De enero a diciembre de 2021 - AWS Control Tower
Capacidades de denegación regionalFunciones de residencia de datosAWSControl Tower presenta el aprovisionamiento y la personalización de cuentas de TerraformDisponible un nuevo evento sobre el ciclo de vidaAWSLa Torre de Control permite anidar OUsSimultaneidad de controles de DetectivesHay dos nuevas regiones disponiblesDeselección de regiónAWSControl Tower funciona con AWS Sistemas de administración de clavesSe cambió el nombre de los controles, la funcionalidad noAWSLa Torre de Control escanea a SCPs diario para comprobar si hay desviacionesNombres OUs y cuentas personalizadosAWSControl Tower landing zone versión 2.7Tres nuevas AWS Regiones disponiblesGobierna únicamente las regiones seleccionadasAWSControl Tower ahora amplía la gobernanza a la existente OUs en su AWS organizationsAWSControl Tower proporciona actualizaciones masivas de cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

De enero a diciembre de 2021

En 2021, AWS Control Tower publicó las siguientes actualizaciones:

Capacidades de denegación regional

30 de noviembre de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de la Torre de AWS Control).

AWSLa Torre de Control ahora ofrece funciones de denegación regional, que le ayudan a limitar el acceso a AWS servicios y operaciones para las cuentas inscritas en su entorno AWS de Control Tower. La función de denegación de regiones complementa las funciones de selección y deselección de regiones existentes en AWS Control Tower. En conjunto, estas funciones le ayudan a abordar las cuestiones normativas y de conformidad, al tiempo que equilibran los costes asociados a la expansión a otras regiones.

Por ejemplo: AWS los clientes de Alemania pueden denegar el acceso a AWS servicios en regiones fuera de la región de Fráncfort. Puedes seleccionar regiones restringidas durante el proceso de configuración de la Torre de AWS Control o en la página de configuración de la zona de aterrizaje. La función de denegación de regiones está disponible al actualizar la versión de la zona de aterrizaje de la Torre de AWS Control Tower. Seleccionar AWS los servicios están exentos de las capacidades de denegación regional. Para obtener más información, consulte Configurar el control de denegaciones de la región.

Funciones de residencia de datos

30 de noviembre de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de la Torre de AWS Control)

AWSControl Tower ahora ofrece controles diseñados específicamente para garantizar que cualquier dato de cliente que cargue en AWS los servicios se encuentran únicamente en el AWS Regiones que especifique. Puede seleccionar las AWS Región o regiones en las que se almacenan y procesan los datos de sus clientes. Para obtener una lista completa de AWS Regiones en las que la Torre de AWS Control está disponible, consulte la AWS Tabla de regiones.

Para un control detallado, puedes aplicar controles adicionales, como no permitir las conexiones de Amazon Virtual Private Network (VPN) o no permitir el acceso a Internet a una instancia de Amazon VPC. Puede ver el estado de conformidad de los controles en la consola de la Torre de AWS Control. Para ver una lista completa de los controles disponibles, consulta la biblioteca de controles de la Torre de AWS Control.

AWSControl Tower presenta el aprovisionamiento y la personalización de cuentas de Terraform

29 de noviembre de 2021

(Actualización opcional para la zona de aterrizaje AWS de la Torre de Control)

Ahora puedes usar Terraform para aprovisionar y actualizar cuentas personalizadas a través de AWS Control Tower, con AWSControl Tower Account Factory for Terraform () AFT.

AFTproporciona una única canalización de infraestructura de Terraform como código (IaC), que aprovisiona las cuentas administradas por AWS Control Tower. Las personalizaciones durante el aprovisionamiento ayudan a cumplir sus políticas empresariales y de seguridad antes de entregar las cuentas a los usuarios finales.

El proceso de creación AFT automática de cuentas supervisa hasta que se completa el aprovisionamiento de cuentas y, después, continúa, activando módulos de Terraform adicionales que mejoran la cuenta con las personalizaciones necesarias. Como parte adicional del proceso de personalización, puede configurar la canalización para instalar sus propios módulos personalizados de Terraform y puede optar por añadir cualquiera de las opciones de AFT funciones, que se proporcionan en AWS para personalizaciones comunes.

Comience a utilizar AWS Control Tower Account Factory para Terraform siguiendo los pasos que se indican en la Guía del usuario de AWS Control Tower y descargándolo AFT para su instancia de Terraform. Implemente AWS Control Tower Account Factory para Terraform () AFT AFTes compatible con las distribuciones de código abierto Terraform Cloud, Terraform Enterprise y Terraform.

Disponible un nuevo evento sobre el ciclo de vida

18 de noviembre de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de la Torre de AWS Control)

El PrecheckOrganizationalUnit evento registra si algún recurso impide que la tarea de gobierno de Extend se lleve a cabo correctamente, incluidos los recursos anidadosOUs. Para obtener más información, consulte PrecheckOrganizationalUnit.

AWSLa Torre de Control permite anidar OUs

16 de noviembre de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de la Torre de AWS Control)

AWSControl Tower ahora te permite incluir anidados OUs como parte de tu landing zone.

AWSControl Tower proporciona soporte para unidades organizativas anidadas (OUs), lo que te permite organizar las cuentas en varios niveles jerárquicos y aplicar controles preventivos de forma jerárquica. Puede registrar las unidades OUs organizativas anidadasOUs, crearlas y registrarlas OUs bajo el nombre de matriz OUs y habilitar los controles en cualquier unidad organizativa registrada, independientemente de su profundidad. Para admitir esta funcionalidad, la consola muestra el número de cuentas gobernadas yOUs.

Con NestedOUs, puedes alinear tu Torre AWS de Control OUs con el AWS Con una estrategia de cuentas múltiples, puede reducir el tiempo necesario para habilitar los controles en varias OUs cuentas al aplicar los controles a nivel de la unidad organizativa principal.

Consideraciones clave

  1. Puede registrar las unidades organizativas existentes de varios niveles OUs en la Torre de AWS Control una unidad organizativa a la vez, empezando por la unidad organizativa de nivel superior y, a continuación, siguiendo por el árbol. Para obtener más información, consulte Pase de una estructura de unidad organizativa plana a una estructura de unidad organizativa anidada.

  2. Las cuentas que estén directamente bajo una OU registrada se inscriben automáticamente. Las cuentas que se encuentran más abajo en el árbol se pueden inscribir registrando su OU principal inmediata.

  3. Los controles preventivos (SCPs) se heredan automáticamente en la jerarquía; los que SCPs se aplican al principal los heredan todos los anidadosOUs.

  4. Controles de Detective (AWS Config (reglas) se NOT heredan automáticamente.

  5. Cada OU informa del cumplimiento de los controles de detección.

  6. SCPUn error en una OU afecta a todas las cuentas y a las que OUs están por debajo de ella.

  7. No puede crear una nueva unidad organizativa anidada OUs en la unidad organizativa de seguridad (unidad organizativa principal).

Simultaneidad de controles de Detectives

5 de noviembre de 2021

(Actualización opcional para la zona de aterrizaje AWS de la Torre de Control)

AWSLos controles de detección de Control Tower ahora admiten operaciones simultáneas para los controles de detección, lo que mejora la facilidad de uso y el rendimiento. Puede activar varios controles de detección sin tener que esperar a que se completen las operaciones de control individuales.

Funcionalidad compatible:

  • Habilite diferentes controles de detección en la misma unidad organizativa (por ejemplo, detecte si MFA el usuario raíz está habilitado y detecte si se permite el acceso de escritura pública a los buckets de Amazon S3).

  • Active diferentes controles de detección en distintos controles de detección de OUs forma simultánea.

  • Se han mejorado los mensajes de error de Guardrail para ofrecer una orientación adicional sobre las operaciones de control simultáneas compatibles.

No se admite en esta versión:

  • No se admite la activación OUs simultánea del mismo control de detección en varios dispositivos.

  • No se admite la simultaneidad del control preventivo.

Puedes disfrutar de las mejoras en la simultaneidad del control de detectives en todas las versiones de AWS Control Tower. Se recomienda que los clientes que actualmente no utilicen la versión 2.7 realicen una actualización de landing zone para aprovechar otras funciones, como la selección y deselección de regiones, que están disponibles en la última versión.

Hay dos nuevas regiones disponibles

29 de julio de 2021

(Se requiere una actualización para la zona de aterrizaje de la Torre de AWS Control)

AWSControl Tower ahora está disponible en dos versiones adicionales AWS Regiones: Sudamérica (São Paulo) y Europa (París). Esta actualización amplía la disponibilidad AWS de la Torre de Control a 15 AWS Regiones.

Si eres nuevo en AWS Control Tower, puedes lanzarla de inmediato en cualquiera de las regiones compatibles. Durante el lanzamiento, podrás seleccionar las regiones en las que quieres que AWS Control Tower construya y gobierne tu entorno de cuentas múltiples.

Si ya tienes un entorno de Torre de AWS Control y quieres ampliar o eliminar las funciones de gobierno de la Torre de AWS Control en una o más regiones compatibles, ve a la página de configuración de la zona de aterrizaje en el panel de AWS control de la Torre de Control y selecciona las regiones. Tras actualizar tu landing zone, debes actualizar todas las cuentas que estén controladas por AWS Control Tower.

Deselección de región

29 de julio de 2021

(Actualización opcional para la zona de aterrizaje AWS de la Torre de Control)

AWSLa deselección de la región de la Torre de Control mejora su capacidad de administrar la huella geográfica de los recursos de la Torre de AWS Control. Puedes deseleccionar las regiones que ya no quieres que gobierne la Torre de AWS Control. Esta función le permite abordar las cuestiones normativas y de conformidad y, al mismo tiempo, equilibrar los costes asociados a la expansión a otras regiones.

La desselección de regiones está disponible al actualizar la versión de la zona de aterrizaje AWS de la Torre de Control Tower.

Cuando utilizas Account Factory para crear una cuenta nueva o inscribir una cuenta de miembro preexistente, o cuando seleccionas Extend Governance para inscribir cuentas en una unidad organizativa preexistente, AWS Control Tower despliega sus capacidades de gobierno, que incluyen el registro, la supervisión y los controles centralizados, en las regiones de las cuentas que elijas. Si decide deseleccionar una región y eliminar el gobierno de la Torre de AWS Control de esa región, se elimina esa funcionalidad de gobierno, pero no inhibe la capacidad de despliegue de los usuarios. AWS recursos o cargas de trabajo en esas regiones.

AWSControl Tower funciona con AWS Sistemas de administración de claves

28 de julio de 2021

(Actualización opcional para la zona de aterrizaje AWS de la Torre de Control)

AWSControl Tower le ofrece la opción de utilizar un AWS Servicio de administración de claves (AWS KMSclave). Usted proporciona y administra una clave para proteger los servicios que implementa AWS Control Tower, incluidos AWS CloudTrail, AWS Config y los datos de Amazon S3 asociados. AWS KMSel cifrado es un nivel de cifrado mejorado con respecto al cifrado SSE -S3 que la Torre de AWS Control usa de forma predeterminada.

La integración de AWS KMSel apoyo a la Torre AWS de Control se alinea con el AWS Las mejores prácticas de seguridad fundamentales, que recomiendan una capa de seguridad adicional para los archivos de registro confidenciales. Deberías usar AWS KMS—claves administradas (SSE-KMS) para el cifrado en reposo. AWS KMSEl soporte de cifrado está disponible al configurar una nueva zona de aterrizaje o al actualizar la zona de aterrizaje existente de la Torre de AWS Control Tower.

Para configurar esta funcionalidad, puedes seleccionar la configuración KMS clave durante la configuración inicial de tu landing zone. Puede elegir una KMS clave existente o seleccionar un botón que lo dirija al AWS KMSconsola para crear una nueva. También tiene la flexibilidad de cambiar del cifrado predeterminado a una clave SSE (KMSo a una KMS clave diferenteSSE).

Para una zona de aterrizaje AWS de la Torre de Control Tower existente, puedes realizar una actualización para empezar a usar AWS KMSllaves.

Se cambió el nombre de los controles, la funcionalidad no

26 de julio de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de la Torre de AWS Control)

AWSControl Tower está revisando algunos nombres y descripciones de los controles para reflejar mejor las intenciones políticas del control. Los nombres y descripciones revisados le ayudan a comprender de manera más intuitiva las formas en que los controles incorporan las políticas de sus cuentas. Por ejemplo, cambiamos parte de los nombres de los controles de detección, de «No permitir» a «Detectar», porque el control de detección en sí mismo no detiene una acción específica, solo detecta las infracciones de las políticas y envía alertas a través del panel de control.

La funcionalidad, la orientación y la implementación del control permanecen inalteradas. Solo se han revisado los nombres y las descripciones de los controles.

AWSLa Torre de Control escanea a SCPs diario para comprobar si hay desviaciones

11 de mayo de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de la Torre de AWS Control)

AWSControl Tower ahora realiza escaneos automatizados diarios de sus controladores SCPs para comprobar que los controles correspondientes se aplican correctamente y que no se han desviado. Si al escanear se detecta una desviación, recibirá una notificación. AWSControl Tower envía solo una notificación por cada problema de deriva, por lo que si tu landing zone ya está en estado de deriva, no recibirás notificaciones adicionales a menos que encuentres un nuevo objeto de deriva.

Nombres OUs y cuentas personalizados

16 de abril de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de la Torre de AWS Control)

AWSControl Tower ahora te permite personalizar el nombre de tu landing zone. Puedes conservar los nombres que AWS Control Tower recomienda para las unidades organizativas (OUs) y las cuentas principales, o puedes modificarlos durante el proceso inicial de configuración de landing zone.

Los nombres predeterminados que AWS Control Tower proporciona para las cuentas principales OUs y las cuentas principales coinciden con AWS guía de prácticas recomendadas para múltiples cuentas. Sin embargo, si su empresa tiene políticas de nomenclatura específicas, o si ya tiene una unidad organizativa o una cuenta con el mismo nombre recomendado, la nueva funcionalidad de nomenclatura de la unidad organizativa y de cuentas le ofrece la flexibilidad necesaria para abordar esas limitaciones.

Además del cambio en el flujo de trabajo durante la configuración, la unidad organizativa anteriormente conocida como unidad organizativa principal ahora se denomina unidad organizativa de seguridad, y la unidad organizativa anteriormente conocida como unidad organizativa personalizada ahora se denomina unidad organizativa Sandbox. Hicimos este cambio para mejorar nuestra alineación con el conjunto AWS guía de mejores prácticas para la nomenclatura.

Los nuevos clientes verán estos nuevos nombres de OU. Los clientes actuales seguirán viendo sus nombres originalesOUs. Es posible que encuentre algunas inconsistencias en la denominación de las unidades organizativas mientras actualizamos nuestra documentación para adaptarla a los nuevos nombres.

Para empezar a usar AWS Control Tower desde el AWS Consola de administración, ve a la consola de la Torre de AWS Control y selecciona Configurar landing zone en la esquina superior derecha. Para obtener información adicional, consulta cómo planificar tu zona de aterrizaje en la Torre de AWS Control Tower.

AWSControl Tower landing zone versión 2.7

8 de abril de 2021

(Se requiere una actualización para la zona de aterrizaje de AWS Control Tower a la versión 2.7. Para obtener más información, consulteActualiza tu landing zone)

Con AWS la versión 2.7 de la Torre de AWS Control, la Torre de Control presenta cuatro nuevos controles preventivos obligatorios de Archivo de Registros que implementan la política únicamente en los recursos de la Torre de AWS Control. Hemos ajustado la guía de cuatro controles de Log Archive existentes, de obligatorios a electivos, porque establecen una política para los recursos fuera de la Torre de AWS Control. Este cambio y expansión del control permiten separar la gobernanza de Log Archive para los recursos dentro de la Torre de AWS Control de la gobernanza de los recursos fuera de la Torre de AWS Control.

Los cuatro controles modificados se pueden utilizar junto con los nuevos controles obligatorios para gestionar un conjunto más amplio de AWS Archivos de registro. Los entornos de la Torre de AWS Control existentes mantendrán estos cuatro controles modificados habilitados automáticamente para garantizar la coherencia del entorno; sin embargo, estos controles opcionales ahora se pueden desactivar. Los nuevos entornos AWS de la Torre de Control deben habilitar todos los controles electivos. Los entornos existentes deben deshabilitar los controles anteriormente obligatorios antes de añadir el cifrado a los buckets de Amazon S3 que AWS Control Tower no implementa.

Nuevos controles obligatorios:

  • No permitir cambios en la configuración de cifrado de los buckets S3 creados por la Torre de AWS Control en el archivo de registro

  • No permitir cambios en la configuración de registro para los buckets S3 creados por la Torre de AWS Control en el archivo de registro

  • No permitir cambios en la política de buckets para buckets S3 creados por la Torre de AWS Control en Log Archive

  • No permitir cambios en la configuración del ciclo de vida de los buckets S3 creados por la Torre de AWS Control en el archivo de registro

La guía cambió de obligatoria a electiva:

  • No permitir cambios en la configuración de cifrado para todos los buckets de Amazon S3 [Anteriormente: habilitar el cifrado en reposo para el archivo de registros]

  • No permitir cambios en la configuración de registro para todos los buckets de Amazon S3 [Anteriormente: habilitar el registro de acceso para el archivo de registros]

  • No permitir cambios en la política de buckets para todos los buckets de Amazon S3 [anteriormente: no permitir cambios de política en el archivo de registros]

  • No permitir cambios en la configuración del ciclo de vida de todos los buckets de Amazon S3 [Anteriormente: establecer una política de retención para el archivo de registros]

AWSLa versión 2.7 de Control Tower incluye cambios en el plano de la zona de aterrizaje de la Torre de AWS Control que pueden provocar incompatibilidad con versiones anteriores tras la actualización a la 2.7.

  • En particular, la versión 2.7 AWS de la Torre de Control BlockPublicAccess se activa automáticamente en los depósitos S3 desplegados por la Torre AWS de Control. Puede desactivar esta opción predeterminada si su carga de trabajo requiere el acceso a todas las cuentas. Para obtener más información sobre lo que ocurre con la BlockPublicaccess activación, consulte Bloquear el acceso público a su almacenamiento de Amazon S3.

  • AWSLa versión 2.7 de Control Tower incluye un requisito paraHTTPS. Todas las solicitudes enviadas a los buckets S3 implementados por AWS Control Tower deben usar secure socket layer (SSL). Solo se permite el paso de las HTTPS solicitudes. Si utilizas HTTP (sinSSL) como punto final para enviar las solicitudes, este cambio generará un error de acceso denegado, lo que podría interrumpir tu flujo de trabajo. Este cambio no se puede revertir después de la actualización 2.7 de tu landing zone.

    Te recomendamos que cambies tus solicitudes de uso TLS en lugar deHTTP.

Tres nuevas AWS Regiones disponibles

8 de abril de 2021

(Se requiere una actualización para la zona de aterrizaje de la Torre de AWS Control)

AWSControl Tower está disponible en tres versiones adicionales AWS Regiones: región de Asia Pacífico (Tokio), región de Asia Pacífico (Seúl) y región de Asia Pacífico (Mumbai). Se requiere una actualización de landing zone a la versión 2.7 para expandir la gobernanza a estas regiones.

Tu landing zone no se expande automáticamente a estas regiones cuando realizas la actualización a la versión 2.7, debes verlas y seleccionarlas en la tabla de regiones para incluirlas.

Gobierna únicamente las regiones seleccionadas

19 de febrero de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de la Torre de AWS Control)

AWSLa selección de regiones de la Torre de Control proporciona una mejor capacidad para gestionar la huella geográfica de los recursos de la Torre de AWS Control. Para ampliar el número de regiones en las que hospedas AWS recursos o cargas de trabajo (por motivos de cumplimiento, normativos, de coste u otros motivos), ahora puedes seleccionar las regiones adicionales que gobernarás.

La selección de regiones está disponible al configurar una nueva zona de aterrizaje o al actualizar la versión de la zona de aterrizaje de la Torre de AWS Control Tower. Cuando usa Account Factory para crear una cuenta nueva o inscribir una cuenta de miembro preexistente, o cuando usa Extend Governance para inscribir cuentas en una unidad organizativa preexistente, AWS Control Tower despliega sus capacidades de gobierno de registro, monitoreo y controles centralizados en las regiones que elija en las cuentas. Para obtener más información sobre la selección de regiones, consulte. Configure las regiones AWS de su Torre de Control

AWSControl Tower ahora amplía la gobernanza a la existente OUs en su AWS organizations

28 de enero de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de la Torre de AWS Control)

Amplíe la gobernanza a las unidades organizativas existentes (OUs) (las que no están en la Torre de AWS Control) desde la consola de la Torre de AWS Control. Con esta función, puede poner las cuentas de alto nivel OUs e incluidas bajo el gobierno de la Torre AWS de Control Tower. Para obtener información sobre cómo extender la gobernanza a toda una OU, consulteRegistrar una unidad organizativa existente con AWS Control Tower.

Al registrar una OU, AWS Control Tower realiza una serie de comprobaciones para garantizar la extensión exitosa de la gobernanza y la inscripción de las cuentas dentro de la OU. Para obtener más información sobre los problemas comunes asociados con el registro inicial de una OU, consulteCausas frecuentes de error durante el registro o la reinscripción.

También puede visitar la página web del producto Torre de AWS Control o YouTube visitar este vídeo sobre cómo empezar a utilizar la Torre AWS de Control para AWS Organizations.

AWSControl Tower proporciona actualizaciones masivas de cuentas

28 de enero de 2021

(No se requiere ninguna actualización para la zona de aterrizaje de la Torre de AWS Control)

Con la función de actualización masiva, ahora puedes actualizar todas las cuentas de una cuenta registrada AWS Organizations unidad organizativa (OU) que contiene hasta 300 cuentas, con un solo clic, desde el panel de AWS control de la Torre de Control. Esto es especialmente útil en los casos en los que actualizas tu zona de landing zone de AWS Control Tower y también debes actualizar tus cuentas inscritas para alinearlas con la versión actual de landing zone.

Esta función también te ayuda a mantener tus cuentas actualizadas cuando actualizas la zona de aterrizaje de la Torre de AWS Control Tower para expandirla a nuevas regiones o cuando deseas volver a registrar una OU para asegurarte de que todas las cuentas de esa OU tienen los controles más recientes aplicados. La actualización masiva de cuentas elimina la necesidad de actualizar una cuenta a la vez o utilizar un script externo para realizar la actualización en varias cuentas.

Para obtener información sobre la actualización de una landing zone, consulteActualiza tu landing zone.

Para obtener información sobre cómo registrar o volver a registrar una OU, consulteRegistrar una unidad organizativa existente con AWS Control Tower.