De enero a diciembre de 2021 - AWS Control Tower
Capacidades de denegación regionalFunciones de residencia de datosAWS Control Tower presenta el aprovisionamiento y la personalización de cuentas de TerraformNuevo evento de ciclo de vida disponibleAWS Control Tower permite unidades organizativas anidadasSimultaneidad de controles de DetectivesHay dos nuevas regiones disponiblesDeselección de regiónAWS Control Tower funciona con sistemas de administración de AWS clavesSe cambió el nombre de los controles y la funcionalidad noAWS Control Tower escanea los SCP a diario para comprobar si hay desviacionesNombres personalizados para unidades organizativas y cuentasVersión 2.7 de la zona de aterrizaje de AWS Control TowerHay tres nuevas AWS regiones disponiblesGobierna únicamente las regiones seleccionadasAWS Control Tower ahora amplía la gobernanza a las unidades organizativas existentes en sus AWS organizacionesAWS Control Tower ofrece actualizaciones masivas de cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

De enero a diciembre de 2021

En 2021, AWS Control Tower publicó las siguientes actualizaciones:

Capacidades de denegación regional

30 de noviembre de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora ofrece funciones de denegación por región, que le ayudan a limitar el acceso a AWS los servicios y las operaciones de las cuentas inscritas en su entorno de AWS Control Tower. La función de denegación de regiones complementa las funciones de selección y deselección de regiones existentes en AWS Control Tower. En conjunto, estas características le ayudan a abordar los problemas normativos y de conformidad, a la vez que equilibran los costes asociados a la expansión a otras regiones.

Por ejemplo, AWS los clientes de Alemania pueden denegar el acceso a AWS los servicios en regiones fuera de la región de Fráncfort. Puede seleccionar regiones restringidas durante el proceso de configuración de la Torre de Control de AWS o en la página de configuración de la zona de aterrizaje. La función de denegación de regiones está disponible al actualizar la versión de la zona de aterrizaje de AWS Control Tower. Algunos AWS servicios están exentos de las capacidades de denegación regional. Para obtener más información, consulte Configurar el control de denegación regional.

Funciones de residencia de datos

30 de noviembre de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower)

AWS Control Tower ahora ofrece controles diseñados específicamente para garantizar que los datos de los clientes que suba a AWS los servicios se encuentren únicamente en las AWS regiones que especifique. Puede seleccionar la AWS región o las regiones en las que se almacenan y procesan los datos de sus clientes. Para obtener una lista completa de AWS las regiones en las que AWS Control Tower está disponible, consulte la tabla de AWS regiones.

Para un control detallado, puede aplicar controles adicionales, como no permitir las conexiones de la red privada virtual (VPN) de Amazon o no permitir el acceso a Internet para una instancia de Amazon VPC. Puede ver el estado de conformidad de los controles en la consola de AWS Control Tower. Para obtener una lista completa de los controles disponibles, consulte la biblioteca de controles de la Torre de Control de AWS.

AWS Control Tower presenta el aprovisionamiento y la personalización de cuentas de Terraform

29 de noviembre de 2021

(Actualización opcional para la zona de aterrizaje de AWS Control Tower)

Ahora puede utilizar Terraform para aprovisionar y actualizar cuentas personalizadas a través de AWS Control Tower, con AWS Control Tower Account Factory for Terraform (AFT).

AFT proporciona una única canalización de infraestructura de Terraform como código (IaC), que aprovisiona las cuentas administradas por AWS Control Tower. Las personalizaciones durante el aprovisionamiento ayudan a cumplir sus políticas empresariales y de seguridad antes de entregar las cuentas a los usuarios finales.

El proceso de creación automática de cuentas de AFT supervisa hasta que se completa el aprovisionamiento de cuentas y, luego, continúa, activando módulos de Terraform adicionales que mejoran la cuenta con las personalizaciones necesarias. Como parte adicional del proceso de personalización, puede configurar la canalización para instalar sus propios módulos personalizados de Terraform y puede optar por añadir cualquiera de las opciones de funciones de AFT, que se proporcionan para las personalizaciones más habituales. AWS

Comience a utilizar AWS Control Tower Account Factory para Terraform siguiendo los pasos que se indican en la guía del usuario de AWS Control Tower y descargando AFT para su instancia de Terraform. Implemente AWS Control Tower Account Factory para Terraform (AFT) AFT es compatible con las distribuciones de código abierto Terraform Cloud, Terraform Enterprise y Terraform.

Nuevo evento de ciclo de vida disponible

18 de noviembre de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower)

El PrecheckOrganizationalUnit evento registra si algún recurso impide que la tarea de gobierno de Extend se lleve a cabo correctamente, incluidos los recursos de las unidades organizativas anidadas. Para obtener más información, consulte PrecheckOrganizationalUnit.

AWS Control Tower permite unidades organizativas anidadas

16 de noviembre de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower)

AWS Control Tower ahora le permite incluir unidades organizativas anidadas como parte de su landing zone.

AWS Control Tower admite unidades organizativas (OU) anidadas, lo que le permite organizar las cuentas en varios niveles jerárquicos y aplicar controles preventivos de forma jerárquica. Puede registrar unidades organizativas que contengan unidades organizativas anidadas, crear y registrar unidades organizativas en las unidades organizativas principales y habilitar los controles en cualquier unidad organizativa registrada, independientemente de su profundidad. Para admitir esta funcionalidad, la consola muestra el número de cuentas y unidades organizativas gobernadas.

Con las unidades organizativas anidadas, puede alinear las unidades organizativas de la Torre de Control de AWS con la estrategia de AWS múltiples cuentas y reducir el tiempo necesario para habilitar los controles en varias unidades organizativas mediante la aplicación de los controles a nivel de la unidad organizativa principal.

Consideraciones clave

  1. Puede registrar las unidades organizativas de varios niveles existentes en AWS Control Tower, una unidad organizativa a la vez, empezando por la unidad organizativa de nivel superior y, a continuación, siguiendo por el árbol. Para obtener más información, consulte Pase de una estructura de unidad organizativa plana a una estructura de unidad organizativa anidada.

  2. Las cuentas que estén directamente bajo una unidad organizativa registrada se inscriben automáticamente. Las cuentas que se encuentran más abajo en el árbol se pueden inscribir registrando su OU principal inmediata.

  3. Los controles preventivos (SCP) se heredan automáticamente en la jerarquía; los SCP aplicados a la unidad principal los heredan todas las OU anidadas.

  4. Los controles de Detective (reglas de AWS Config) NO se heredan automáticamente.

  5. Cada OU informa del cumplimiento de los controles de detección.

  6. La desviación del SCP en una OU afecta a todas las cuentas y unidades organizativas incluidas en ella.

  7. No puede crear nuevas unidades organizativas anidadas bajo la unidad organizativa de seguridad (unidad organizativa principal).

Simultaneidad de controles de Detectives

5 de noviembre de 2021

(Actualización opcional para la zona de aterrizaje de AWS Control Tower)

Los controles de detección de AWS Control Tower ahora admiten operaciones simultáneas para los controles de detección, lo que mejora la facilidad de uso y el rendimiento. Puede activar varios controles de detección sin tener que esperar a que se completen las operaciones de control individuales.

Funcionalidad compatible:

  • Habilite diferentes controles de detección en la misma OU (por ejemplo, detecte si la MFA para el usuario raíz está habilitada y detecte si se permite el acceso de escritura pública a los buckets de Amazon S3).

  • Habilite diferentes controles de detección en diferentes unidades organizativas de forma simultánea.

  • Se han mejorado los mensajes de error de Guardrail para ofrecer una orientación adicional sobre las operaciones de control simultáneas compatibles.

No se admite en esta versión:

  • No se admite la activación simultánea del mismo control de detección en varias unidades organizativas.

  • No se admite la simultaneidad del control preventivo.

Puede disfrutar de las mejoras en la simultaneidad de los controles de detección en todas las versiones de AWS Control Tower. Se recomienda que los clientes que actualmente no utilicen la versión 2.7 realicen una actualización de landing zone para aprovechar otras funciones, como la selección y deselección de regiones, que están disponibles en la última versión.

Hay dos nuevas regiones disponibles

29 de julio de 2021

(Se requiere una actualización para la zona de aterrizaje de AWS Control Tower)

AWS Control Tower ya está disponible en dos AWS regiones adicionales: Sudamérica (São Paulo) y Europa (París). Esta actualización amplía la disponibilidad de la Torre de Control de AWS a 15 AWS regiones.

Si es la primera vez que utiliza AWS Control Tower, puede lanzarlo de inmediato en cualquiera de las regiones compatibles. Durante el lanzamiento, puede seleccionar las regiones en las que desea que AWS Control Tower cree y gobierne su entorno de cuentas múltiples.

Si ya dispone de un entorno de AWS Control Tower y desea ampliar o eliminar las funciones de gobierno de la Torre de Control de AWS en una o más regiones compatibles, vaya a la página de configuración de la zona de destino en su panel de control de AWS Control Tower y, a continuación, seleccione las regiones. Tras actualizar su landing zone, debe actualizar todas las cuentas que estén gobernadas por AWS Control Tower.

Deselección de región

29 de julio de 2021

(Actualización opcional para la zona de aterrizaje de AWS Control Tower)

La deselección de la región de AWS Control Tower mejora su capacidad de administrar la presencia geográfica de los recursos de la Torre de Control de AWS. Puede anular la selección de las regiones que no quiere que gobierne AWS Control Tower. Esta función le permite abordar los problemas normativos y de conformidad y, al mismo tiempo, equilibrar los costes asociados a la expansión a otras regiones.

La desselección de regiones está disponible al actualizar la versión de la zona de aterrizaje de AWS Control Tower.

Cuando usa Account Factory para crear una cuenta nueva o inscribir una cuenta de miembro preexistente, o cuando selecciona Extend Governance para inscribir cuentas en una unidad organizativa preexistente, AWS Control Tower despliega sus capacidades de gobierno, que incluyen el registro, la supervisión y los controles centralizados, en las regiones de las cuentas que elija. Si decide deseleccionar una región y eliminar la gobernanza de la Torre de Control de AWS de esa región, se elimina esa funcionalidad de gobierno, pero no inhibe la capacidad de los usuarios de implementar AWS recursos o cargas de trabajo en esas regiones.

AWS Control Tower funciona con sistemas de administración de AWS claves

28 de julio de 2021

(Actualización opcional para la zona de aterrizaje de AWS Control Tower)

AWS Control Tower le ofrece la opción de usar una AWS clave del Servicio de administración de claves (AWS KMS). Usted proporciona y administra una clave para proteger los servicios que implementa AWS Control Tower AWS CloudTrail AWS Config, incluidos los datos de Amazon S3 asociados. AWS El cifrado KMS es un nivel de cifrado mejorado con respecto al cifrado SSE-S3 que AWS Control Tower utiliza de forma predeterminada.

La integración del soporte de AWS KMS en la Torre de Control de AWS se ajusta a las prácticas recomendadas de seguridad AWS fundamentales, que recomiendan una capa de seguridad adicional para los archivos de registro confidenciales. Debe usar claves AWS administradas por KMS (SSE-KMS) para el cifrado en reposo. AWS La compatibilidad con el cifrado de KMS está disponible al configurar una nueva zona de aterrizaje o al actualizar la zona de aterrizaje de AWS Control Tower existente.

Para configurar esta funcionalidad, puedes seleccionar la configuración clave de KMS durante la configuración inicial de tu landing zone. Puede elegir una clave de KMS existente o puede seleccionar un botón que le dirija a la consola de AWS KMS para crear una nueva. También tiene la flexibilidad de cambiar del cifrado predeterminado al SSE-KMS o a una clave SSE-KMS diferente.

En el caso de una zona de aterrizaje de AWS Control Tower existente, puede realizar una actualización para empezar a utilizar las claves de AWS KMS.

Se cambió el nombre de los controles y la funcionalidad no

26 de julio de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower)

AWS Control Tower está revisando algunos nombres y descripciones de los controles para reflejar mejor las intenciones políticas del control. Los nombres y las descripciones revisados le ayudan a comprender de forma más intuitiva las formas en que los controles incorporan las políticas de sus cuentas. Por ejemplo, cambiamos parte de los nombres de los controles de detección, de «No permitir» a «Detectar», porque el control de detección en sí mismo no detiene una acción específica, solo detecta las infracciones de las políticas y envía alertas a través del panel de control.

La funcionalidad, la orientación y la implementación del control permanecen inalteradas. Solo se han revisado los nombres y las descripciones de los controles.

AWS Control Tower escanea los SCP a diario para comprobar si hay desviaciones

11 de mayo de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower)

AWS Control Tower ahora realiza escaneos automatizados diarios de los SCP administrados para comprobar que los controles correspondientes se aplican correctamente y que no se han desviado. Si al escanear se detecta una desviación, recibirá una notificación. AWS Control Tower envía solo una notificación por cada problema de deriva, por lo que si su zona de aterrizaje ya se encuentra en un estado de deriva, no recibirá notificaciones adicionales a menos que encuentre un nuevo elemento de deriva.

Nombres personalizados para unidades organizativas y cuentas

16 de abril de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower)

AWS Control Tower ahora le permite personalizar la denominación de su landing zone. Puede conservar los nombres que AWS Control Tower recomienda para las unidades organizativas (OU) y las cuentas principales, o puede modificarlos durante el proceso inicial de configuración de la landing zone.

Los nombres predeterminados que AWS Control Tower proporciona para las unidades organizativas y las cuentas principales coinciden con la guía de prácticas recomendadas para AWS varias cuentas. Sin embargo, si su empresa tiene políticas de nomenclatura específicas o si ya tiene una OU o cuenta existente con el mismo nombre recomendado, la nueva funcionalidad de nomenclatura de la OU y de las cuentas le ofrece la flexibilidad necesaria para abordar esas limitaciones.

Además del cambio en el flujo de trabajo durante la configuración, la unidad organizativa anteriormente conocida como unidad organizativa principal ahora se denomina unidad organizativa de seguridad, y la unidad organizativa anteriormente conocida como unidad organizativa personalizada ahora se denomina unidad organizativa Sandbox. Hicimos este cambio para mejorar nuestra alineación con la guía general de AWS mejores prácticas en materia de nomenclatura.

Los nuevos clientes verán estos nuevos nombres de unidades organizativas. Los clientes actuales seguirán viendo los nombres originales de estas OU. Es posible que encuentre algunas inconsistencias en la denominación de las unidades organizativas mientras actualizamos nuestra documentación para adaptarla a los nuevos nombres.

Para empezar a usar AWS Control Tower desde la consola de AWS administración, ve a la consola de AWS Control Tower y selecciona Configurar landing zone en la parte superior derecha. Para obtener información adicional, consulte cómo planificar su zona de aterrizaje en la AWS Control Tower.

Versión 2.7 de la zona de aterrizaje de AWS Control Tower

8 de abril de 2021

(Se requiere una actualización para la versión 2.7 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulteActualizar la zona de inicio)

Con la versión 2.7 de AWS Control Tower, AWS Control Tower presenta cuatro nuevos controles preventivos obligatorios de archivo de registros que implementan la política únicamente en los recursos de la Torre de Control de AWS. Hemos modificado las directrices sobre cuatro controles de archivo de registros existentes, pasando de ser obligatorios a optativos, ya que establecen políticas para los recursos ajenos a la Torre de Control de AWS. Este cambio y expansión de control permiten separar la gobernanza de Log Archive para los recursos de la Torre de Control de AWS de la gobernanza de los recursos ajenos a la Torre de Control de AWS.

Los cuatro controles modificados se pueden utilizar junto con los nuevos controles obligatorios para gestionar un conjunto más amplio de archivos de AWS registro. Los entornos AWS Control Tower existentes mantendrán estos cuatro controles modificados habilitados automáticamente para garantizar la coherencia del entorno; sin embargo, estos controles opcionales ahora se pueden deshabilitar. Los nuevos entornos de AWS Control Tower deben habilitar todos los controles electivos. Los entornos existentes deben deshabilitar los controles anteriormente obligatorios antes de añadir el cifrado a los buckets de Amazon S3 que no despliega AWS Control Tower.

Nuevos controles obligatorios:

  • No permitir cambios en la configuración de cifrado de los buckets S3 creados por AWS Control Tower en el archivo de registro

  • No permitir cambios en la configuración de registro de los buckets S3 creados por AWS Control Tower en el archivo de registro

  • No permitir cambios en la política de buckets para los buckets S3 creados por AWS Control Tower en el archivo de registro

  • No permitir cambios en la configuración del ciclo de vida de los buckets S3 creados por AWS Control Tower en el archivo de registro

La guía cambió de obligatoria a electiva:

  • No permitir cambios en la configuración de cifrado para todos los buckets de Amazon S3 [Anteriormente: habilitar el cifrado en reposo para el archivo de registros]

  • No permitir cambios en la configuración de registro para todos los buckets de Amazon S3 [Anteriormente: habilitar el registro de acceso para el archivo de registros]

  • No permitir cambios en la política de buckets para todos los buckets de Amazon S3 [anteriormente: no permitir cambios de política en el archivo de registros]

  • No permitir cambios en la configuración del ciclo de vida de todos los buckets de Amazon S3 [Anteriormente: establecer una política de retención para el archivo de registros]

La versión 2.7 de AWS Control Tower incluye cambios en el esquema de la zona de aterrizaje de AWS Control Tower que pueden provocar incompatibilidad con versiones anteriores tras la actualización a la 2.7.

  • En concreto, la versión 2.7 de la Torre de Control de AWS BlockPublicAccess se activa automáticamente en los buckets S3 implementados por la Torre de Control de AWS. Puede desactivar esta opción predeterminada si su carga de trabajo requiere el acceso a todas las cuentas. Para obtener más información sobre lo que ocurre con la BlockPublicaccess activación, consulte Bloquear el acceso público a su almacenamiento de Amazon S3.

  • La versión 2.7 de AWS Control Tower incluye un requisito de HTTPS. Todas las solicitudes enviadas a los buckets de S3 implementados por AWS Control Tower deben usar una capa de conexión segura (SSL). Solo se permite el paso de las solicitudes HTTPS. Si utilizas HTTP (sin SSL) como punto final para enviar las solicitudes, este cambio generará un error de acceso denegado, lo que podría interrumpir tu flujo de trabajo. Este cambio no se puede revertir después de la actualización 2.7 de tu landing zone.

    Te recomendamos que cambies tus solicitudes para que usen TLS en lugar de HTTP.

Hay tres nuevas AWS regiones disponibles

8 de abril de 2021

(Se requiere una actualización para la zona de aterrizaje de AWS Control Tower)

AWS Control Tower está disponible en tres AWS regiones adicionales: la región de Asia Pacífico (Tokio), la región de Asia Pacífico (Seúl) y la región de Asia Pacífico (Mumbai). Se requiere una actualización de landing zone a la versión 2.7 para expandir la gobernanza a estas regiones.

Tu landing zone no se expande automáticamente a estas regiones cuando realizas la actualización a la versión 2.7, debes verlas y seleccionarlas en la tabla de regiones para incluirlas.

Gobierna únicamente las regiones seleccionadas

19 de febrero de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower)

La selección de regiones de la Torre de Control de AWS proporciona una mejor capacidad para administrar la huella geográfica de los recursos de la Torre de Control de AWS. Para ampliar el número de regiones en las que aloja AWS recursos o cargas de trabajo (por motivos de conformidad, reglamentarios, económicos u otros motivos), ahora puede seleccionar las regiones adicionales que desee controlar.

La selección de regiones está disponible al configurar una nueva zona de aterrizaje o al actualizar la versión de la zona de aterrizaje de AWS Control Tower. Cuando usa Account Factory para crear una cuenta nueva o inscribir una cuenta de miembro preexistente, o cuando usa Extend Governance para inscribir cuentas en una unidad organizativa preexistente, AWS Control Tower despliega sus capacidades de gobierno de registro, monitoreo y controles centralizados en las regiones que elija en las cuentas. Para obtener más información sobre la selección de regiones, consulte. Configure sus regiones de AWS Control Tower

AWS Control Tower ahora amplía la gobernanza a las unidades organizativas existentes en sus AWS organizaciones

28 de enero de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower)

Amplíe la gobernanza a las unidades organizativas (OU) existentes (las que no se encuentran en la Torre de Control de AWS) desde la consola de la Torre de Control de AWS. Con esta función, puede incorporar las unidades organizativas de alto nivel y las cuentas incluidas al gobierno de la Torre de Control de AWS. Para obtener información sobre cómo extender la gobernanza a toda una OU, consulteRegistrar una unidad organizativa existente en AWS Control Tower.

Al registrar una OU, AWS Control Tower realiza una serie de comprobaciones para garantizar la correcta extensión de la gobernanza y la inscripción de las cuentas dentro de la OU. Para obtener más información sobre los problemas habituales asociados con el registro inicial de una OU, consulteCausas frecuentes de error durante el registro o la reinscripción.

También puede visitar la página web del producto AWS Control Tower o YouTube visitar este vídeo sobre cómo empezar a utilizar AWS Control Tower for AWS Organizations.

AWS Control Tower ofrece actualizaciones masivas de cuentas

28 de enero de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower)

Con la función de actualización masiva, ahora puede actualizar todas las cuentas de una unidad AWS Organizations organizativa (OU) registrada que contenga hasta 300 cuentas, con un solo clic, desde el panel de control de AWS Control Tower. Esto resulta especialmente útil en los casos en los que actualiza la zona de aterrizaje de AWS Control Tower y también debe actualizar las cuentas inscritas para alinearlas con la versión actual de la zona de aterrizaje.

Esta función también le ayuda a mantener sus cuentas actualizadas cuando actualiza su zona de aterrizaje de AWS Control Tower para ampliarla a nuevas regiones o cuando quiere volver a registrar una OU para asegurarse de que todas las cuentas de esa OU tienen aplicados los controles más recientes. La actualización masiva de cuentas elimina la necesidad de actualizar una cuenta a la vez o utilizar un script externo para realizar la actualización en varias cuentas.

Para obtener información sobre la actualización de una landing zone, consulteActualizar la zona de inicio.

Para obtener información sobre cómo registrar o volver a registrar una unidad organizativa, consulteRegistrar una unidad organizativa existente en AWS Control Tower.