janvier - décembre 2021 - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

janvier - décembre 2021

En 2021, AWS Control Tower a publié les mises à jour suivantes :

Fonctionnalités de refus régional

30 novembre 2021

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower propose désormais des fonctionnalités de refus de région, qui vous aident à limiter l'accès à AWS services et opérations pour les comptes inscrits dans votre environnement AWS Control Tower. La fonction de refus de région complète les fonctionnalités de sélection et de désélection de région existantes dans AWS Control Tower. Ensemble, ces fonctionnalités vous aident à résoudre les problèmes de conformité et de réglementation, tout en équilibrant les coûts associés à l'expansion dans de nouvelles régions.

Par exemple, AWS les clients en Allemagne peuvent refuser l'accès à AWS services dans les régions situées en dehors de la région de Francfort. Vous pouvez sélectionner des régions restreintes pendant le processus de configuration de la AWS Control Tower ou sur la page des paramètres de la zone d'atterrissage. La fonction Region Deny est disponible lorsque vous mettez à jour votre version de la zone d'atterrissage de AWS Control Tower. Select AWS les services sont exemptés des fonctionnalités de refus régional. Pour en savoir plus, voir Configurer le contrôle de refus des régions.

Fonctionnalités de résidence des données

30 novembre 2021

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)

AWSControl Tower propose désormais des commandes spécialement conçues pour garantir que toutes les données clients que vous téléchargez sur AWS les services sont situés uniquement dans le AWS Régions que vous spécifiez. Vous pouvez sélectionner AWS Région ou régions dans lesquelles les données de vos clients sont stockées et traitées. Pour une liste complète des AWS Régions dans lesquelles AWS Control Tower est disponible, consultez le AWS Tableau des régions.

Pour un contrôle granulaire, vous pouvez appliquer des contrôles supplémentaires, tels que Interdire les connexions Amazon Virtual Private Network (VPN) ou Interdire l'accès à Internet pour une instance Amazon. VPC Vous pouvez consulter l'état de conformité des commandes dans la console AWS Control Tower. Pour une liste complète des commandes disponibles, consultez la bibliothèque de commandes The AWS Control Tower.

AWSControl Tower présente le provisionnement et la personnalisation des comptes Terraform

29 novembre 2021

(Mise à jour facultative pour la zone d'atterrissage de la AWS Control Tower)

Vous pouvez désormais utiliser Terraform pour approvisionner et mettre à jour des comptes personnalisés via AWS Control Tower, avec AWSControl Tower Account Factory for Terraform (). AFT

AFTfournit un pipeline unique d'infrastructure en tant que code (IaC) Terraform, qui approvisionne les comptes gérés par AWS Control Tower. Les personnalisations effectuées au cours du provisionnement permettent de respecter vos politiques commerciales et de sécurité, avant que vous ne donniez les comptes aux utilisateurs finaux.

Le pipeline de création AFT automatique de comptes surveille jusqu'à ce que le provisionnement du compte soit terminé, puis il continue, déclenchant des modules Terraform supplémentaires qui améliorent le compte avec les personnalisations nécessaires. Dans le cadre du processus de personnalisation, vous pouvez configurer le pipeline pour installer vos propres modules Terraform personnalisés, et vous pouvez choisir d'ajouter l'AFTune des options de fonctionnalité fournies par AWS pour les personnalisations courantes.

Commencez à utiliser AWS Control Tower Account Factory pour Terraform en suivant les étapes décrites dans le guide de l'utilisateur de AWS Control Tower et en le téléchargeant AFT pour votre instance Terraform. Déployez AWS Control Tower Account Factory pour Terraform () AFT AFTprend en charge les distributions Open Source Terraform Cloud, Terraform Enterprise et Terraform.

Nouvel événement du cycle de vie disponible

18 novembre 2021

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)

L'PrecheckOrganizationalUnitévénement enregistre si des ressources bloquent le succès de la tâche de gouvernance Extend, y compris les ressources imbriquées. OUs Pour de plus amples informations, veuillez consulter PrecheckOrganizationalUnit.

AWSControl Tower permet d'imbriquer OUs

16 novembre 2021

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)

AWSControl Tower vous permet désormais d'inclure Nested OUs dans votre zone de landing zone.

AWSControl Tower prend en charge les unités organisationnelles imbriquées (OUs), ce qui vous permet d'organiser les comptes en plusieurs niveaux hiérarchiques et d'appliquer des contrôles préventifs de manière hiérarchique. Vous pouvez enregistrer le OUs contenu imbriquéOUs, créer et enregistrer OUs sous parentOUs, et activer les contrôles sur n'importe quelle unité d'organisation enregistrée, quelle que soit sa profondeur. Pour prendre en charge cette fonctionnalité, la console indique le nombre de comptes gouvernés etOUs.

Avec nestedOUs, vous pouvez aligner votre AWS Control Tower OUs sur AWS stratégie multi-comptes, et vous pouvez réduire le temps nécessaire pour activer les contrôles sur plusieursOUs, en appliquant les contrôles au niveau de l'unité d'organisation parent.

Considérations clés
  1. Vous pouvez enregistrer une unité d'organisation existante à plusieurs niveaux OUs auprès de AWS Control Tower, une unité d'organisation à la fois, en commençant par l'unité d'organisation supérieure, puis en descendant dans l'arborescence. Pour de plus amples informations, veuillez consulter Passez d'une structure d'unité d'organisation plate à une structure d'unité d'organisation imbriquée.

  2. Les comptes relevant directement d'une unité d'organisation enregistrée sont inscrits automatiquement. Les comptes situés plus bas dans l'arborescence peuvent être inscrits en enregistrant leur OU parent immédiat.

  3. Les contrôles préventifs (SCPs) sont hérités automatiquement vers le bas de la hiérarchie ; SCPs ceux appliqués au parent sont hérités par tous les éléments imbriqués. OUs

  4. Contrôles Detective (AWS Config (règles) sont NOT héritées automatiquement.

  5. La conformité aux contrôles de détection est signalée par chaque unité d'organisation.

  6. SCPla dérive sur une UO affecte tous les comptes et ceux situés OUs en dessous de celle-ci.

  7. Vous ne pouvez pas créer de nouvelles unités imbriquées OUs sous l'unité d'organisation de sécurité (unité d'organisation principale).

Detective Control Concurrence

5 novembre 2021

(Mise à jour facultative pour la zone d'atterrissage de la AWS Control Tower)

AWSLes commandes de détection de Control Tower prennent désormais en charge les opérations simultanées pour les commandes de détection, améliorant ainsi la facilité d'utilisation et les performances. Vous pouvez activer plusieurs contrôles de détection sans attendre la fin des opérations de contrôle individuelles.

Fonctionnalités prises en charge :
  • Activez différents contrôles de détection sur la même unité d'organisation (par exemple, détectez si l'accès en écriture publique aux compartiments Amazon S3 est activé MFA pour l'utilisateur root et détectez si l'accès public en écriture aux compartiments Amazon S3 est autorisé).

  • Activez différents contrôles de détection simultanément sur différents OUs appareils.

  • La messagerie d'erreur Guardrail a été améliorée afin de fournir des conseils supplémentaires pour les opérations de contrôle simultanées prises en charge.

Non pris en charge dans cette version :
  • L'activation simultanée du même contrôle de détection sur plusieurs sites OUs n'est pas prise en charge.

  • La simultanéité des contrôles préventifs n'est pas prise en charge.

Découvrez les améliorations apportées par Detective Control à la concurrence dans toutes les versions de AWS Control Tower. Il est recommandé aux clients qui n'utilisent pas actuellement la version 2.7 d'effectuer une mise à jour de la zone d'atterrissage afin de bénéficier d'autres fonctionnalités, telles que la sélection et la désélection de régions, disponibles dans la dernière version.

Deux nouvelles régions disponibles

29 juillet 2021

(Mise à jour requise pour la zone d'atterrissage de la AWS Control Tower)

AWSControl Tower est désormais disponible en deux versions supplémentaires AWS Régions : Amérique du Sud (Sao Paulo) et Europe (Paris). Cette mise à jour étend la disponibilité de AWS Control Tower à 15 AWS Régions.

Si vous utilisez AWS Control Tower pour la première fois, vous pouvez le lancer immédiatement dans toutes les régions prises en charge. Lors du lancement, vous pouvez sélectionner les régions dans lesquelles vous souhaitez que AWS Control Tower crée et gère votre environnement multi-comptes.

Si vous possédez déjà un environnement AWS Control Tower et que vous souhaitez étendre ou supprimer les fonctionnalités de gouvernance de AWS Control Tower dans une ou plusieurs régions prises en charge, rendez-vous sur la page des paramètres de la zone d'atterrissage de votre tableau de bord AWS Control Tower, puis sélectionnez les régions. Après avoir mis à jour votre zone d'atterrissage, vous devez mettre à jour tous les comptes régis par AWS Control Tower.

Désélection de la région

29 juillet 2021

(Mise à jour facultative pour la zone d'atterrissage de la AWS Control Tower)

AWSLa désélection de la région Control Tower améliore votre capacité à gérer l'empreinte géographique des ressources de votre AWS Control Tower. Vous pouvez désélectionner les régions que vous ne souhaitez plus voir gouvernées par AWS Control Tower. Cette fonctionnalité vous permet de résoudre les problèmes de conformité et de réglementation tout en équilibrant les coûts associés à l'expansion dans de nouvelles régions.

La désélection de région est disponible lorsque vous mettez à jour votre version de la zone d'atterrissage de AWS Control Tower.

Lorsque vous utilisez Account Factory pour créer un nouveau compte ou inscrire un compte de membre préexistant, ou lorsque vous sélectionnez Extend Governance pour inscrire des comptes dans une unité organisationnelle préexistante, AWS Control Tower déploie ses capacités de gouvernance, notamment une journalisation, une surveillance et des contrôles centralisés, dans les régions que vous avez choisies dans les comptes. Choisir de désélectionner une région et de supprimer la gouvernance de la AWS Control Tower de cette région supprime cette fonctionnalité de gouvernance, mais cela n'empêche pas la capacité de vos utilisateurs à déployer AWS ressources ou charges de travail dans ces régions.

AWSControl Tower fonctionne avec AWS Systèmes de gestion des clés

28 juillet 2021

(Mise à jour facultative pour la zone d'atterrissage de la AWS Control Tower)

AWSControl Tower vous offre la possibilité d'utiliser un AWS Service de gestion des clés (AWS KMS) clé. Une clé est fournie et gérée par vous, afin de sécuriser les services déployés par AWS Control Tower, notamment AWS CloudTrail, AWS Config, et les données Amazon S3 associées. AWS KMSle chiffrement est un niveau de cryptage amélioré par rapport au cryptage SSE -S3 que AWS Control Tower utilise par défaut.

L'intégration de AWS KMSle soutien apporté à AWS Control Tower s'aligne sur AWS Bonnes pratiques de sécurité fondamentales, qui recommandent une couche de sécurité supplémentaire pour vos fichiers journaux sensibles. Vous devez utiliser AWS KMS—clés gérées (SSE-KMS) pour le chiffrement au repos. AWS KMSle support de chiffrement est disponible lorsque vous configurez une nouvelle zone d'atterrissage ou lorsque vous mettez à jour votre zone d'atterrissage AWS Control Tower existante.

Pour configurer cette fonctionnalité, vous pouvez sélectionner Configuration des KMStouches lors de la configuration initiale de votre zone d'atterrissage. Vous pouvez choisir une KMS clé existante ou sélectionner un bouton qui vous dirige vers le AWS KMSconsole pour en créer une nouvelle. Vous avez également la possibilité de passer du chiffrement par défaut à SSE une cléKMS, ou à une KMS clé différenteSSE.

Pour une zone d'atterrissage AWS de Control Tower existante, vous pouvez effectuer une mise à jour pour commencer à utiliser AWS KMSclés.

Contrôles renommés, fonctionnalités inchangées

26 juillet 2021

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)

AWSControl Tower est en train de réviser les noms et descriptions de certains contrôles afin de mieux refléter les intentions politiques du contrôle. Les noms et descriptions révisés vous aident à comprendre de manière plus intuitive la manière dont les contrôles incarnent les politiques de vos comptes. Par exemple, nous avons modifié en partie le nom des contrôles de détection, passant de « Interdire » à « Détecter », car le contrôle de détection lui-même n'arrête pas une action spécifique, il détecte uniquement les violations des politiques et émet des alertes via le tableau de bord.

Les fonctionnalités de contrôle, les instructions et la mise en œuvre restent inchangées. Seuls les noms et les descriptions des contrôles ont été révisés.

AWSControl Tower scanne SCPs tous les jours pour détecter toute dérive

11 mai 2021

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)

AWSControl Tower effectue désormais des scans automatisés quotidiens de votre SCPs manette pour vérifier que les commandes correspondantes sont correctement appliquées et qu'elles n'ont pas dérivé. Si un scan détecte une dérive, vous recevrez une notification. AWSControl Tower n'envoie qu'une seule notification par problème de dérive. Ainsi, si votre zone d'atterrissage est déjà en état de dérive, vous ne recevrez aucune notification supplémentaire à moins qu'un nouvel objet de dérive ne soit trouvé.

Noms OUs et comptes personnalisés

16 avril 2021

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)

AWSControl Tower vous permet désormais de personnaliser le nom de votre zone d'atterrissage. Vous pouvez conserver les noms recommandés par AWS Control Tower pour les unités organisationnelles (OUs) et les comptes principaux, ou vous pouvez modifier ces noms lors du processus initial de configuration de la zone de landing zone.

Les noms par défaut fournis par AWS Control Tower pour les comptes OUs et principaux correspondent aux AWS guide des meilleures pratiques multi-comptes. Toutefois, si votre entreprise applique des politiques de dénomination spécifiques, ou si vous possédez déjà une unité d'organisation ou un compte portant le même nom recommandé, la nouvelle fonctionnalité de dénomination des unités d'organisation et des comptes vous donne la flexibilité nécessaire pour répondre à ces contraintes.

Indépendamment de cette modification du flux de travail lors de la configuration, l'unité d'organisation auparavant connue sous le nom d'unité d'organisation principale est désormais appelée unité d'organisation de sécurité, et l'unité d'organisation précédemment appelée unité d'organisation personnalisée est désormais appelée unité d'organisation Sandbox. Nous avons apporté cette modification pour améliorer notre alignement sur l'ensemble AWS guide des meilleures pratiques en matière de dénomination.

Les nouveaux clients verront ces nouveaux noms d'unités d'organisation. Les clients existants continueront de voir leurs noms d'origineOUs. Il se peut que vous rencontriez des incohérences dans la dénomination des unités d'organisation lors de la mise à jour de notre documentation avec les nouveaux noms.

Pour commencer à utiliser AWS Control Tower depuis le AWS Console de gestion, accédez à la console AWS Control Tower, puis sélectionnez Set up landing zone en haut à droite. Pour plus d'informations, vous pouvez lire comment planifier la zone d'atterrissage AWS de votre Control Tower.

AWSZone d'atterrissage de la Control Tower, version 2.7

8 avril 2021

(Mise à jour requise pour la zone d'atterrissage de AWS Control Tower vers la version 2.7. Pour plus d'informations, voirMettez à jour votre zone de landing zone)

Avec la version 2.7 de AWS Control Tower, AWS Control Tower introduit quatre nouveaux contrôles préventifs obligatoires d'archivage des journaux qui mettent en œuvre une politique portant uniquement sur les ressources AWS de la Control Tower. Nous avons ajusté les directives relatives à quatre contrôles d'archivage des logs existants, passant de obligatoires à facultatifs, car ils définissent la politique pour les ressources extérieures à AWS Control Tower. Ce changement et cette extension du contrôle permettent de séparer la gouvernance des archives de logs pour les ressources au sein de AWS Control Tower de la gouvernance des ressources extérieures à AWS Control Tower.

Les quatre contrôles modifiés peuvent être utilisés conjointement avec les nouveaux contrôles obligatoires pour assurer la gouvernance d'un ensemble plus large de AWS Archives du journal. Les environnements AWS Control Tower existants maintiendront ces quatre commandes modifiées activées automatiquement, pour garantir la cohérence de l'environnement ; toutefois, ces commandes électives peuvent désormais être désactivées. Les nouveaux environnements AWS de Control Tower doivent permettre toutes les commandes électives. Les environnements existants doivent désactiver les contrôles auparavant obligatoires avant d'ajouter le chiffrement aux compartiments Amazon S3 qui ne sont pas déployés par AWS Control Tower.

Nouveaux contrôles obligatoires :
  • Interdire les modifications apportées à la configuration de chiffrement pour les compartiments S3 créés par AWS Control Tower dans l'archive des journaux

  • Interdire les modifications apportées à la configuration de journalisation pour les compartiments S3 créés par AWS Control Tower dans l'archive des journaux

  • Interdire les modifications apportées à la politique des compartiments pour les compartiments S3 créés par AWS Control Tower dans l'archive des journaux

  • Interdire les modifications apportées à la configuration du cycle de vie pour les compartiments S3 créés par AWS Control Tower dans Log Archive

Les directives sont passées de obligatoires à facultatives :
  • Interdire les modifications apportées à la configuration du chiffrement pour tous les compartiments Amazon S3 [Auparavant : activer le chiffrement au repos pour l'archivage des journaux]

  • Interdire les modifications apportées à la configuration de journalisation pour tous les compartiments Amazon S3 [Auparavant : activer la journalisation des accès pour l'archivage des journaux]

  • Interdire les modifications apportées à la politique des compartiments pour tous les compartiments Amazon S3 [Auparavant : interdire les modifications de politique relatives à l'archivage des journaux]

  • Interdire les modifications apportées à la configuration du cycle de vie pour tous les compartiments Amazon S3 [Auparavant : définir une politique de conservation pour l'archivage des journaux]

AWSLa version 2.7 de Control Tower inclut des modifications apportées au plan de la zone d'atterrissage de AWS Control Tower qui peuvent entraîner une incompatibilité avec les versions précédentes après la mise à niveau vers la version 2.7.

  • En particulier, la version 2.7 de AWS Control Tower BlockPublicAccess s'active automatiquement sur les buckets S3 déployés par AWS Control Tower. Vous pouvez désactiver cette valeur par défaut si votre charge de travail nécessite un accès à plusieurs comptes. Pour plus d'informations sur ce qui se passe lorsque BlockPublicaccess cette option est activée, consultez Blocage de l'accès public à votre espace de stockage Amazon S3.

  • AWSLa version 2.7 de Control Tower inclut une exigence pourHTTPS. Toutes les demandes envoyées aux buckets S3 déployés par AWS Control Tower doivent utiliser le protocole secure socket layer (SSL). Seules les HTTPS demandes sont autorisées à être transmises. Si vous utilisez HTTP (withoutSSL) comme point de terminaison pour envoyer les demandes, cette modification génère une erreur de refus d'accès, qui peut potentiellement interrompre votre flux de travail. Cette modification ne peut pas être annulée après la mise à jour 2.7 de votre zone d'atterrissage.

    Nous vous recommandons de modifier vos demandes pour utiliser TLS au lieu deHTTP.

Trois nouveaux AWS Régions disponibles

8 avril 2021

(Mise à jour requise pour la zone d'atterrissage de la AWS Control Tower)

AWSControl Tower est disponible en trois versions supplémentaires AWS Régions : région Asie-Pacifique (Tokyo), région Asie-Pacifique (Séoul) et région Asie-Pacifique (Mumbai). Une mise à jour de la zone d'atterrissage vers la version 2.7 est nécessaire pour étendre la gouvernance à ces régions.

Votre zone de landing zone n'est pas automatiquement étendue à ces régions lorsque vous effectuez la mise à jour vers la version 2.7. Vous devez les afficher et les sélectionner dans le tableau des régions pour les inclure.

Gouverner uniquement les régions sélectionnées

19 février 2021

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)

AWSLa sélection de la région Control Tower permet de mieux gérer l'empreinte géographique des ressources de votre AWS Control Tower. Pour augmenter le nombre de régions dans lesquelles vous hébergez AWS ressources ou charges de travail (pour des raisons de conformité, de réglementation, de coût ou autres), vous pouvez désormais sélectionner les régions supplémentaires à gouverner.

La sélection de la région est disponible lorsque vous configurez une nouvelle zone d'atterrissage ou que vous mettez à jour la version AWS de votre zone d'atterrissage de Control Tower. Lorsque vous utilisez Account Factory pour créer un nouveau compte ou inscrire un compte de membre préexistant, ou lorsque vous utilisez Extend Governance pour inscrire des comptes dans une unité organisationnelle préexistante, AWS Control Tower déploie ses capacités de gouvernance consistant à centraliser la journalisation, la surveillance et les contrôles dans les régions que vous avez choisies dans les comptes. Pour plus d'informations sur la sélection des régions, consultezConfigurez les régions AWS de votre Control Tower.

AWSControl Tower étend désormais la gouvernance à l'existant OUs dans votre AWS organisations

28 janvier 2021

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)

Étendez la gouvernance aux unités organisationnelles existantes (OUs) (celles qui ne font pas partie de AWS Control Tower) depuis la console AWS Control Tower. Grâce à cette fonctionnalité, vous pouvez intégrer des comptes de haut niveau OUs et des comptes inclus sous la gouvernance AWS de Control Tower. Pour plus d'informations sur l'extension de la gouvernance à l'ensemble d'une unité d'organisation, consultezEnregistrer une unité organisationnelle existante auprès AWS de Control Tower.

Lorsque vous enregistrez une unité d'organisation, AWS Control Tower effectue une série de vérifications pour garantir la réussite de l'extension de la gouvernance et de l'inscription des comptes au sein de l'unité d'organisation. Pour plus d'informations sur les problèmes courants associés à l'enregistrement initial d'une unité d'organisation, consultezCauses courantes d'échec lors de l'enregistrement ou du réenregistrement.

Vous pouvez également consulter la page Web du produit AWS Control Tower ou YouTube visionner cette vidéo expliquant comment démarrer avec AWS Control Tower pour AWS Organizations.

AWSControl Tower fournit des mises à jour groupées des comptes

28 janvier 2021

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)

Grâce à la fonctionnalité de mise à jour groupée, vous pouvez désormais mettre à jour tous les comptes d'un compte enregistré AWS Organizations unité organisationnelle (UO) contenant jusqu'à 300 comptes, en un seul clic, depuis le tableau de bord de AWS Control Tower. Cela est particulièrement utile lorsque vous mettez à jour votre zone d'atterrissage de AWS Control Tower et que vous devez également mettre à jour vos comptes enregistrés pour les aligner sur la version actuelle de la zone d'atterrissage.

Cette fonctionnalité vous permet également de maintenir vos comptes à jour lorsque vous mettez à jour la zone d'atterrissage de votre AWS Control Tower pour l'étendre à de nouvelles régions, ou lorsque vous souhaitez réenregistrer une unité organisationnelle pour vous assurer que tous les comptes de cette unité d'organisation sont soumis aux derniers contrôles appliqués. La mise à jour groupée des comptes élimine le besoin de mettre à jour un compte à la fois ou d'utiliser un script externe pour effectuer la mise à jour sur plusieurs comptes.

Pour plus d'informations sur la mise à jour d'une zone d'atterrissage, consultezMettez à jour votre zone de landing zone.

Pour plus d'informations sur l'enregistrement ou le réenregistrement d'une UO, consultezEnregistrer une unité organisationnelle existante auprès AWS de Control Tower.