Enero de 2023: actualidad - AWS Control Tower
Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 3)Versión 3.3 de la zona de aterrizaje de AWS Control TowerTransición a un nuevo tipo de producto AWS Service Catalog externo (fase 2)AWS Control Tower anuncia controles para ayudar a la soberanía digitalAWS Control Tower admite las API de landing zoneAWS Control Tower admite el etiquetado de los controles habilitadosLa Torre de Control de AWS está disponible en la región de Asia Pacífico (Melbourne)Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 1)Nueva API de control disponibleAWS Control Tower añade controles adicionalesSe ha informado de un nuevo tipo de desviación: acceso de confianza desactivadoCuatro adicionales Regiones de AWSLa Torre de Control de AWS está disponible en la región de Tel AvivAWS Control Tower lanza 28 nuevos controles proactivosAWS Control Tower deja en desuso dos controlesVersión 3.2 de la zona de aterrizaje de AWS Control TowerAWS Control Tower gestiona las cuentas en función de su IDLos controles de detección adicionales de Security Hub están disponibles en la biblioteca de controles de la Torre de Control de AWSAWS Control Tower publica tablas de metadatos de controlSoporte de Terraform para la personalización de Account FactoryAWS La autogestión del IAM Identity Center está disponible para landing zoneAWS Control Tower aborda la gobernanza mixta para las unidades organizativasHay controles proactivos adicionales disponiblesControles proactivos de Amazon EC2 actualizadosRegiones de AWS Hay siete más disponibles Seguimiento de solicitudes de personalización de cuentas de Account Factory for Terraform (AFT) Versión 3.1 de la zona de aterrizaje de AWS Control TowerLos controles proactivos están disponibles de forma general

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Enero de 2023: actualidad

Desde enero de 2023, AWS Control Tower ha publicado las siguientes actualizaciones:

Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 3)

14 de diciembre de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ya no admite el código abierto de Terraform como tipo de producto (modelo) al crear nuevos. Cuentas de AWS Para obtener más información e instrucciones sobre cómo actualizar los esquemas de su cuenta, consulte el tipo de producto Transition to the AWS Service Catalog External.

Si no actualiza los planes de su cuenta para utilizar el tipo de producto externo, solo podrá actualizar o cancelar las cuentas que haya aprovisionado mediante los planes de código abierto de Terraform.

Versión 3.3 de la zona de aterrizaje de AWS Control Tower

14 de diciembre de 2023

(Se requiere una actualización para la versión 3.3 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulteActualizar la zona de inicio).

Actualizaciones de la política de cubos de S3 en la cuenta de auditoría de la Torre de Control de AWS

Hemos modificado la política de segmentos de auditoría de Amazon S3 que AWS Control Tower implementa en las cuentas, de modo que se debe cumplir una aws:SourceOrgID condición para cualquier permiso de escritura. Con esta versión, AWS los servicios solo tienen acceso a sus recursos cuando la solicitud proviene de su organización o unidad organizativa (OU).

Puede usar la clave de aws:SourceOrgID condición y establecer el valor del ID de su organización en el elemento de condición de su política de bucket de S3. Esta condición garantiza que CloudTrail solo pueda escribir registros en nombre de las cuentas de su organización en su bucket de S3; evita que CloudTrail los registros ajenos a su organización se escriban en su bucket de S3 de AWS Control Tower.

Hemos realizado este cambio para corregir una posible vulnerabilidad de seguridad, sin afectar a la funcionalidad de sus cargas de trabajo actuales. Para ver la política actualizada, consulte. Política de bucket de Amazon S3 en la cuenta de auditoría

Para obtener más información sobre la nueva clave de condición, consulte la documentación de IAM y la entrada del blog de IAM titulada «Utilice controles escalables para los AWS servicios que acceden a sus recursos».

Actualizaciones de la política en el tema SNS AWS Config

Hemos agregado la nueva clave de aws:SourceOrgID condición a la política del tema de AWS Config SNS. Para ver la política actualizada, consulte la política del tema de SNS. AWS Config

Actualizaciones de la región de landing zone Deny control

  • Eliminadodiscovery-marketplace:. Esta acción está cubierta por la aws-marketplace:* exención.

  • Se ha agregado quicksight:DescribeAccountSubscription

AWS CloudFormation Plantilla actualizada

Hemos actualizado la AWS CloudFormation plantilla de la pila nombrada BASELINE-CLOUDTRAIL-MASTER para que no muestre desviaciones cuando no se utiliza el AWS KMS cifrado.

Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 2)

7 de diciembre de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

HashiCorp actualizaron sus licencias de Terraform. Como resultado, AWS Service Catalog cambiaron el soporte para los productos de código abierto de Terraform y los productos aprovisionados por un nuevo tipo de producto, denominado Externo.

Para evitar interrumpir las cargas de trabajo y AWS los recursos existentes en sus cuentas, siga los pasos de transición de la Torre de Control de AWS que aparecen en la sección Transición al tipo de producto AWS Service Catalog externo antes del 14 de diciembre de 2023.

AWS Control Tower anuncia controles para ayudar a la soberanía digital

27 de noviembre de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower anuncia 65 nuevos controles AWS gestionados para ayudarle a cumplir sus requisitos de soberanía digital. Con esta versión, podrá descubrir estos controles en un nuevo grupo de soberanía digital en la consola de la Torre de Control de AWS. Puede usar estos controles para evitar acciones y detectar cambios en los recursos relacionados con la residencia de los datos, la restricción de acceso granular, el cifrado y las capacidades de resiliencia. Estos controles están diseñados para que le resulte más fácil abordar los requisitos a escala. Para obtener más información sobre los controles de soberanía digital, consulte Controles que mejoran la protección de la soberanía digital.

Por ejemplo, puede optar por habilitar controles que ayuden a aplicar sus estrategias de cifrado y resiliencia, como Exigir una caché de AWS AppSync API para habilitar el cifrado en tránsito o Requerir que se implemente un AWS Network Firewall en varias zonas de disponibilidad. También puede personalizar la región de la Torre de Control de AWS (denegar el control) para aplicar las restricciones regionales que mejor se adapten a sus necesidades empresariales específicas.

Esta versión incluye capacidades mejoradas de denegación de regiones de AWS Control Tower. Puedes aplicar un nuevo control de denegación de región parametrizado a nivel de OU para aumentar la granularidad de la gobernanza y, al mismo tiempo, mantener una gobernanza regional adicional a nivel de landing zone. Este control de denegación regional personalizable le ayuda a aplicar las restricciones regionales que mejor se adapten a sus necesidades empresariales específicas. Para obtener más información sobre el nuevo control de denegación regional configurable, consulte el control de denegación regional aplicado a la OU.

Como nueva herramienta para la nueva mejora de denegación regional, esta versión incluye una nueva API que le permite restablecer los controles habilitados a la configuración predeterminada. UpdateEnabledControl Esta API resulta especialmente útil en los casos de uso en los que es necesario resolver las desviaciones rápidamente o garantizar mediante programación que un control no se encuentre en estado de desviación. Para obtener más información sobre la nueva API, consulte la referencia de la API de AWS Control Tower

Nuevos controles proactivos

  • CT.APIGATEWAY.PR.6: Exija que un dominio REST de Amazon API Gateway utilice una política de seguridad que especifique una versión mínima del protocolo TLS de TLSv1.2

  • CT.APPSYNC.PR.2: Requiere que se configure una API de AWS AppSync GraphQL con visibilidad privada

  • CT.APPSYNC.PR.3: Exigir que una API de AWS AppSync GraphQL no esté autenticada con claves de API

  • CT.APPSYNC.PR.4: Requiere una caché de API AWS AppSync GraphQL para activar el cifrado en tránsito.

  • CT.APPSYNC.PR.5: Requiere una caché de API AWS AppSync GraphQL para activar el cifrado en reposo.

  • CT.AUTOSCALING.PR.9: Requerir un volumen de Amazon EBS configurado mediante una configuración de lanzamiento de Auto Scaling de Amazon EC2 para cifrar los datos en reposo

  • CT.AUTOSCALING.PR.10: Exigir que un grupo de Auto Scaling de Amazon EC2 utilice solo tipos de instancias AWS Nitro al anular una plantilla de lanzamiento

  • CT.AUTOSCALING.PR.11: Exija que solo los tipos de instancias AWS Nitro que admitan el cifrado del tráfico de red entre instancias se agreguen a un grupo de Auto Scaling de Amazon EC2, al anular una plantilla de lanzamiento

  • CT.DAX.PR.3: Requerir un clúster de DynamoDB Accelerator para cifrar los datos en tránsito con Transport Layer Security (TLS)

  • CT.DMS.PR.2: Requerir un punto final del AWS Database Migration Service (DMS) para cifrar las conexiones de los puntos finales de origen y destino

  • CT.EC2.PR.15: Exigir que una instancia de Amazon EC2 utilice un tipo de instancia AWS Nitro al crear a partir del tipo de recurso AWS::EC2::LaunchTemplate

  • CT.EC2.PR.16: Exigir que una instancia Amazon EC2 utilice un tipo de instancia AWS Nitro cuando se cree con el tipo de recurso AWS::EC2::Instance

  • CT.EC2.PR.17: Requiere un host dedicado de Amazon EC2 para usar un tipo de instancia AWS Nitro

  • CT.EC2.PR.18: Exija que una flota de Amazon EC2 anule solo las plantillas de lanzamiento con AWS tipos de instancias Nitro

  • CT.EC2.PR.19: Exigir que una instancia Amazon EC2 utilice un tipo de instancia nitro que admita el cifrado en tránsito entre instancias cuando se cree con el tipo de recurso AWS::EC2::Instance

  • CT.EC2.PR.20: Exija que una flota de Amazon EC2 anule solo las plantillas de lanzamiento con tipos de instancias AWS Nitro que admitan el cifrado en tránsito entre instancias

  • CT.ELASTICACHE.PR.8: Requerir un grupo de ElastiCache replicación de Amazon de versiones posteriores de Redis para activar la autenticación RBAC

  • CT.MQ.PR.1: Exija a un agente ActiveMQ de Amazon MQ que utilice el modo de implementación activo/en espera para obtener una alta disponibilidad

  • CT.MQ.PR.2: Exija a un agente MQ de Amazon MQ Rabbit que utilice el modo de clúster Multi-AZ para obtener una alta disponibilidad

  • CT.MSK.PR.1: Requerir un clúster Amazon Managed Streaming for Apache Kafka (MSK) para aplicar el cifrado en tránsito entre los nodos del intermediario del clúster

  • CT.MSK.PR.2: Requiere que un clúster de Amazon Managed Streaming for Apache Kafka (MSK) esté configurado con deshabilitado PublicAccess

  • CT.NETWORK-FIREWALL.PR.5: Exigir AWS la implementación de un firewall de Network Firewall en varias zonas de disponibilidad

  • CT.RDS.PR.26: Requerir un proxy de base de datos Amazon RDS para requerir conexiones de Transport Layer Security (TLS)

  • CT.RDS.PR.27: Requerir un grupo de parámetros de clúster de base de datos de Amazon RDS para requerir conexiones de seguridad de capa de transporte (TLS) para los tipos de motores compatibles

  • CT.RDS.PR.28: Requerir un grupo de parámetros de base de datos de Amazon RDS para requerir conexiones de seguridad de capa de transporte (TLS) para los tipos de motores compatibles

  • CT.RDS.PR.29: Exigir que un clúster de Amazon RDS no esté configurado para que sea de acceso público mediante la propiedad 'PubliclyAccessible'

  • CT.RDS.PR.30: Exija que una instancia de base de datos de Amazon RDS tenga el cifrado en reposo configurado para usar una clave de KMS que especifique para los tipos de motores compatibles

  • CT.S3.PR.12: Exigir que un punto de acceso Amazon S3 tenga una configuración de acceso público en bloque (BPA) con todas las opciones configuradas como true

Nuevos controles preventivos

  • CT.APPSYNC.PV.1Exigir que una API de AWS AppSync GraphQL esté configurada con visibilidad privada

  • CT.EC2.PV.1Requerir que se cree una instantánea de Amazon EBS a partir de un volumen EC2 cifrado

  • CT.EC2.PV.2Exija que un volumen de Amazon EBS adjunto esté configurado para cifrar los datos en reposo

  • CT.EC2.PV.3Exigir que una instantánea de Amazon EBS no pueda restaurarse públicamente

  • CT.EC2.PV.4Exigir que no se llame a las API directas de Amazon EBS

  • CT.EC2.PV.5No permitir el uso de la importación y exportación de máquinas virtuales Amazon EC2

  • CT.EC2.PV.6No permitir el uso de acciones de Amazon RequestSpotFleet RequestSpotInstances EC2 y API obsoletas

  • CT.KMS.PV.1Exija que una política AWS KMS clave incluya una declaración que limite la creación de AWS KMS subvenciones a los servicios AWS

  • CT.KMS.PV.2Exija que una clave AWS KMS asimétrica con material de clave RSA que se utilice para el cifrado no tenga una longitud de clave de 2048 bits

  • CT.KMS.PV.3Exija que la AWS KMS clave esté configurada con la comprobación de seguridad de bloqueo por política de elusión activada

  • CT.KMS.PV.4Exigir que una clave AWS KMS gestionada por el cliente (CMK) esté configurada con material clave originado en CloudHSM AWS

  • CT.KMS.PV.5Exija que una clave AWS KMS gestionada por el cliente (CMK) esté configurada con material clave importado

  • CT.KMS.PV.6Exija que una clave AWS KMS gestionada por el cliente (CMK) esté configurada con material clave procedente de un almacén de claves externo (XKS)

  • CT.LAMBDA.PV.1Requiere una URL de AWS Lambda función para usar la autenticación basada en IAM AWS

  • CT.LAMBDA.PV.2Requiere que AWS Lambda la URL de una función esté configurada para que solo puedan acceder a ella los directores de su Cuenta de AWS

  • CT.MULTISERVICE.PV.1: Denegar el acceso a una unidad organizativa AWS en función de lo solicitado Región de AWS

Los nuevos controles de detección que mejoran su postura de gobernanza de la soberanía digital forman parte del estándar de administración de AWS Security Hub servicios (AWS Control Tower).

Nuevos controles detectivescos

  • SH.ACM.2: Los certificados RSA administrados por ACM deben utilizar una longitud de clave de al menos 2048 bits

  • SH.AppSync.5: Las API de AWS AppSync GraphQL no deben autenticarse con claves de API

  • SH.CloudTrail.6: Asegúrese de que el depósito de S3 utilizado para almacenar CloudTrail los registros no sea de acceso público:

  • SH.DMS.9: Los puntos de conexión del DMS deben usar SSL

  • SH.DocumentDB.3: Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

  • SH.DynamoDB.3: Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

  • SH.EC2.23: Las pasarelas de tránsito de EC2 no deberían aceptar automáticamente las solicitudes de adjuntos de VPC

  • SH.EKS.1: Los puntos finales del clúster EKS no deben ser de acceso público

  • SH.ElastiCache.3: los grupos ElastiCache de replicación deben tener habilitada la conmutación por error automática

  • SH.ElastiCache.4: los grupos ElastiCache de replicación deberían estar habilitados encryption-at-rest

  • SH.ElastiCache.5: los grupos de ElastiCache replicación deberían estar encryption-in-transit habilitados

  • SH.ElastiCache.6: los grupos de ElastiCache replicación de versiones anteriores de Redis deberían tener habilitada la autenticación de Redis

  • SH.EventBridge.3: los buses EventBridge de eventos personalizados deben tener adjunta una política basada en los recursos

  • SH.KMS.4: la rotación de AWS KMS claves debe estar habilitada

  • SH.Lambda.3: Las funciones Lambda deben estar en una VPC

  • SH.MQ.5: Los corredores de ActiveMQ deberían utilizar el modo de despliegue activo/en espera

  • SH.MQ.6: Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres

  • SH.MSK.1: Los clústeres de MSK deben cifrarse en tránsito entre los nodos de los corredores

  • SH.RDS.12: La autenticación de IAM debe configurarse para los clústeres de RDS

  • SH.RDS.15: Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad

  • SH.S3.17: Los cubos S3 deben cifrarse en reposo con claves AWS KMS

Para obtener más información sobre los controles añadidos al estándar AWS Security Hub gestionado por servicios (AWS Control Tower), consulte Controles que se aplican al estándar gestionado por servicios: AWS Control Tower en la documentación. AWS Security Hub

Para ver una lista de los controles Regiones de AWS que no son compatibles con determinados controles que forman parte del estándar AWS Control Tower AWS Security Hub , gestionado por servicios, consulte Regiones no compatibles.

Nuevo control configurable para la denegación de regiones a nivel de unidad organizativa

CT.MULTISERVICE.PV.1: Este control acepta parámetros para especificar las regiones, los principios de IAM y las acciones exentas que están permitidos, a nivel de unidad organizativa, en lugar de en toda la zona de aterrizaje de AWS Control Tower. Se trata de un control preventivo, que se implementa mediante la política de control de servicios (SCP).

Para obtener más información, consulte el control de denegación regional aplicado a la OU.

La API de UpdateEnabledControl

Esta versión de AWS Control Tower añade la siguiente compatibilidad con las API para los controles:

  • La EnableControl API actualizada puede configurar controles que son configurables.

  • La GetEnabledControl API actualizada muestra los parámetros configurados en un control habilitado.

  • La nueva UpdateEnabledControl API puede cambiar los parámetros de un control habilitado.

Para obtener más información, consulte la referencia de la API de AWS Control Tower.

AWS Control Tower admite las API de landing zone

26 de noviembre de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite la configuración y el lanzamiento de las zonas de landing zone mediante API. Puede crear, actualizar, obtener, enumerar, restablecer y eliminar zonas de aterrizaje mediante las API.

Las siguientes API te permiten configurar y gestionar tu landing zone de forma programática mediante AWS CloudFormation o el AWS CLI.

AWS Control Tower admite las siguientes API para las zonas de aterrizaje:

  • CreateLandingZone—Esta llamada a la API crea una zona de aterrizaje mediante una versión de landing zone y un archivo de manifiesto.

  • GetLandingZoneOperation—Esta llamada a la API devuelve el estado de una operación de landing zone específica.

  • GetLandingZone—Esta llamada a la API devuelve detalles sobre la landing zone especificada, incluida la versión, el archivo de manifiesto y el estado.

  • UpdateLandingZone—Esta llamada a la API actualiza la versión de la zona de aterrizaje o el archivo de manifiesto.

  • ListLandingZone—Esta llamada a la API devuelve un identificador de zona de aterrizaje (ARN) para una configuración de zona de aterrizaje en la cuenta de gestión.

  • ResetLandingZone—Esta llamada a la API restablece la zona de aterrizaje a los parámetros especificados en la última actualización, lo que puede reparar la deriva. Si la zona de aterrizaje no se ha actualizado, esta llamada restablece la zona de aterrizaje a los parámetros especificados en la creación.

  • DeleteLandingZone—Esta llamada a la API retira del servicio la landing zone.

Para empezar a utilizar las API de landing zone, consulta laCómo empezar a utilizar AWS Control Tower mediante las API.

AWS Control Tower admite el etiquetado de los controles habilitados

10 de noviembre de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite el etiquetado de recursos para los controles habilitados, desde la consola de AWS Control Tower o mediante API. Puede añadir, eliminar o enumerar las etiquetas de los controles habilitados.

Con el lanzamiento de las siguientes API, puede configurar etiquetas para los controles que habilita en AWS Control Tower. Las etiquetas son útiles a la hora de administrar, identificar, organizar, buscar y filtrar recursos. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio.

AWS Control Tower admite las siguientes API para el etiquetado de control:

  • TagResource—Esta llamada a la API agrega etiquetas a los controles habilitados en AWS Control Tower.

  • UntagResource—Esta llamada a la API elimina las etiquetas de los controles habilitados en AWS Control Tower.

  • ListTagsForResource—Esta llamada a la API devuelve etiquetas de los controles habilitados en AWS Control Tower.

Las API de control de AWS Control Tower están disponibles en los Regiones de AWS lugares donde está disponible AWS Control Tower. Para obtener una lista completa de los Regiones de AWS lugares en los que está disponible la Torre de Control de AWS, consulte la tabla de AWS regiones. Para obtener una lista completa de las API de AWS Control Tower, consulte la Referencia de API.

La Torre de Control de AWS está disponible en la región de Asia Pacífico (Melbourne)

3 de noviembre de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está disponible en la región Asia Pacífico (Melbourne).

Si ya utiliza AWS Control Tower y desea extender sus funciones de gobierno a esta región en sus cuentas, vaya a la página de configuración del panel de control de AWS Control Tower, seleccione la región y, a continuación, actualice su zona de aterrizaje. Tras una actualización de la zona de aterrizaje, debe actualizar todas las cuentas que estén gobernadas por AWS Control Tower para que sus cuentas y unidades organizativas estén bajo el control de la nueva región. Para obtener más información, consulte Acerca de las actualizaciones.

Para ver una lista completa de las regiones en las que está disponible AWS Control Tower, consulte la Región de AWS tabla.

Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 1)

31 de octubre de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

HashiCorp actualizaron sus licencias de Terraform. Como resultado, AWS Service Catalog actualizaron el soporte para los productos de código abierto de Terraform y los aprovisionaron a un nuevo tipo de producto, denominado Externo.

AWS Control Tower no admite las personalizaciones de Account Factory que dependan del tipo de producto AWS Service Catalog externo. Para evitar interrumpir las cargas de trabajo y AWS los recursos existentes en sus cuentas, siga los pasos de transición de la Torre de Control de AWS en este orden sugerido, antes del 14 de diciembre de 2023:

  1. Actualice su motor de referencia de Terraform actual para AWS Service Catalog incluir soporte para los tipos de productos externos y de código abierto de Terraform. Para obtener instrucciones sobre cómo actualizar su motor de referencia de Terraform, consulte el repositorio.AWS Service Catalog GitHub

  2. Ve a cualquier plano de código abierto de Terraform existente AWS Service Catalog y duplícalo para usar el nuevo tipo de producto externo. No cancele los planos de código abierto de Terraform existentes.

  3. Siga utilizando sus planos de código abierto de Terraform existentes para crear o actualizar cuentas en AWS Control Tower.

Nueva API de control disponible

14 de octubre de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite una API adicional que puede usar para implementar y administrar los controles de la Torre de Control de AWS a escala. Para obtener más información sobre las API de control de la Torre de Control de AWS, consulte la Referencia de API.

AWS Control Tower agregó una nueva API de control.

  • GetEnabledControl—La llamada a la API proporciona detalles sobre un control habilitado.

También actualizamos esta API:

ListEnabledControls—Esta llamada a la API muestra los controles habilitados por AWS Control Tower en la unidad organizativa especificada y las cuentas que contiene. Ahora devuelve información adicional de un EnabledControlSummary objeto.

Con estas API, puede realizar varias operaciones comunes mediante programación. Por ejemplo:

  • Obtenga una lista de todos los controles que ha activado en la biblioteca de controles de la Torre de Control de AWS.

  • Para cualquier control habilitado, puede obtener información sobre las regiones en las que se admite el control, el identificador del control (ARN), el estado de desviación del control y el resumen del estado del control.

Las API de control de AWS Control Tower están disponibles en los Regiones de AWS lugares donde está disponible AWS Control Tower. Para obtener una lista completa de los Regiones de AWS lugares en los que está disponible la Torre de Control de AWS, consulte la tabla de AWS regiones. Para obtener una lista completa de las API de AWS Control Tower, consulte la Referencia de API.

AWS Control Tower añade controles adicionales

5 de octubre de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower anuncia nuevos controles proactivos y de detección.

Los controles proactivos de AWS Control Tower se implementan mediante AWS CloudFormation Hooks, que identifican y bloquean los recursos no conformes antes de AWS CloudFormation aprovisionarlos. Los controles proactivos complementan las capacidades de control preventivo y de detección existentes en AWS Control Tower.

Nuevos controles proactivos

  • [CT.ATHENA.PR.1] Requerir un grupo de trabajo de Amazon Athena para cifrar los resultados de las consultas de Athena en reposo

  • [CT.ATHENA.PR.2] Requerir que un grupo de trabajo de Amazon Athena cifre los resultados de las consultas de Athena en reposo con una clave (KMS) AWS Key Management Service

  • [CT.CLOUDTRAIL.PR.4] Requiere un almacén de datos de eventos de AWS CloudTrail Lake para permitir el cifrado en reposo con una clave AWS KMS

  • [CT.DAX.PR.2] Requiere un clúster de Amazon DAX para implementar nodos en al menos tres zonas de disponibilidad

  • [CT.EC2.PR.14] Requerir un volumen de Amazon EBS configurado mediante una plantilla de lanzamiento de Amazon EC2 para cifrar los datos en reposo

  • [CT.EKS.PR.2] Exigir que un clúster de Amazon EKS se configure con cifrado secreto mediante AWS claves del Servicio de administración de claves (KMS)

  • [CT.ELASTICLOADBALANCING.PR.14] Requiere un Network Load Balancer para activar el equilibrio de carga entre zonas

  • [CT.ELASTICLOADBALANCING.PR.15] Exigir que un grupo objetivo de Elastic Load Balancing v2 no deshabilite explícitamente el equilibrio de carga entre zonas

  • [CT.EMR.PR.1] Exigir que se configure una configuración de seguridad de Amazon EMR (EMR) para cifrar los datos en reposo en Amazon S3

  • [CT.EMR.PR.2] Exigir que se configure una configuración de seguridad de Amazon EMR (EMR) para cifrar los datos en reposo en Amazon S3 con una clave AWS KMS

  • [CT.EMR.PR.3] Exigir que la configuración de seguridad de Amazon EMR (EMR) esté configurada con el cifrado del disco local por volumen de EBS mediante una clave AWS KMS

  • [CT.EMR.PR.4] Exigir que se configure una configuración de seguridad de Amazon EMR (EMR) para cifrar los datos en tránsito

  • [CT.GLUE.PR.1] Requiere un trabajo de AWS Glue para tener una configuración de seguridad asociada

  • [CT.GLUE.PR.2] Requiere una configuración de seguridad de AWS Glue para cifrar los datos en los destinos de Amazon S3 mediante claves de AWS KMS

  • [CT.KMS.PR.2] Exija que una clave AWS KMS asimétrica con material de clave RSA utilizada para el cifrado tenga una longitud de clave superior a 2048 bits

  • [CT.KMS.PR.3] Exija que una política AWS KMS clave incluya una declaración que limite la creación de AWS KMS subvenciones a los servicios AWS

  • [CT.LAMBDA.PR.4] Requiere un permiso de AWS Lambda capa para conceder acceso a una AWS organización o AWS cuenta específica

  • [CT.LAMBDA.PR.5] Se requiere una URL de AWS Lambda función para usar la autenticación basada AWS en IAM

  • [CT.LAMBDA.PR.6] Requiere una política CORS de URL de AWS Lambda función para restringir el acceso a orígenes específicos

  • [CT.NEPTUNE.PR.4] Requiere un clúster de base de datos de Amazon Neptune para permitir la exportación de registros de Amazon para CloudWatch registros de auditoría

  • [CT.NEPTUNE.PR.5] Exija un clúster de base de datos de Amazon Neptune para establecer un período de retención de copias de seguridad superior o igual a siete días

  • [CT.REDSHIFT.PR.9] Exigir que un grupo de parámetros de clúster de Amazon Redshift esté configurado para utilizar Secure Sockets Layer (SSL) para el cifrado de los datos en tránsito

Estos nuevos controles proactivos están disponibles en tiendas Regiones de AWS donde AWS Control Tower está disponible. Para obtener más información sobre estos controles, consulte Controles proactivos. Para obtener más información sobre dónde están disponibles los controles, consulte Limitaciones de control.

Nuevos controles de detección

Se agregaron nuevos controles al estándar gestionado por el servicio Security Hub: AWS Control Tower. Estos controles le ayudan a mejorar su postura de gobierno. Actúan como parte del estándar gestionado por el servicio Security Hub: AWS Control Tower, después de habilitarlos en una unidad organizativa específica.

  • [SH.Athena.1] Los grupos de trabajo de Athena deben estar cifrados en reposo

  • [SH.Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

  • [SH.Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar registros de auditoría en Logs CloudWatch

  • [SH.Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

  • [SH.Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección contra eliminación

  • [SH.Neptune.5] Los clústeres de Neptune DB deberían tener habilitadas las copias de seguridad automatizadas

  • [SH.Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

  • [SH.Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

  • [SH.Neptune.8] Los clústeres de bases de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

  • [SH.RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo

Los nuevos controles AWS Security Hub de detección están disponibles en la mayoría de los Regiones de AWS lugares donde AWS Control Tower está disponible. Para obtener más información sobre estos controles, consulte Controles que se aplican al estándar gestionado por servicios: AWS Control Tower. Para obtener más información sobre dónde están disponibles los controles, consulte. Limitaciones de control

Se ha informado de un nuevo tipo de desviación: acceso de confianza desactivado

21 de septiembre de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

Después de configurar la zona de aterrizaje de la Torre de Control de AWS, puede deshabilitar el acceso de confianza a la Torre de Control de AWS en AWS Organizations. Sin embargo, si lo hace, se produce una desviación.

Con el tipo de deriva desactivado con acceso confiable, AWS Control Tower le notifica cuando se produce este tipo de deriva para que pueda reparar la zona de aterrizaje de su AWS Control Tower. Para obtener más información, consulte Tipos de cambios en la gobernanza.

Cuatro adicionales Regiones de AWS

13 de septiembre de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ya está disponible en Asia Pacífico (Hyderabad), Europa (España y Zúrich) y Oriente Medio (Emiratos Árabes Unidos).

Si ya utiliza AWS Control Tower y desea extender sus funciones de gobierno a esta región en sus cuentas, vaya a la página de configuración del panel de control de AWS Control Tower, seleccione la región y, a continuación, actualice su zona de aterrizaje. Tras una actualización de la zona de aterrizaje, debe actualizar todas las cuentas que estén gobernadas por AWS Control Tower para que sus cuentas y unidades organizativas estén bajo el control de la nueva región. Para obtener más información, consulte Acerca de las actualizaciones.

Para ver una lista completa de las regiones en las que está disponible AWS Control Tower, consulte la Región de AWS tabla.

La Torre de Control de AWS está disponible en la región de Tel Aviv

28 de agosto de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower anuncia su disponibilidad en la región de Israel (Tel Aviv).

Si ya utiliza AWS Control Tower y desea extender sus funciones de gobierno a esta región en sus cuentas, vaya a la página de configuración del panel de control de AWS Control Tower, seleccione la región y, a continuación, actualice su zona de aterrizaje. Tras una actualización de la zona de aterrizaje, debe actualizar todas las cuentas que estén gobernadas por AWS Control Tower para que sus cuentas y unidades organizativas estén bajo el control de la nueva región. Para obtener más información, consulte Acerca de las actualizaciones.

Para ver una lista completa de las regiones en las que está disponible AWS Control Tower, consulte la Región de AWS tabla.

AWS Control Tower lanza 28 nuevos controles proactivos

24 de julio de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower añade 28 nuevos controles proactivos para ayudarlo a administrar su AWS entorno.

Los controles proactivos mejoran las capacidades de gobierno de AWS Control Tower en sus AWS entornos de múltiples cuentas, al bloquear los recursos no conformes antes de que se aprovisionen. Estos controles ayudan a administrar AWS servicios como Amazon CloudWatch, Amazon Neptune, Amazon y Amazon ElastiCache AWS Step Functions DocumentDB. Los nuevos controles le ayudan a cumplir los objetivos de control, como establecer el registro y la supervisión, cifrar los datos en reposo o mejorar la resiliencia.

Esta es una lista completa de los nuevos controles:

  • [CT.APPSYNC.PR.1] Requiere una API de AWS AppSync GraphQL para activar el registro

  • [CT.CLOUDWATCH.PR.1] Requiere que una alarma de CloudWatch Amazon tenga una acción configurada para el estado de alarma

  • [CT.CLOUDWATCH.PR.2] Exigir que un grupo de registros de CloudWatch Amazon se conserve durante al menos un año

  • [CT.CLOUDWATCH.PR.3] Exigir que un grupo de registros de CloudWatch Amazon esté cifrado en reposo con una clave KMS AWS

  • [CT.CLOUDWATCH.PR.4] Requiere que se active una acción de alarma de Amazon CloudWatch

  • [CT.DOCUMENTDB.PR.1] Exigir que un clúster de Amazon DocumentDB esté cifrado en reposo

  • [CT.DOCUMENTDB.PR.2] Requiere que un clúster de Amazon DocumentDB tenga habilitadas las copias de seguridad automáticas

  • [CT.DYNAMODB.PR.2] Exigir que una tabla de Amazon DynamoDB se cifre en reposo mediante claves AWS KMS

  • [CT.EC2.PR.13] Requiere que una instancia de Amazon EC2 tenga habilitada la supervisión detallada

  • [CT.EKS.PR.1] Exigir que un clúster de Amazon EKS esté configurado con el acceso público desactivado al punto final del servidor API de Kubernetes del clúster

  • [CT.ELASTICACHE.PR.1] Requiere que un clúster de ElastiCache Amazon for Redis tenga activadas las copias de seguridad automáticas

  • [CT.ELASTICACHE.PR.2] Requiere que un clúster de ElastiCache Amazon for Redis tenga activadas las actualizaciones automáticas de las versiones secundarias

  • [CT.ELASTICACHE.PR.3] Exigir que un grupo de replicación de ElastiCache Amazon for Redis tenga activada la conmutación por error automática

  • [CT.ELASTICACHE.PR.4] Exigir que un grupo de replicación de ElastiCache Amazon tenga activado el cifrado en reposo

  • [CT.ELASTICACHE.PR.5] Exigir que un grupo de replicación de ElastiCache Amazon for Redis tenga activado el cifrado en tránsito

  • [CT.ELASTICACHE.PR.6] Requiere un clúster de caché de ElastiCache Amazon para usar un grupo de subredes personalizado

  • [CT.ELASTICACHE.PR.7] Requiere un grupo de replicación de ElastiCache Amazon de versiones anteriores de Redis para tener la autenticación AUTH de Redis

  • [CT.ELASTICBEANSTALK.PR.3] Requiere un entorno de AWS Elastic Beanstalk para tener una configuración de registro

  • [CT.LAMBDA.PR.3] Requiere que una AWS Lambda función esté en una Amazon Virtual Private Cloud (VPC) gestionada por el cliente

  • [CT.NEPTUNE.PR.1] Requiere que un clúster de base de datos de Amazon Neptune tenga autenticación de base de datos (IAM) AWS Identity and Access Management

  • [CT.NEPTUNE.PR.2] Requiere que un clúster de base de datos de Amazon Neptune tenga habilitada la protección de eliminación

  • [CT.NEPTUNE.PR.3] Requiere que un clúster de base de datos de Amazon Neptune tenga habilitado el cifrado de almacenamiento

  • [CT.REDSHIFT.PR.8] Requerir cifrar un clúster de Amazon Redshift

  • [CT.S3.PR.9] Requiere que un bucket de Amazon S3 tenga activado el bloqueo de objetos S3

  • [CT.S3.PR.10] Requiere que un bucket de Amazon S3 tenga el cifrado del lado del servidor configurado mediante claves AWS KMS

  • [CT.S3.PR.11] Requiere que un bucket de Amazon S3 tenga habilitado el control de versiones

  • [CT.STEPFUNCTIONS.PR.1] Requiere que una máquina de estados tenga el registro activado AWS Step Functions

  • [CT.STEPFUNCTIONS.PR.2] Requiere que una máquina de estados tenga activado el rastreo AWS Step Functions AWS X-Ray

Los controles proactivos de AWS Control Tower se implementan mediante AWS CloudFormation Hooks, que identifican y bloquean los recursos no conformes antes de AWS CloudFormation aprovisionarlos. Los controles proactivos complementan las capacidades de control preventivo y de detección existentes en AWS Control Tower.

Estos nuevos controles proactivos están disponibles en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para obtener más información sobre estos controles, consulte Controles proactivos.

AWS Control Tower deja en desuso dos controles

18 de julio de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower lleva a cabo revisiones periódicas de sus controles de seguridad para garantizar que estén actualizados y que sigan considerándose prácticas recomendadas. Los dos controles siguientes han quedado obsoletos, con efecto a partir del 18 de julio de 2023, y se eliminarán de la biblioteca de controles a partir del 18 de agosto de 2023. Ya no puedes activar estos controles en ninguna unidad organizativa. Puedes optar por desactivar estos controles antes de la fecha de retirada.

  • [SH.S3.4] Los buckets S3 deben tener habilitado el cifrado del lado del servidor

  • [CT.S3.PR.7] Requiere que un bucket de Amazon S3 tenga configurado el cifrado del lado del servidor

Motivo de la obsolescencia

A partir de enero de 2023, Amazon S3 configuró el cifrado predeterminado en todos los buckets no cifrados nuevos y existentes para aplicar el cifrado del lado del servidor con claves administradas de S3 (SSE-S3) como nivel base de cifrado para los nuevos objetos cargados en estos buckets. No se ha realizado ningún cambio en la configuración de cifrado predeterminada de un depósito existente que ya tenía configurado el SSE-S3 o el cifrado del lado del servidor con AWS claves del Servicio de administración de claves (KMS) (SSE-KMS).AWS

Versión 3.2 de la zona de aterrizaje de AWS Control Tower

16 de junio de 2023

(Se requiere una actualización para la versión 3.2 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulteActualizar la zona de inicio).

La versión 3.2 de la zona de aterrizaje de AWS Control Tower pone a disposición del público general los controles que forman parte del estándar AWS Security Hub gestionado por servicios: AWS Control Tower. Introduce la posibilidad de ver el estado de desviación de los controles que forman parte de este estándar en la consola de la Torre de Control de AWS.

Esta actualización incluye un nuevo rol vinculado a un servicio (SLR), denominado. AWSServiceRoleForAWSControlTower Esta función ayuda a AWS Control Tower a crear una regla EventBridge gestionada, denominada AWSControlTowerManagedRuleen la cuenta de cada miembro. Esta regla administrada recopila los eventos de AWS Security Hub búsqueda, ya que con AWS Control Tower se puede determinar la desviación de control.

Esta regla es la primera regla administrada que crea AWS Control Tower. La regla no se implementa mediante una pila, sino que se implementa directamente desde las EventBridge API. Puede ver la regla en la EventBridge consola o mediante las EventBridge API. Si el managed-by campo está completo, se mostrará el director de servicio de la Torre de Control de AWS.

Anteriormente, AWS Control Tower asumía la AWSControlTowerExecutionfunción de realizar operaciones en las cuentas de los miembros. Este nuevo rol y esta nueva regla están mejor alineados con el principio de mejores prácticas de permitir el mínimo de privilegios al realizar operaciones en un AWS entorno de múltiples cuentas. La nueva función proporciona permisos restringidos que permiten específicamente: crear la regla administrada en las cuentas de los miembros, mantener la regla administrada, publicar notificaciones de seguridad a través de las redes sociales y verificar las desviaciones. Para obtener más información, consulte AWSServiceRoleForAWSControlTower.

La actualización 3.2 de landing zone también incluye un nuevo StackSet recurso en la cuenta de administraciónBP_BASELINE_SERVICE_LINKED_ROLE, que inicialmente despliega la función vinculada al servicio.

Cuando se informa de una desviación de control del Security Hub (en la zona de aterrizaje 3.2 y versiones posteriores), AWS Control Tower recibe una actualización de estado diaria de Security Hub. Aunque los controles están activos en todas las regiones gobernadas, la Torre de Control de AWS envía los eventos AWS Security Hub Finding únicamente a la región de origen de la Torre de Control de AWS. Para obtener más información, consulte Informes de desviaciones de control de Security Hub.

Actualización de la región: deniega el control

Esta versión de landing zone también incluye una actualización del control Region Deny.

Se agregaron servicios y API globales

  • AWS Billing and Cost Management (billing:*)

  • AWS CloudTrail (cloudtrail:LookupEvents) para permitir la visibilidad de los eventos globales en las cuentas de los miembros.

  • AWS Facturación unificada (consolidatedbilling:*)

  • AWS Aplicación Mobile Console (consoleapp:*)

  • AWS Nivel gratuito (freetier:*)

  • Facturación de AWS (invoicing:*)

  • AWS IQ (iq:*)

  • AWS Notificaciones de usuario (notifications:*)

  • AWS Contactos de notificaciones de usuario (notifications-contacts:*)

  • Amazon Payments (payments:*)

  • AWS Configuración fiscal (tax:*)

Se eliminaron los servicios y las API globales

  • Se ha eliminado s3:GetAccountPublic porque no es una acción válida.

  • Se ha eliminado s3:PutAccountPublic porque no es una acción válida.

AWS Control Tower gestiona las cuentas en función de su ID

14 de junio de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora crea y administra las cuentas que usted crea en Account Factory mediante el seguimiento del ID de la AWS cuenta, en lugar de la dirección de correo electrónico de la cuenta.

Al aprovisionar una cuenta, el solicitante de la cuenta siempre debe tener los permisos CreateAccount y los DescribeCreateAccountStatus permisos. Este conjunto de permisos forma parte de la función de administrador y se otorga automáticamente cuando el solicitante asume la función de administrador. Si delegas el permiso para aprovisionar cuentas, es posible que tengas que añadir estos permisos directamente a los solicitantes de la cuenta.

Los controles de detección adicionales de Security Hub están disponibles en la biblioteca de controles de la Torre de Control de AWS

12 de junio de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha añadido diez nuevos AWS Security Hub controles de detección a la biblioteca de controles de la Torre de Control de AWS. Estos nuevos controles se dirigen a servicios como API Gateway AWS CodeBuild, Amazon Elastic Compute Cloud (EC2), Amazon Elastic Load Balancer, Amazon Redshift, Amazon y. SageMaker AWS WAF Estos nuevos controles lo ayudan a mejorar su postura de gobierno al cumplir con los objetivos de control, como establecer el registro y la supervisión, limitar el acceso a la red y cifrar los datos en reposo.

Estos controles actúan como parte del estándar gestionado por el servicio Security Hub: AWS Control Tower, después de habilitarlos en una unidad organizativa específica.

  • [Sh.Account.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS

  • [SH.APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

  • [SH.APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

  • [SH. CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

  • [SH.EC2.25] Las plantillas de lanzamiento de EC2 no deben asignar direcciones IP públicas a las interfaces de red

  • [SH.ELB.1] Application Load Balancer debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

  • [Sh.redshift.10] Los clústeres de Redshift deben cifrarse en reposo

  • [SH. SageMaker.2] las instancias de SageMaker notebook deberían lanzarse en una VPC personalizada

  • [SH. SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook

  • [SH.WAF.10] Una ACL web de WAFV2 debe tener al menos una regla o grupo de reglas

Los nuevos controles AWS Security Hub de detección están disponibles en todos los Regiones de AWS lugares donde esté disponible la Torre de Control de AWS. Para obtener más información sobre estos controles, consulte Controles que se aplican al estándar gestionado por servicios: AWS Control Tower.

AWS Control Tower publica tablas de metadatos de control

7 de junio de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora incluye tablas completas de metadatos de control como parte de la documentación publicada. Al trabajar con las API de control, puede buscar el ControlIdentifier de la API de cada control, que es un ARN único asociado a cada una. Región de AWS Las tablas incluyen los marcos y los objetivos de control que cubre cada control. Anteriormente, esta información solo estaba disponible en la consola.

Las tablas también incluyen los metadatos de los controles de Security Hub que forman parte del estándar de administración de AWS Security Hub servicios: AWS Control Tower. Para obtener más información, consulte Tablas de metadatos de control.

Para ver una lista abreviada de identificadores de control y algunos ejemplos de uso, consulta Identificadores de recursos para API y controles.

Soporte de Terraform para la personalización de Account Factory

6 de junio de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ofrece soporte en una sola región para Terraform mediante Account Factory Customization (AFC). A partir de esta versión, puede usar AWS Control Tower y Service Catalog juntos para definir los planos de cuentas de AFC en el código abierto de Terraform. Puede personalizar sus recursos nuevos y existentes Cuentas de AWS antes de aprovisionar recursos en AWS Control Tower. De forma predeterminada, esta función le permite implementar y actualizar cuentas, con Terraform, en su región de origen de la Torre de Control de AWS.

Un plan de cuenta describe los recursos y las configuraciones específicos que se requieren cuando se aprovisiona una Cuenta de AWS . Puede utilizar el plano como plantilla para crear varios Cuentas de AWS a escala.

Para empezar, utilice el motor de referencia de Terraform en. GitHub El motor de referencia configura el código y la infraestructura necesarios para que el motor de código abierto de Terraform funcione con Service Catalog. Este proceso de configuración único tarda unos minutos. Después, puede definir los requisitos de sus cuentas personalizadas en Terraform y, a continuación, implementarlas con el flujo de trabajo bien definido de fábrica de cuentas de AWS Control Tower. Los clientes que prefieran trabajar con Terraform pueden utilizar la personalización de cuentas de AWS Control Tower a escala con AFC y obtener acceso inmediato a cada cuenta una vez aprovisionada.

Para obtener información sobre cómo crear estas personalizaciones, consulte Creación de productos y Introducción al código abierto de Terraform en la documentación de Service Catalog. Esta función está disponible en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible.

AWS La autogestión del IAM Identity Center está disponible para landing zone

6 de junio de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite la opción de elegir un proveedor de identidad para una zona de aterrizaje de AWS Control Tower, que puede configurar durante la configuración o la actualización. De forma predeterminada, la landing zone está habilitada para usar el Centro de identidad de AWS IAM, de acuerdo con las recomendaciones de mejores prácticas definidas en Cómo organizar su AWS entorno con varias cuentas. Ahora tiene tres alternativas:

  • Puede aceptar la configuración predeterminada y permitir que AWS Control Tower configure y administre el AWS IAM Identity Center por usted.

  • Puede optar por gestionar automáticamente el centro de identidad de AWS IAM para reflejar sus requisitos empresariales específicos.

  • Si lo desea, puede contratar y autogestionar un proveedor de identidades externo, conectándolo a través del Centro de identidades de IAM, si es necesario. Debe utilizar la opción de proveedor de identidad si su entorno reglamentario exige que utilice un proveedor específico o si trabaja en un Regiones de AWS lugar donde el Centro de Identidad de AWS IAM no esté disponible.

Para obtener más información, consulte Guía sobre el Centro de Identidad de IAM.

No se admite la selección de proveedores de identidad a nivel de cuenta. Esta función solo se aplica a la zona de landing zone en su conjunto. La opción de proveedor de identidad de AWS Control Tower está disponible en todos los Regiones de AWS lugares donde esté disponible AWS Control Tower.

AWS Control Tower aborda la gobernanza mixta para las unidades organizativas

1 de junio de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

Con esta versión, AWS Control Tower impide que los controles se desplieguen en una unidad organizativa (OU) si esa OU se encuentra en un estado de gobierno mixto. La gobernanza mixta se produce en una OU si las cuentas no se actualizan después de que AWS Control Tower amplíe la gobernanza a una nueva Región de AWS o la elimine. Esta versión le ayuda a mantener las cuentas de los miembros de esa OU en conformidad uniforme. Para obtener más información, consulte Evite la gobernanza mixta al configurar las regiones.

Hay controles proactivos adicionales disponibles

19 de mayo de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower añade 28 nuevos controles proactivos para ayudarle a gestionar su entorno de múltiples cuentas y a cumplir objetivos de control específicos, como el cifrado de datos en reposo o la limitación del acceso a la red. Los controles proactivos se implementan mediante AWS CloudFormation enlaces que comprueban sus recursos antes de aprovisionarlos. Los nuevos controles pueden ayudar a controlar AWS servicios como Amazon OpenSearch Service, Amazon EC2 Auto Scaling, Amazon SageMaker, Amazon API Gateway y Amazon Relational Database Service (RDS).

Los controles proactivos son compatibles con todos los anuncios comerciales Regiones de AWS en los que AWS Control Tower esté disponible.

OpenSearch Servicio Amazon

  • [CT.OPENSEARCH.PR.1] Requiere un dominio de Elasticsearch para cifrar los datos en reposo

  • [CT.OPENSEARCH.PR.2] Requiere que se cree un dominio de Elasticsearch en una Amazon VPC especificada por el usuario

  • [CT.OPENSEARCH.PR.3] Requiere un dominio de Elasticsearch para cifrar los datos enviados entre nodos

  • [CT.OPENSEARCH.PR.4] Requiere un dominio de Elasticsearch para enviar los registros de errores a Amazon Logs CloudWatch

  • [CT.OPENSEARCH.PR.5] Requiere un dominio de Elasticsearch para enviar los registros de auditoría a Amazon Logs CloudWatch

  • [CT.OPENSEARCH.PR.6] Requiere que un dominio de Elasticsearch tenga reconocimiento de zona y al menos tres nodos de datos

  • [CT.OPENSEARCH.PR.7] Requiere que un dominio de Elasticsearch tenga al menos tres nodos maestros dedicados

  • [CT.OPENSEARCH.PR.8] Requiere un dominio de Elasticsearch Service para usar TLSv1.2

  • [CT.OPENSEARCH.PR.9] Requiere un dominio de OpenSearch Amazon Service para cifrar los datos en reposo

  • [CT.OPENSEARCH.PR.10] Requiere que se cree un dominio de Amazon Service en una OpenSearch Amazon VPC especificada por el usuario

  • [CT.OPENSEARCH.PR.11] Requiere un dominio de OpenSearch Amazon Service para cifrar los datos enviados entre nodos

  • [CT.OPENSEARCH.PR.12] Requiere un dominio de Amazon Service para enviar los registros de errores a OpenSearch Amazon Logs CloudWatch

  • [CT.OPENSEARCH.PR.13] Requiere un dominio de Amazon Service para enviar los registros de auditoría a OpenSearch Amazon Logs CloudWatch

  • [CT.OPENSEARCH.PR.14] Requiere que un dominio de OpenSearch Amazon Service tenga reconocimiento de zona y al menos tres nodos de datos

  • [CT.OPENSEARCH.PR.15] Requiere un dominio de OpenSearch Amazon Service para utilizar un control de acceso detallado

  • [CT.OPENSEARCH.PR.16] Requiere un dominio de Amazon Service para usar TLSv1.2 OpenSearch

Amazon EC2 Auto Scaling

  • [CT.AUTOSCALING.PR.1] Requerir que un grupo de Auto Scaling de Amazon EC2 tenga varias zonas de disponibilidad

  • [CT.AUTOSCALING.PR.2] Requiere una configuración de lanzamiento grupal de Amazon EC2 Auto Scaling para configurar las instancias de Amazon EC2 para IMDSv2

  • [CT.AUTOSCALING.PR.3] Requiere una configuración de lanzamiento de Auto Scaling de Amazon EC2 para tener un límite de respuesta de metadatos de un solo salto

  • [CT.AUTOSCALING.PR.4] Requiere que un grupo de Amazon EC2 Auto Scaling asociado a un Amazon Elastic Load Balancing (ELB) tenga activadas las comprobaciones de estado del ELB

  • [CT.AUTOSCALING.PR.5] Exigir que una configuración de lanzamiento grupal de Amazon EC2 Auto Scaling no tenga instancias de Amazon EC2 con direcciones IP públicas

  • [CT.AUTOSCALING.PR.6] Requiere que cualquier grupo de Auto Scaling de Amazon EC2 utilice varios tipos de instancias

  • [CT.AUTOSCALING.PR.8] Requiere que un grupo de Amazon EC2 Auto Scaling tenga configuradas las plantillas de lanzamiento de EC2

Amazon SageMaker

  • [CT.SAGEMAKER.PR.1] Requiere una instancia de SageMaker Amazon Notebook para evitar el acceso directo a Internet

  • [CT.SAGEMAKER.PR.2] Requiere que las instancias de Amazon Notebook se desplieguen en una SageMaker Amazon VPC personalizada

  • [CT.SAGEMAKER.PR.3] No se permite el acceso root a las instancias de SageMaker Amazon Notebook

Amazon API Gateway

  • [CT.APIGATEWAY.PR.5] Requiere que las rutas Websocket y HTTP de Amazon API Gateway V2 especifiquen un tipo de autorización

Amazon Relational Database Service (RDS)

  • [CT.RDS.PR.25] Requiere que un clúster de base de datos de Amazon RDS tenga configurado el registro

Para obtener más información, consulte Controles proactivos.

Controles proactivos de Amazon EC2 actualizados

2 de mayo de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha actualizado dos controles proactivos: CT.EC2.PR.3 yCT.EC2.PR.4.

Para el CT.EC2.PR.3 control actualizado, se bloquea el AWS CloudFormation despliegue de cualquier implementación que haga referencia a una lista de prefijos para un recurso de grupo de seguridad, a menos que sea para el puerto 80 o 443.

Para el CT.EC2.PR.4 control actualizado, cualquier AWS CloudFormation implementación que haga referencia a una lista de prefijos para un recurso de grupo de seguridad se bloquea si el puerto es 3389, 20, 23, 110, 143, 3306, 8080, 1433, 9200, 9300, 25, 445, 135, 21, 1434, 4333, 5432, 5500, 5601, 22, 3000, 5000, 8088, 8888.

Regiones de AWS Hay siete más disponibles

19 de abril de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ya está disponible en otros siete países Regiones de AWS: norte de California (San Francisco), Asia Pacífico (Hong Kong, Yakarta y Osaka), Europa (Milán), Oriente Medio (Bahréin) y África (Ciudad del Cabo). Estas regiones adicionales de AWS Control Tower, denominadas regiones opcionales, no están activas de forma predeterminada, excepto la región EE.UU. Oeste (norte de California), que está activa de forma predeterminada.

Algunos controles de la Torre de Control de AWS no funcionan en algunas de estas Regiones de AWS áreas adicionales en las que AWS Control Tower está disponible, ya que esas regiones no admiten la funcionalidad subyacente requerida. Para obtener más detalles, consulte Limitaciones de control.

Entre estas nuevas regiones, cFCT no está disponible en Asia Pacífico (Yakarta y Osaka). La disponibilidad en otras Regiones de AWS no ha cambiado.

Para obtener más información sobre cómo AWS Control Tower gestiona las limitaciones de las regiones y los controles, consulteConsideraciones a la hora de activar las regiones con AWS suscripción.

Los puntos de enlace vPCE requeridos por AFT no están disponibles en la región de Oriente Medio (Bahréin). Los clientes que desplieguen AFT en esta región deben realizar la implementación con un parámetro. aft_vpc_endpoints=false Para obtener más información, consulte el parámetro en el archivo README.

Las VPC de AWS Control Tower tienen dos zonas de disponibilidad en la región EE.UU. Oeste (Norte de California)us-west-1, debido a una limitación en Amazon EC2. En el oeste de EE. UU. (norte de California), seis subredes se dividen en dos zonas de disponibilidad. Para obtener más información, consulte Información general sobre AWS Control Tower y las VPC.

AWS Control Tower agregó nuevos permisos AWSControlTowerServiceRolePolicy que permiten a AWS Control Tower realizar llamadas al servicio de administración de cuentas y a las EnableRegion GetRegionOptStatus API implementadas por el servicio de administración de AWS cuentas, para que estén Regiones de AWS disponibles adicionalmente para sus cuentas compartidas en la zona de aterrizaje (cuenta de administración, cuenta de archivo de registros, cuenta de auditoría) y sus cuentas de miembros de la OU. ListRegions Para obtener más información, consulte Políticas administradas para AWS Control Tower.

Seguimiento de solicitudes de personalización de cuentas de Account Factory for Terraform (AFT)

16 de febrero de 2023

AFT admite el seguimiento de las solicitudes de personalización de cuentas. Cada vez que envía una solicitud de personalización de una cuenta, AFT genera un token de rastreo único que pasa por una máquina de AWS Step Functions estados de personalización de AFT, que registra el token como parte de su ejecución. Puedes usar las consultas de estadísticas de Amazon CloudWatch Logs para buscar rangos de marcas de tiempo y recuperar el token de solicitud. Como resultado, puede ver las cargas útiles que acompañan al token, de modo que puede rastrear la solicitud de personalización de su cuenta a lo largo de todo el flujo de trabajo de AFT. Para obtener más información sobre AFT, consulte Descripción general de AWS Control Tower Account Factory for Terraform. Para obtener información sobre CloudWatch Logs y Step Functions, consulte lo siguiente:

Versión 3.1 de la zona de aterrizaje de AWS Control Tower

9 de febrero de 2023

(Se requiere una actualización para la versión 3.1 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulteActualizar la zona de inicio)

La versión 3.1 de AWS Control Tower landing zone incluye las siguientes actualizaciones:

  • Con esta versión, AWS Control Tower desactiva el registro de acceso innecesario para su depósito de registro de acceso, que es el depósito de Amazon S3 en el que se almacenan los registros de acceso en la cuenta de Log Archive, al tiempo que sigue habilitando el registro de acceso al servidor para los cubos de S3. Esta versión también incluye actualizaciones del control Region Deny que permiten realizar acciones adicionales para los servicios globales, como los AWS Support planes y. AWS Artifact

  • La desactivación del registro de acceso al servidor para el depósito de registro de acceso de la Torre de Control de AWS hace que Security Hub busque el depósito de registro de acceso de la cuenta de Log Archive. Debido a una AWS Security Hub regla, [S3.9] El registro de acceso al servidor del bucket S3 debe estar habilitado. De acuerdo con Security Hub, le recomendamos que suprima este hallazgo concreto, tal y como se indica en la descripción de esta regla en Security Hub. Para obtener información adicional, consulte la información sobre los hallazgos suprimidos.

  • El registro de acceso al depósito de registro (normal) de la cuenta de Log Archive no ha cambiado en la versión 3.1. De acuerdo con las prácticas recomendadas, los eventos de acceso a ese depósito se registran como entradas de registro en el depósito de registro de acceso. Para obtener más información sobre el registro de acceso, consulte Registrar solicitudes mediante el registro de acceso al servidor en la documentación de Amazon S3.

  • Hemos actualizado el control de denegación de regiones. Esta actualización permite que más servicios globales realicen acciones. Para obtener más información sobre este SCP, consulte Denegar el acceso a en AWS función de lo solicitado Región de AWS y Controles que mejoran la protección de la residencia de los datos.

    Se agregaron los siguientes servicios globales:

    • AWS Account Management (account:*)

    • AWS Activar (activate:*)

    • AWS Artifact (artifact:*)

    • AWS Billing Conductor (billingconductor:*)

    • AWS Compute Optimizer (compute-optimizer:*)

    • AWS Data Pipeline (datapipeline:GetAccountLimits)

    • AWS Device Farm(devicefarm:*)

    • AWS Marketplace (discovery-marketplace:*)

    • Amazon ECR () ecr-public:*

    • AWS License Manager (license-manager:ListReceivedLicenses)

    • AWS lightsail:Get*Lightsail ()

    • Explorador de recursos de AWS (resource-explorer-2:*)

    • Amazon S3 (s3:CreateMultiRegionAccessPoint,s3:GetBucketPolicyStatus,s3:PutMultiRegionAccessPointPolicy)

    • AWS Savings Plans (savingsplans:*)

    • Centro de identidad de IAM () sso:*

    • AWS Support App (supportapp:*)

    • AWS Support Planes () supportplans:*

    • AWS Sostenibilidad (sustainability:*)

    • AWS Resource Groups Tagging API (tag:GetResources)

    • AWS Marketplace Información sobre los proveedores (vendor-insights:ListEntitledSecurityProfiles)

Los controles proactivos están disponibles de forma general

24 de enero de 2023

(No se requiere ninguna actualización para la zona de aterrizaje de AWS Control Tower).

Los controles proactivos opcionales, anunciados anteriormente en estado de versión preliminar, ya están disponibles de forma general. Estos controles se denominan proactivos porque comprueban sus recursos (antes de desplegarlos) para determinar si los nuevos recursos cumplen con los controles que están activados en su entorno. Para obtener más información, consulte Los controles integrales ayudan en el aprovisionamiento y la AWS administración de los recursos.