De enero a diciembre de 2021 - AWS Control Tower
Capacidades de denegación de regionesCaracterísticas de la residencia de datosAWS Control Tower presenta el aprovisionamiento y la personalización de cuentas de TerraformNuevo evento de ciclo de vida disponibleAWS Control Tower permite anidar OUsSimultaneidad de controles de detecciónDos nuevas regiones disponiblesAnulación de la selección de regiónAWS Control Tower funciona con los sistemas de administración de AWS clavesCambio de nombre de controles, funcionalidad sin cambiosAWS Control Tower escanea a SCPs diario para comprobar si hay desviacionesNombres OUs y cuentas personalizadosZona de aterrizaje de AWS Control Tower, versión 2.7Tres nuevas AWS regiones disponiblesGobernanza únicamente de las regiones seleccionadasAWS Control Tower ahora amplía la gobernanza a la existente OUs en sus AWS organizacionesAWS Control Tower ofrece actualizaciones masivas de cuentas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

De enero a diciembre de 2021

En 2021, AWS Control Tower publicó las siguientes actualizaciones:

Capacidades de denegación de regiones

30 de noviembre de 2021

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora ofrece funciones de denegación por región, que le ayudan a limitar el acceso a AWS los servicios y las operaciones de las cuentas inscritas en su entorno de AWS Control Tower. La característica de denegación de regiones complementa las características de selección y deselección de regiones existentes en AWS Control Tower. En conjunto, estas características le permiten abordar los problemas de conformidad y reglamentario, al mismo tiempo que equilibra los costes asociados a la expansión a otras regiones.

Por ejemplo, AWS los clientes de Alemania pueden denegar el acceso AWS a los servicios en regiones fuera de la región de Fráncfort. Puede seleccionar regiones restringidas durante el proceso de configuración de AWS Control Tower o en la página Configuración de la zona de almacenamiento. La característica de denegación de regiones está disponible al actualizar la versión de la zona de aterrizaje de AWS Control Tower. Algunos AWS servicios están exentos de las capacidades de denegación regional. Para obtener más información, consulte Configure the Region deny control.

Características de la residencia de datos

30 de noviembre de 2021

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora ofrece controles diseñados específicamente para garantizar que los datos de los clientes que suba a AWS los servicios se encuentren únicamente en las AWS regiones que especifique. Puede seleccionar la AWS región o las regiones en las que se almacenan y procesan los datos de sus clientes. Para obtener una lista completa de AWS las regiones en las que AWS Control Tower está disponible, consulte la tabla de AWS regiones.

Para un control detallado, puede aplicar controles adicionales, como Prohibición de las conexiones de la red privada virtual (VPN) de Amazon o Prohibición del acceso a Internet para una instancia de Amazon VPC. Puede ver el estado de conformidad de los controles en la consola de AWS Control Tower. Para obtener una lista completa de los controles disponibles, consulte The AWS Control Tower controls library.

AWS Control Tower presenta el aprovisionamiento y la personalización de cuentas de Terraform

29 de noviembre de 2021

(Actualización opcional para la zona de aterrizaje de AWS Control Tower)

Ahora puede utilizar Terraform para aprovisionar y actualizar cuentas personalizadas a través de AWS Control Tower, con el generador de cuentas para Terraform (AFT) de AWS Control Tower.

AFT proporciona una única canalización de infraestructura como código (IaC) de Terraform, que aprovisiona las cuentas administradas por AWS Control Tower. Las personalizaciones durante el aprovisionamiento ayudan a cumplir sus políticas empresariales y de seguridad antes de entregar las cuentas a los usuarios finales.

La canalización de la creación automática de cuentas de AFT supervisa hasta que se completa el aprovisionamiento de cuentas y luego continúa, activando módulos de Terraform adicionales que mejoran la cuenta con las personalizaciones necesarias. Como parte adicional del proceso de personalización, puede configurar la canalización para instalar sus propios módulos personalizados de Terraform y puede optar por añadir cualquiera de las opciones de características de AFT, que se proporcionan AWS para las personalizaciones más comunes.

Comience a utilizar el generador de cuentas para Terraform de AWS Control Tower siguiendo los pasos que se indican en la Guía del usuario de AWS Control Tower, Implementación del generador de cuentas para Terraform (AFT) de AWS Control Tower, y descargando AFT para su instancia de Terraform. AFT es compatible con las distribuciones de Terraform Cloud, Terraform Enterprise y Terraform Open Source

Nuevo evento de ciclo de vida disponible

18 de noviembre de 2021

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

El PrecheckOrganizationalUnit evento registra si algún recurso impide que la tarea de gobierno de Extend se lleve a cabo correctamente, incluidos los recursos anidados. OUs Para obtener más información, consulte PrecheckOrganizationalUnit.

AWS Control Tower permite anidar OUs

16 de noviembre de 2021

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora le permite incluir Nested OUs como parte de su landing zone.

AWS Control Tower admite unidades organizativas anidadas (OUs), lo que le permite organizar las cuentas en varios niveles jerárquicos y aplicar controles preventivos de forma jerárquica. Puede registrar las unidades OUs organizativas anidadas OUs, crearlas y registrarlas OUs bajo el nombre de matriz OUs y habilitar los controles en cualquier unidad organizativa registrada, independientemente de su profundidad. Para admitir esta funcionalidad, la consola muestra el número de cuentas gobernadas y OUs.

Con Nested OUs, puede alinear su Torre de Control Tower OUs de AWS con la estrategia de AWS múltiples cuentas y reducir el tiempo necesario para habilitar los controles en varias OUs, al aplicar los controles a nivel de la unidad organizativa principal.

Consideraciones clave

  1. Puede registrar las unidades organizativas existentes de varios niveles OUs en AWS Control Tower, una unidad organizativa a la vez, empezando por la unidad organizativa de nivel superior y, a continuación, siguiendo por el árbol. Para obtener más información, consulte Ampliación de una estructura de OU plana a una estructura de OU anidada.

  2. Las cuentas que se encuentren directamente debajo de una OU registrada se inscriben automáticamente. Las cuentas que se encuentran más abajo en el árbol se pueden inscribir registrando su OU principal inmediata.

  3. Los controles preventivos (SCPs) se heredan automáticamente en un nivel inferior de la jerarquía; los que SCPs se aplican al principal los heredan todos los anidados. OUs

  4. Los controles de Detective (reglas de AWS Config) NO se heredan automáticamente.

  5. Cada OU informa del cumplimiento de los controles de detección.

  6. La desviación del SCP en una OU afecta a todas las cuentas y a las que están por OUs debajo de ella.

  7. No puede crear una nueva unidad organizativa anidada OUs en la unidad organizativa de seguridad (unidad organizativa principal).

Simultaneidad de controles de detección

5 de noviembre de 2021

(Actualización opcional para la zona de aterrizaje de AWS Control Tower)

Los controles de detección de AWS Control Tower ahora admiten operaciones simultáneas para los controles de detección, lo que mejora la facilidad de uso y el rendimiento. Puede habilitar varios controles de detección sin tener que esperar a que se completen las operaciones de control individuales.

Funcionalidades compatibles:

  • Habilite diferentes controles de detección en la misma OU (por ejemplo, detecte si la MFA para el usuario raíz está habilitada y detecte si se permite el acceso de escritura público a los buckets de Amazon S3).

  • Active diferentes controles de detección en diferentes controles de detección de OUs forma simultánea.

  • Se han mejorado los mensajes de error de la barrera de protección para ofrecer directrices adicionales sobre las operaciones de simultaneidad de control compatibles.

No se admite en esta versión:

  • No se admite la activación OUs simultánea del mismo control de detección en varios dispositivos.

  • No se admite la simultaneidad del control preventivo.

Puede disfrutar de estas mejoras de simultaneidad de controles de detección en todas las versiones de AWS Control Tower. Se recomienda que los clientes que actualmente no utilicen la versión 2.7 realicen una actualización de la zona de aterrizaje para aprovechar otras características, como la selección y deselección de regiones, que están disponibles en la última versión.

Dos nuevas regiones disponibles

29 de julio de 2021

(Es necesaria la actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ya está disponible en dos AWS regiones adicionales: Sudamérica (São Paulo) y Europa (París). Esta actualización amplía la disponibilidad de AWS Control Tower a 15 regiones de AWS .

Si es la primera vez que utiliza AWS Control Tower, puede lanzarlo de inmediato en cualquiera de las regiones compatibles. Durante el lanzamiento, puede seleccionar las regiones en las que desea que AWS Control Tower cree y gobierne el entorno con varias cuentas.

Si ya dispone de un entorno de AWS Control Tower y desea ampliar o eliminar las características de gobernanza de AWS Control Tower en una o varias regiones compatibles, vaya a la página Configuración de la zona de almacenamiento en el panel de control de AWS Control Tower y, a continuación, seleccione las regiones. Tras actualizar la zona de aterrizaje, debe actualizar todas las cuentas que estén gobernadas por AWS Control Tower.

Anulación de la selección de región

29 de julio de 2021

(Actualización opcional para la zona de aterrizaje de AWS Control Tower)

La deselección de regiones de AWS Control Tower mejora su capacidad para administrar la huella geográfica de los recursos de AWS Control Tower. Puede anular la selección de regiones que ya no desea que gobierne AWS Control Tower. Esta característica le permite abordar los problemas de conformidad y reglamentario, al mismo tiempo que equilibra los costes asociados a la expansión a otras regiones.

La deselección de regiones está disponible al actualizar la versión de la zona de aterrizaje de AWS Control Tower.

Cuando utiliza el generador de cuentas para crear una cuenta nueva o inscribir una cuenta de miembro preexistente, o bien cuando selecciona Ampliar el gobierno para inscribir cuentas en una unidad organizativa preexistente, AWS Control Tower implementa sus capacidades de gobernanza, que incluyen el registro, la supervisión y los controles centralizados, en las regiones de las cuentas que elija. Si decide deseleccionar una región y eliminar la gobernanza de la Torre de Control de AWS de esa región, se elimina esa funcionalidad de gobierno, pero no inhibe la capacidad de los usuarios de implementar AWS recursos o cargas de trabajo en esas regiones.

AWS Control Tower funciona con los sistemas de administración de AWS claves

28 de julio de 2021

(Actualización opcional para la zona de aterrizaje de AWS Control Tower)

AWS Control Tower le ofrece la opción de usar una AWS clave del Servicio de administración de claves (AWS KMS). Usted proporciona y administra una clave para proteger los servicios que implementa AWS Control Tower AWS CloudTrail AWS Config, incluidos los datos de Amazon S3 asociados. AWS El cifrado KMS es un nivel de cifrado mejorado con respecto al cifrado SSE-S3 que AWS Control Tower utiliza de forma predeterminada.

La integración del soporte de AWS KMS en la Torre de Control de AWS se ajusta a las prácticas recomendadas de seguridad AWS fundamentales, que recomiendan una capa de seguridad adicional para los archivos de registro confidenciales. Debe usar claves AWS administradas por KMS (SSE-KMS) para el cifrado en reposo. AWS La compatibilidad con el cifrado de KMS está disponible al configurar una nueva zona de aterrizaje o al actualizar la zona de aterrizaje de AWS Control Tower existente.

Para configurar esta funcionalidad, puede seleccionar Configuración de clave de KMS durante la configuración inicial de la zona de aterrizaje. Puede elegir una clave de KMS existente o puede seleccionar un botón que le dirija a la consola de AWS KMS para crear una nueva. También tiene la flexibilidad de cambiar del cifrado predeterminado a SSE-KMS o a una clave de SSE-KMS diferente.

En el caso de una zona de aterrizaje existente de AWS Control Tower, puede realizar una actualización para empezar a utilizar las claves de AWS KMS.

Cambio de nombre de controles, funcionalidad sin cambios

26 de julio de 2021

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está revisando algunos nombres y descripciones de los controles para reflejar mejor las intenciones en cuanto a políticas de control. Los nombres y las descripciones revisados le ayudan a comprender de forma más intuitiva las formas en que los controles incorporan las políticas de sus cuentas. Por ejemplo, cambiamos parte de los nombres de los controles de detección, de “No permitir” a “Detección”, porque el control de detección en sí mismo no detiene una acción específica, solo detecta las infracciones de las políticas y envía alertas a través del panel de control.

La funcionalidad, las directrices y la implementación del control permanecen sin cambios. Solo se han revisado los nombres y las descripciones de los controles.

AWS Control Tower escanea a SCPs diario para comprobar si hay desviaciones

11 de mayo de 2021

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora realiza escaneos automatizados diarios de su gestión SCPs para comprobar que los controles correspondientes se aplican correctamente y que no se han desviado. Si se detecta una desviación durante el análisis, recibirá una notificación. AWS Control Tower envía solo una notificación por cada problema de desviación, de modo que si la zona de aterrizaje ya se encuentra en un estado de desviación, no recibirá notificaciones adicionales a menos que encuentre un nuevo elemento de desviación.

Nombres OUs y cuentas personalizados

16 de abril de 2021

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora le permite personalizar la denominación de su zona de aterrizaje. Puede conservar los nombres que AWS Control Tower recomienda para las unidades organizativas (OUs) y las cuentas principales, o puede modificarlos durante el proceso inicial de configuración de la landing zone.

Los nombres predeterminados que AWS Control Tower proporciona para las cuentas principales OUs y las principales coinciden con la guía de prácticas recomendadas para AWS varias cuentas. Sin embargo, si su empresa tiene políticas de nomenclatura específicas o si ya tiene una OU o cuenta con el mismo nombre recomendado, la nueva funcionalidad de nomenclatura de la OU y de las cuentas le ofrece la flexibilidad necesaria para abordar esas limitaciones.

Aparte del cambio en el flujo de trabajo durante la configuración, la OU anteriormente conocida como OU principal ahora se denomina OU de seguridad, y la OU antes conocida como OU personalizada ahora se denomina OU de espacio aislado. Hicimos este cambio para mejorar nuestra alineación con la guía general de prácticas recomendadas de AWS en materia de nomenclatura.

Los nuevos clientes verán estos nuevos nombres de OU. Los clientes actuales seguirán viendo sus nombres originales OUs. Es posible que encuentre algunas inconsistencias en la nomenclatura de las OU mientras actualizamos nuestra documentación para adaptarla a los nuevos nombres.

Para empezar a usar AWS Control Tower desde la consola de AWS administración, ve a la consola de AWS Control Tower y selecciona Configurar landing zone en la parte superior derecha. Puede obtener más información sobre cómo planificar la zona de aterrizaje de AWS Control Tower.

Zona de aterrizaje de AWS Control Tower, versión 2.7

8 de abril de 2021

(Es necesaria una actualización a la versión 2.7 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte Actualización de la zona de aterrizaje).

Con la versión 2.7, AWS Control Tower presenta cuatro nuevos controles preventivos obligatorios de archivo de registros que implementan la política únicamente en recursos de AWS Control Tower. Hemos ajustado las directrices sobre cuatro controles de archivo de registro existentes, pasando de ser obligatorios a opcionales, ya que establecen políticas para los recursos fuera de AWS Control Tower. Este cambio y expansión de control permiten separar la gobernanza del archivo de registro para los recursos de AWS Control Tower de la gobernanza de recursos fuera de AWS Control Tower.

Los cuatro controles modificados se pueden utilizar junto con los nuevos controles obligatorios para gestionar un conjunto más amplio de archivos de AWS registro. Los entornos de AWS Control Tower existentes mantendrán estos cuatro controles modificados habilitados automáticamente para garantizar la coherencia del entorno; no obstante, estos controles opcionales ahora se pueden deshabilitar. Los nuevos entornos de AWS Control Tower deben habilitar todos los controles opcionales. Los entornos existentes deben deshabilitar los controles anteriormente obligatorios antes de añadir el cifrado a los buckets de Amazon S3 que no implementan AWS Control Tower.

Nuevos controles obligatorios:

  • Prohibición de cambios en la configuración de cifrado para buckets S3 creados por AWS Control Tower en el archivo de registro

  • Prohibición de cambios en la configuración de registro para buckets S3 creados por AWS Control Tower en el archivo de registro

  • Prohibición de cambios en la política de buckets para buckets S3 creados por AWS Control Tower en el archivo de registro

  • Prohibición de cambios en la configuración de ciclo de vida para buckets S3 creados por AWS Control Tower en el archivo de registro

Cambio de la guía de obligatoria a opcional:

  • Prohibición de cambios en la configuración de cifrado para todos los buckets de Amazon S3 [Anteriormente: Habilitar cifrado en reposo para el archivo de registro]

  • Prohibición de cambios en la configuración de registro para todos los buckets de Amazon S3 [Anteriormente: Habilitar el registro de acceso para el archivo de registro]

  • Prohibición de cambios en la política de buckets para todos los buckets de Amazon S3 [Anteriormente: Prohibir cambios en el archivo de registro relativos a las políticas]

  • Prohibición de cambios en la configuración de ciclo de vida para todos los buckets de Amazon S3 [Anteriormente: Establecer una política de retención para el archivo de registro]

La versión 2.7 de AWS Control Tower incluye cambios en el esquema de la zona de aterrizaje de AWS Control Tower que pueden provocar incompatibilidad con versiones anteriores tras la actualización a la 2.7.

  • En concreto, la versión 2.7 de AWS Control Tower habilita BlockPublicAccess automáticamente en los buckets S3 implementados por AWS Control Tower. Puede desactivar esta opción predeterminada si la carga de trabajo requiere el acceso a todas las cuentas. Para obtener más información sobre lo que sucede con BlockPublicaccess habilitado, consulte Bloquear el acceso público a su almacenamiento de Amazon S3.

  • La versión 2.7 de AWS Control Tower incluye un requisito de HTTPS. Todas las solicitudes enviadas a los buckets de S3 implementados por AWS Control Tower deben utilizar una capa de sockets seguros (SSL). Solo se permite el paso de solicitudes HTTPS. Si utiliza HTTP (sin SSL) como punto de conexión para enviar las solicitudes, este cambio generará un error de acceso denegado, lo que podría interrumpir el flujo de trabajo. Este cambio no se puede revertir después de la actualización 2.7 de la zona de aterrizaje.

    Le recomendamos que cambie sus solicitudes para utilizar TLS en lugar de HTTP.

Tres nuevas AWS regiones disponibles

8 de abril de 2021

(Es necesaria la actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está disponible en tres AWS regiones adicionales: la región de Asia Pacífico (Tokio), la región de Asia Pacífico (Seúl) y la región de Asia Pacífico (Mumbai). Se requiere una actualización de la zona de aterrizaje a la versión 2.7 para ampliar la gobernanza a estas regiones.

La zona de aterrizaje no se amplía automáticamente a estas regiones cuando realiza la actualización a la versión 2.7, debe verlas y seleccionarlas en la tabla de regiones para incluirlas.

Gobernanza únicamente de las regiones seleccionadas

19 de febrero de 2021

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

La selección de regiones de AWS Control Tower proporciona una mejor capacidad para administrar la huella geográfica de los recursos de AWS Control Tower. Para ampliar el número de regiones en las que aloja AWS recursos o cargas de trabajo (por motivos de conformidad, normativos, económicos u otros motivos), ahora puede seleccionar las regiones adicionales que desee controlar.

La selección de regiones está disponible al configurar una nueva zona de aterrizaje o actualizar la versión de la zona de aterrizaje de AWS Control Tower. Cuando utiliza el generador de cuentas para crear una cuenta nueva o inscribir una cuenta de miembro preexistente, o bien cuando utiliza Ampliar el gobierno para inscribir cuentas en una unidad organizativa preexistente, AWS Control Tower implementa sus capacidades de gobernanza de registro, supervisión y controles centralizados en las regiones de las cuentas que elija. Para obtener más información acerca de la selección de regiones, consulte Configure las regiones AWS de su Torre de Control.

AWS Control Tower ahora amplía la gobernanza a la existente OUs en sus AWS organizaciones

28 de enero de 2021

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Amplíe la gobernanza a las unidades organizativas existentes (OUs) (las que no están en la Torre de Control de AWS) desde la consola de la Torre de Control de AWS. Con esta función, puede incorporar las cuentas incluidas OUs y de alto nivel al gobierno de la Torre de Control de AWS. Para obtener información sobre cómo ampliar la gobernanza a toda una OU, consulte Registrar una unidad organizativa existente con AWS Control Tower.

Al registrar una OU, AWS Control Tower realiza una serie de comprobaciones para garantizar la correcta extensión de la gobernanza y la inscripción de las cuentas dentro de la OU. Para obtener más información sobre los problemas habituales asociados al registro inicial de una OU, consulte Causas frecuentes de error durante el registro o el nuevo registro.

También puede visitar la página web del producto AWS Control Tower o YouTube visitar este vídeo sobre cómo empezar a utilizar AWS Control Tower for AWS Organizations.

AWS Control Tower ofrece actualizaciones masivas de cuentas

28 de enero de 2021

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Con la característica de actualización masiva, ahora puede actualizar todas las cuentas de una unidad organizativa (OU) de AWS Organizations registrada que contenga hasta 300 cuentas, con un solo clic, desde el panel de AWS Control Tower. Esto resulta especialmente útil en los casos en los que actualiza la zona de aterrizaje de AWS Control Tower y también debe actualizar las cuentas inscritas para alinearlas con la versión actual de la zona de aterrizaje.

Esta característica también le ayuda a mantener las cuentas actualizadas cuando actualiza la zona de aterrizaje de AWS Control Tower para ampliarla a nuevas regiones o cuando desea volver a registrar una OU para asegurarse de que todas las cuentas de esa OU tienen aplicados los controles más recientes. La actualización masiva de cuentas elimina la necesidad de actualizar una cuenta cada vez o de utilizar un script externo para realizar la actualización en varias cuentas.

Para obtener información sobre la actualización de una zona de aterrizaje, consulte Actualización de la zona de aterrizaje.

Para obtener información sobre cómo registrar o volver a registrar una OU, consulte Registrar una unidad organizativa existente con AWS Control Tower.