finden Sie unter Berichterstattung über Kontrollabweichungen in Security Hub.

Update zur Steuerung „Region Deny“

Diese landing zone Zone-Version beinhaltet auch ein Update für die Steuerung „Region Deny“.

Globale Dienste und APIs hinzugefügt

  • AWS Billing and Cost Management (billing:*)

  • AWS CloudTrail (cloudtrail:LookupEvents) um die Sichtbarkeit globaler Ereignisse in den Mitgliedskonten zu ermöglichen.

  • AWS Konsolidierte Abrechnung (consolidatedbilling:*)

  • AWS Mobile Anwendung der Managementkonsole (consoleapp:*)

  • AWS Kostenloses Kontingent (freetier:*)

  • AWS Invoicing (invoicing:*)

  • AWS IQ (iq:*)

  • AWS Benutzerbenachrichtigungen (notifications:*)

  • AWS Benutzerbenachrichtigungen Kontakte (notifications-contacts:*)

  • Amazon Payments (payments:*)

  • AWS Steuereinstellungen (tax:*)

Globale Dienste und APIs entfernt

  • Wurde entfernts3:GetAccountPublic, weil es sich nicht um eine gültige Aktion handelt.

  • Wurde entfernts3:PutAccountPublic, weil es sich nicht um eine gültige Aktion handelt.

AWS Control Tower verwaltet Konten auf der Grundlage von IDs

14. Juni 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower erstellt und verwaltet jetzt Konten, die Sie in Account Factory erstellen, indem die AWS Konto-ID und nicht die E-Mail-Adresse des Kontos verfolgt wird.

Bei der Bereitstellung eines Kontos muss der Kontoanforderer immer über die CreateAccount und die DescribeCreateAccountStatus entsprechenden Berechtigungen verfügen. Dieser Berechtigungssatz ist Teil der Administratorrolle und wird automatisch vergeben, wenn ein Anforderer die Administratorrolle übernimmt. Wenn Sie die Erlaubnis zur Bereitstellung von Konten delegieren, müssen Sie diese Berechtigungen möglicherweise direkt für die Kontoanforderer hinzufügen.

Zusätzliche Security Hub Hub-Detektivkontrollen sind in der AWS Control Tower Tower-Steuerungsbibliothek verfügbar

12. Juni 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower hat der Kontrollbibliothek von AWS Control Tower zehn neue AWS Security Hub Detective Controls hinzugefügt. Diese neuen Kontrollen zielen auf Dienste wie API Gateway AWS CodeBuild, Amazon Elastic Compute Cloud (EC2), Amazon Elastic Load Balancer, Amazon Redshift, Amazon SageMaker AI und ab. AWS WAF Diese neuen Kontrollen helfen Ihnen dabei, Ihre Governance-Position zu verbessern, indem sie Kontrollziele wie Protokollierung und Überwachung einrichten, Netzwerkzugriff einschränken und Daten im Ruhezustand verschlüsseln erfüllen.

Diese Kontrollen sind Teil des Security Hub Service-Managed Standard: AWS Control Tower, nachdem Sie sie auf einer bestimmten Organisationseinheit aktiviert haben.

  • [sh.Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

  • [SH. APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

  • [SH. APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert werden

  • [SH. CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

  • [SH. EC2.25] EC2 Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

  • [SH.ELB.1] Application Load Balancer sollte so konfiguriert sein, dass alle HTTP-Anfragen an HTTPS umgeleitet werden

  • [sh.RedShift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

  • [SH. SageMaker.2] SageMaker KI-Notebook-Instances sollten in einer benutzerdefinierten VPC gestartet werden

  • [SH. SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker KI-Notebook-Instanzen haben

  • [SH.WAF.10] Eine WAFV2 Web-ACL sollte mindestens eine Regel oder Regelgruppe haben

Die neuen AWS Security Hub Detective Controls sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Weitere Informationen zu diesen Kontrollen finden Sie unter Kontrollen, die für den Service-Managed Standard gelten: AWS Control Tower.

AWS Control Tower veröffentlicht Tabellen mit Kontrollmetadaten

7. Juni 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower bietet jetzt vollständige Tabellen mit Kontrollmetadaten als Teil der veröffentlichten Dokumentation. Wenn Sie mit dem Steuerelement arbeiten APIs, können Sie den API ControlIdentifier jedes Steuerelements nachschlagen, bei dem es sich um einen eindeutigen ARN handelt, der jedem Steuerelement zugeordnet ist. AWS-Region Die Tabellen enthalten die Rahmenbedingungen und Kontrollziele, die jede Kontrolle abdeckt. Bisher waren diese Informationen nur in der Konsole verfügbar.

Die Tabellen enthalten auch die Metadaten für Security Hub-Steuerelemente, die Teil des AWS Security Hub Service-Managed Standard:AWS Control Tower sind. Vollständige Informationen finden Sie unter Tabellen mit Kontrollmetadaten.

Eine verkürzte Liste von Kontrollbezeichnern und einige Anwendungsbeispiele finden Sie unter Ressourcen-Identifikatoren für APIs und Steuerelemente.

Terraform-Unterstützung für Account Factory Customization

6. Juni 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower bietet über Account Factory Customization (AFC) Support für eine einzelne Region für Terraform. Ab dieser Version können Sie AWS Control Tower und Service Catalog zusammen verwenden, um AFC-Konto-Blueprints in Terraform Open Source zu definieren. Sie können Ihre neuen und vorhandenen Ressourcen anpassen AWS-Konten, bevor Sie Ressourcen in AWS Control Tower bereitstellen. Standardmäßig können Sie mit dieser Funktion Konten mit Terraform in Ihrer AWS Control Tower Tower-Heimatregion bereitstellen und aktualisieren.

Ein Konto-Blueprint beschreibt die spezifischen Ressourcen und Konfigurationen, die bei der Bereitstellung eines AWS-Konto Kontos erforderlich sind. Sie können den Blueprint als Vorlage verwenden, um mehrere AWS-Konten Blueprints in großem Maßstab zu erstellen.

Verwenden Sie zunächst die Terraform Reference Engine auf. GitHub Die Reference Engine konfiguriert den Code und die Infrastruktur, die erforderlich sind, damit die Terraform Open Source Engine mit Service Catalog funktioniert. Dieser einmalige Einrichtungsvorgang dauert einige Minuten. Danach können Sie Ihre benutzerdefinierten Kontoanforderungen in Terraform definieren und dann Ihre Konten mit dem genau definierten AWS Control Tower Account Factory-Workflow bereitstellen. Kunden, die lieber mit Terraform arbeiten, können die AWS Control Tower Tower-Kontoanpassung mit AFC in großem Umfang nutzen und erhalten nach der Bereitstellung sofort Zugriff auf jedes Konto.

Informationen zum Erstellen dieser Anpassungen finden Sie unter Produkte erstellen und Erste Schritte mit Terraform Open Source in der Service Catalog-Dokumentation. Diese Funktion ist überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist.

AWS IAM Identity Center-Selbstmanagement für die landing zone verfügbar

6. Juni 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower unterstützt jetzt eine optionale Auswahl eines Identitätsanbieters für eine AWS Control Tower Tower-Landezone, die Sie während der Einrichtung oder Aktualisierung konfigurieren können. Standardmäßig ist die landing zone für die Verwendung von AWS IAM Identity Center aktiviert. Dies entspricht den unter Organizing Your AWS Environment Using Multiple Accounts definierten Best-Practices-Richtlinien. Sie haben jetzt drei Alternativen:

  • Sie können die Standardeinstellung akzeptieren und AWS Control Tower erlauben, AWS IAM Identity Center für Sie einzurichten und zu verwalten.

  • Sie können sich dafür entscheiden, das AWS IAM Identity Center selbst zu verwalten, um Ihren spezifischen Geschäftsanforderungen gerecht zu werden.

  • Sie können optional einen externen Identitätsanbieter hinzuziehen und diesen selbst verwalten, indem Sie ihn bei Bedarf über IAM Identity Center verbinden. Sie sollten die Option eines Identitätsanbieters verwenden, wenn Ihr regulatorisches Umfeld die Verwendung eines bestimmten Anbieters erfordert oder wenn Sie in einem Land tätig sind, in AWS-Regionen dem AWS IAM Identity Center nicht verfügbar ist.

Weitere Informationen finden Sie unter Anleitung zum IAM Identity Center.

Die Auswahl von Identitätsanbietern auf Kontoebene wird nicht unterstützt. Diese Funktion gilt nur für die gesamte landing zone. Die Option eines AWS Control Tower-Identitätsanbieters ist überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist.

AWS Control Tower befasst sich mit gemischter Governance für OUs

1. Juni 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

Mit dieser Version verhindert AWS Control Tower, dass Kontrollen in einer Organisationseinheit (OU) bereitgestellt werden, wenn sich diese OU in einem gemischten Governance-Status befindet. Eine gemischte Governance tritt in einer Organisationseinheit auf, wenn Konten nicht aktualisiert werden, nachdem AWS Control Tower die Governance auf eine neue AWS-Region erweitert oder die Governance aufgehoben hat. Diese Version hilft Ihnen dabei, die Einhaltung einheitlicher Vorschriften für die Mitgliedskonten dieser Organisationseinheit zu gewährleisten. Weitere Informationen finden Sie unter Vermeiden Sie gemischte Verwaltungsstrukturen bei der Konfiguration von Regionen.

Zusätzliche proaktive Kontrollen verfügbar

19. Mai 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower fügt 28 neue proaktive Kontrollen hinzu, die Sie bei der Verwaltung Ihrer Umgebung mit mehreren Konten und der Erfüllung bestimmter Kontrollziele unterstützen, wie z. B. Datenverschlüsselung im Ruhezustand oder Beschränkung des Netzwerkzugriffs. Proaktive Kontrollen werden mit AWS CloudFormation Hooks implementiert, die Ihre Ressourcen überprüfen, bevor sie bereitgestellt werden. Die neuen Kontrollen können bei der Steuerung von AWS Diensten wie Amazon OpenSearch Service, Amazon EC2 Auto Scaling, Amazon SageMaker AI, Amazon API Gateway und Amazon Relational Database Service (RDS) helfen.

Proaktive Kontrollen werden in allen Geschäften unterstützt AWS-Regionen , in denen AWS Control Tower verfügbar ist.

OpenSearch Amazon-Dienst

  • [CT.OPENSEARCH.PR.1] Sie benötigen eine Elasticsearch-Domain, um Daten im Ruhezustand zu verschlüsseln

  • [CT.OPENSEARCH.PR.2] Erfordert, dass eine Elasticsearch-Domain in einer benutzerdefinierten Amazon-VPC erstellt wird

  • [CT.OPENSEARCH.PR.3] Erfordert eine Elasticsearch-Domain, um zwischen Knoten gesendete Daten zu verschlüsseln

  • [CT.OPENSEARCH.PR.4] Erfordert eine Elasticsearch-Domain, um Fehlerprotokolle an Amazon Logs zu senden CloudWatch

  • [CT.OPENSEARCH.PR.5] Erfordert eine Elasticsearch-Domain, um Audit-Logs an Amazon Logs zu senden CloudWatch

  • [CT.OPENSEARCH.PR.6] Eine Elasticsearch-Domain muss über Zonenerkennung und mindestens drei Datenknoten verfügen

  • [CT.OPENSEARCH.PR.7] Eine Elasticsearch-Domain muss mindestens drei dedizierte Master-Knoten haben

  • [CT.OPENSEARCH.PR.8] Für die Verwendung ist eine Elasticsearch Service-Domain erforderlich. TLSv1

  • [CT.OPENSEARCH.PR.9] Erfordert eine Amazon OpenSearch Service-Domain, um Daten im Ruhezustand zu verschlüsseln

  • [CT.OPENSEARCH.PR.10] Erfordert, dass eine Amazon OpenSearch Service-Domain in einer benutzerdefinierten Amazon VPC erstellt wird

  • [CT.OPENSEARCH.PR.11] Erfordert eine Amazon OpenSearch Service-Domain, um zwischen Knoten gesendete Daten zu verschlüsseln

  • [CT.OPENSEARCH.PR.12] Erfordert eine Amazon OpenSearch Service-Domain, um Fehlerprotokolle an Amazon Logs zu senden CloudWatch

  • [CT.OPENSEARCH.PR.13] Erfordert eine Amazon OpenSearch Service-Domain, um Audit-Logs an Amazon Logs zu senden CloudWatch

  • [CT.OPENSEARCH.PR.14] Erfordert, dass eine Amazon OpenSearch Service-Domain über Zone Awareness und mindestens drei Datenknoten verfügt

  • [CT.OPENSEARCH.PR.15] Erfordert eine Amazon OpenSearch Service-Domain, um eine differenzierte Zugriffskontrolle zu verwenden

  • [CT.OPENSEARCH.PR.16] Für die Verwendung ist eine Amazon Service-Domain erforderlich. 2. OpenSearch TLSv1

Amazon EC2 Auto Scaling

  • [CT.AUTOSCALING.PR.1] Eine Amazon EC2 Auto Scaling-Gruppe muss über mehrere Availability Zones verfügen

  • [CT.AUTOSCALING.PR.2] Erfordert eine Amazon EC2 Auto Scaling Scaling-Gruppenstartkonfiguration, um Amazon-Instances zu konfigurieren für EC2 IMDSv2

  • [CT.AUTOSCALING.PR.3] Eine Amazon EC2 Auto Scaling-Startkonfiguration erfordert ein Antwortlimit für Single-Hop-Metadaten

  • [CT.AUTOSCALING.PR.4] Für eine Amazon EC2 Auto Scaling-Gruppe, die einem Amazon Elastic Load Balancing (ELB) zugeordnet ist, müssen ELB-Zustandsprüfungen aktiviert sein

  • [CT.AUTOSCALING.PR.5] Erfordern, dass eine Amazon EC2 Auto Scaling Scaling-Gruppenstartkonfiguration keine Amazon-Instances mit öffentlichen IP-Adressen hat EC2

  • [CT.AUTOSCALING.PR.6] Erfordern, dass alle Amazon EC2 Auto Scaling Scaling-Gruppen mehrere Instance-Typen verwenden

  • [CT.AUTOSCALING.PR.8] Für eine Amazon EC2 Auto Scaling Scaling-Gruppe müssen Startvorlagen konfiguriert sein EC2

Amazon SageMaker KI

  • [CT.SAGEMAKER.PR.1] Erfordert eine Amazon SageMaker AI-Notebook-Instance, um direkten Internetzugang zu verhindern

  • [CT.SAGEMAKER.PR.2] Erfordert, dass Amazon SageMaker AI-Notebook-Instances in einer benutzerdefinierten Amazon VPC bereitgestellt werden

  • [CT.SAGEMAKER.PR.3] Erfordert, dass für Amazon SageMaker AI-Notebook-Instances der Root-Zugriff verweigert wird

Amazon API Gateway

  • [CT.APIGATEWAY.PR.5] Erfordert Amazon API Gateway V2 Websocket- und HTTP-Routen, um einen Autorisierungstyp anzugeben

Amazon Relational Database Service (RDS)

  • [CT.RDS.PR.25] Für einen Amazon RDS-Datenbankcluster muss die Protokollierung konfiguriert sein

Weitere Informationen finden Sie unter Proaktive Kontrollen.

Aktualisierte EC2 proaktive Kontrollen von Amazon

2. Mai 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower hat zwei proaktive Kontrollen aktualisiert: CT.EC2.PR.3 and CT.EC2.PR.4.

Für das aktualisierte CT.EC2.PR.3 Steuerung: Jede AWS CloudFormation Bereitstellung, die auf eine Präfixliste für eine Sicherheitsgruppenressource verweist, wird für die Bereitstellung gesperrt, sofern sie nicht für Port 80 oder 443 bestimmt ist.

Für das aktualisierte CT.EC2.PR.4 Steuerung: Jede AWS CloudFormation Bereitstellung, die auf eine Präfixliste für eine Sicherheitsgruppenressource verweist, wird blockiert, wenn der Port 3389, 20, 23, 110, 143, 3306, 8080, 1433, 9200, 9300, 25, 445, 135, 21, 1434, 4333, 5432, 5500, 5601, 22, 3000, 5000, 8088, 8888 lautet.

Sieben AWS-Regionen weitere verfügbar

19. April 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

AWS Control Tower ist jetzt in sieben weiteren Ländern verfügbar AWS-Regionen: Nordkalifornien (San Francisco), Asien-Pazifik (Hongkong, Jakarta und Osaka), Europa (Mailand), Naher Osten (Bahrain) und Afrika (Kapstadt). Diese zusätzlichen Regionen für AWS Control Tower, sogenannte Opt-in-Regionen, sind standardmäßig nicht aktiv, mit Ausnahme der Region USA West (Nordkalifornien), die standardmäßig aktiv ist.

Einige Kontrollen in AWS Control Tower funktionieren in einigen dieser zusätzlichen Bereiche, in AWS-Regionen denen AWS Control Tower verfügbar ist, nicht, da diese Regionen die erforderlichen Basisfunktionen nicht unterstützen. Details hierzu finden Sie unter Einschränkungen der Kontrolle.

Unter diesen neuen Regionen ist cFCT im asiatisch-pazifischen Raum (Jakarta und Osaka) nicht verfügbar. Die Verfügbarkeit in anderen Ländern AWS-Regionen ist unverändert.

Weitere Informationen darüber, wie AWS Control Tower die Einschränkungen von Regionen und Kontrollen verwaltet, finden Sie unterÜberlegungen zur Aktivierung von AWS Opt-in-Regionen.

Die von AFT benötigten VPCe Endpunkte sind in der Region Naher Osten (Bahrain) nicht verfügbar. Kunden, die AFT in dieser Region einsetzen, müssen die Bereitstellung mit dem Parameter aft_vpc_endpoints=false durchführen. Weitere Informationen finden Sie in dem Parameter in der README-Datei.

AWS Control Tower VPCs verfügt aufgrund einer Beschränkung bei Amazon über zwei Availability Zones in der Region USA West (Nordkalifornien) EC2. us-west-1 In den USA West (Nordkalifornien) sind sechs Subnetze auf zwei Availability Zones aufgeteilt. Weitere Informationen finden Sie unter Überblick über AWS Control Tower und VPCs.

AWS Control Tower hat neue Berechtigungen hinzugefügtAWSControlTowerServiceRolePolicy, die es AWS Control Tower ermöglichen EnableRegionListRegions, Anrufe an den und durch den AWS Account Management Service GetRegionOptStatus APIs implementierten Service zu tätigen, um diese zusätzlich für Ihre gemeinsamen Konten in der landing zone (Verwaltungskonto, Protokollarchivkonto, Auditkonto) und Ihre OU-Mitgliedskonten AWS-Regionen verfügbar zu machen. Weitere Informationen finden Sie unter Verwaltete Richtlinien für AWS Control Tower.

Rückverfolgung von Anfragen zur Kontoanpassung von Account Factory for Terraform (AFT)

16. Februar 2023

AFT unterstützt die Rückverfolgung von Anfragen zur Kontoanpassung. Jedes Mal, wenn Sie eine Anfrage zur Kontoanpassung einreichen, generiert AFT ein eindeutiges Ablaufverfolgungstoken, das einen AWS Step Functions AFT-Anpassungsstatuscomputer durchläuft, der das Token im Rahmen seiner Ausführung protokolliert. Sie können Amazon CloudWatch Logs Insights-Abfragen verwenden, um Zeitstempelbereiche zu durchsuchen und das Anforderungstoken abzurufen. Dadurch können Sie die Payloads sehen, die dem Token beiliegen, sodass Sie Ihre Anfrage zur Kontoanpassung während des gesamten AFT-Workflows verfolgen können. Weitere Informationen zu AFT finden Sie unter Überblick über AWS Control Tower Account Factory for Terraform. Informationen zu CloudWatch Logs und Step Functions finden Sie im Folgenden:

AWS-Control-Tower-Landezone, Version 3.1

9. Februar 2023

(Für die AWS Control Tower landing zone ist ein Update auf Version 3.1 erforderlich. Weitere Informationen finden Sie unterAktualisiere deine landing zone)

Die AWS Control Tower landing zone Version 3.1 beinhaltet die folgenden Updates:

  • Mit dieser Version deaktiviert AWS Control Tower die unnötige Zugriffsprotokollierung für Ihren Access Logging Bucket, den Amazon S3 S3-Bucket, in dem Zugriffsprotokolle im Log Archive-Konto gespeichert werden, während die Serverzugriffsprotokollierung für S3-Buckets weiterhin aktiviert wird. Diese Version enthält auch Aktualisierungen der Steuerung „Region Deny“, die zusätzliche Aktionen für globale Dienste wie Support Pläne und ermöglichen. AWS Artifact

  • Die Deaktivierung der Serverzugriffsprotokollierung für den Access Logging Bucket von AWS Control Tower veranlasst Security Hub, einen Befund für den Access Logging Bucket des Log-Archive-Kontos zu erstellen. Aufgrund einer AWS Security Hub Regel sollte die [S3.9] S3-Bucket-Serverzugriffsprotokollierung aktiviert sein. In Übereinstimmung mit Security Hub empfehlen wir, dass Sie dieses spezielle Ergebnis unterdrücken, wie in der Security Hub Hub-Beschreibung dieser Regel angegeben. Weitere Informationen finden Sie unter Informationen zu unterdrückten Ergebnissen.

  • Die Zugriffsprotokollierung für den (regulären) Logging-Bucket im Log Archive-Konto ist in Version 3.1 unverändert. Gemäß den bewährten Methoden werden Zugriffsereignisse für diesen Bucket als Protokolleinträge im Access-Logging-Bucket aufgezeichnet. Weitere Informationen zur Zugriffsprotokollierung finden Sie unter Protokollierung von Anfragen mithilfe der Serverzugriffsprotokollierung in der Amazon S3 S3-Dokumentation.

  • Wir haben die Steuerung „Region Deny“ aktualisiert. Dieses Update ermöglicht Aktionen durch mehr globale Dienste. Einzelheiten zu diesem SCP finden Sie unter Zugriff verweigern auf AWS Grundlage der angeforderten Daten AWS-Region und unter Kontrollen, die den Schutz der Datenspeicherung verbessern.

    Globale Dienste wurden hinzugefügt:

    • AWS Account Management (account:*)

    • AWS Aktivieren (activate:*)

    • AWS Artifact (artifact:*)

    • AWS Billing Conductor (billingconductor:*)

    • AWS Compute Optimizer (compute-optimizer:*)

    • AWS Data Pipeline (datapipeline:GetAccountLimits)

    • AWS Device Farm(devicefarm:*)

    • AWS Marketplace (discovery-marketplace:*)

    • Amazon ECR () ecr-public:*

    • AWS License Manager (license-manager:ListReceivedLicenses)

    • AWS Lightsail () lightsail:Get*

    • AWS Ressourcen Explorer (resource-explorer-2:*)

    • Amazon S3 (s3:CreateMultiRegionAccessPoint,s3:GetBucketPolicyStatus,s3:PutMultiRegionAccessPointPolicy)

    • AWS Savings Plans (savingsplans:*)

    • IAM-Identitätszentrum () sso:*

    • AWS Support App (supportapp:*)

    • Support Pläne () supportplans:*

    • AWS Nachhaltigkeit (sustainability:*)

    • AWS Resource Groups Tagging API (tag:GetResources)

    • AWS Marketplace Einblicke von Anbietern (vendor-insights:ListEntitledSecurityProfiles)

Proaktive Kontrollen sind allgemein verfügbar

24. Januar 2023

(Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.)

Optionale proaktive Kontrollen, die bereits in der Vorschauversion angekündigt wurden, sind jetzt allgemein verfügbar. Diese Kontrollen werden als proaktiv bezeichnet, da sie Ihre Ressourcen — bevor die Ressourcen bereitgestellt werden — daraufhin überprüfen, ob die neuen Ressourcen den in Ihrer Umgebung aktivierten Kontrollen entsprechen. Weitere Informationen finden Sie unter Umfassende Kontrollen helfen bei der Bereitstellung und AWS Verwaltung von Ressourcen.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.