Janvier à décembre 2021 - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Janvier à décembre 2021

Depuis janvier 2021, AWS Control Tower a publié les mises à jour suivantes :

Capacités de zone

30 novembre 2021

(Aucune mise à jour requise pour la landing zone AWS Control Tower.)

AWS Control Tower fournit désormais des fonctionnalités de refus de région, qui vous aident à limiter l'accès àAWSservices et opérations pour les comptes inscrits dans votre environnement AWS Control Tower. La fonctionnalité Region Deny complète les fonctionnalités de sélection de région et de désélection de région existantes dans AWS Control Tower. Ensemble, ces fonctionnalités vous aident à répondre aux préoccupations en matière de conformité et de réglementation, tout en équilibrant les coûts associés à l'extension à de nouvelles régions.

Par exemple,AWSles clients en Allemagne peuvent refuser l'accès àAWSservices dans les régions situées en dehors de la région de Francfort. Vous pouvez sélectionner des régions restreintes lors du processus de configuration de la AWS Control Tower ou dans leParamètres de zone d'atterrissagepage. La fonctionnalité Region Deny est disponible lorsque vous mettez à jour la version de votre landing zone AWS Control Tower. Tâche de sélectionAWSles services sont exemptés des fonctionnalités de refus de région. Pour en savoir plus, veuillez consulter la section Configurer le garde-corps de refus de la région.

Fonctions de résidence de données

30 novembre 2021

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

AWS Control Tower propose désormais des garde-fous spécialement conçus pour garantir que toutes les données clients que vous chargez surAWSles services se trouvent uniquement dansAWSRégions que vous spécifiez. Vous pouvez sélectionner leAWSRégion ou régions dans lesquelles les données de vos clients sont stockées et traitées. Pour obtenir une liste complète desAWSRégions dans lesquelles AWS Control Tower est disponible, consultez leAWSTableau des régions.

Pour un contrôle granulaire, vous pouvez appliquer des garde-corps supplémentaires, tels queInterdire les connexions au réseau privé virtuel (VPN) Amazon, ouInterdire l'accès à Internet pour une instance Amazon VPC. Vous pouvez consulter l'état de conformité des garde-fous dans la console AWS Control Tower. Pour obtenir une liste complète des garde-corps disponibles, veuillez consulterRéférence de protection.

AWS Control Tower introduit le provisionnement et la personnalisation des comptes Terraform

29 novembre 2021

(Mise à jour facultative pour une landing zone AWS Control Tower)

Vous pouvez désormais utiliser Terraform pour approvisionner et mettre à jour des comptes personnalisés via AWS Control Tower, avecAWS Control Tower Account Factory pour Terraform (AFT).

AFT fournit un pipeline unique d'infrastructure Terraform en tant que code (IaC), qui approvisionne les comptes gérés par AWS Control Tower. Les personnalisations effectuées lors du provisionnement aident à respecter vos politiques commerciales et de sécurité, avant que vous ne donniez les comptes aux utilisateurs finaux.

Le pipeline de création automatique de comptes AFT surveille jusqu'à ce que le provisionnement des comptes soit terminé, puis il continue, déclenchant des modules Terraform supplémentaires qui améliorent le compte avec toutes les personnalisations nécessaires. Dans le cadre du processus de personnalisation, vous pouvez configurer le pipeline pour installer vos propres modules Terraform personnalisés, et vous pouvez choisir d'ajouter n'importe laquelle des options de fonctionnalités AFT, fournies par AWS pour les personnalisations courantes.

Commencez à utiliser AWS Control Tower Account Factory pour Terraform en suivant les étapes fournies dans leAWS Control Tower,Déployer la Account Factory AWS Control Tower pour Terraform (AFT), et en téléchargeant AFT pour votre instance Terraform. AFT prend en charge les distributions Open Source Terraform Cloud, Terraform Enterprise et Terraform.

Nouvel événement du cycle de vie disponible

le 18 novembre 2021

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

Dans laPrecheckOrganizationalUnitjournaux d'événements, si des ressources bloquent leÉtendre la gouvernancetâche à partir du succès, y compris les ressources dans les unités d'organisation imbri Pour plus d'informations, consultez PrecheckOrganizationalUnit.

AWS Control Tower

16 novembre 2021

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

AWS Control Tower vous permet désormais d'inclure des unités d'organisation imbriquées dans votre landing zone.

AWS Control Tower prend en charge les unités organisationnelles imbriquées, ce qui vous permet d'organiser les comptes selon plusieurs niveaux hiérarchiques et d'appliquer des garde-fous préventifs de manière hiérarchique. Vous pouvez enregistrer des unités d'organisation contenant des unités d'organisation imbriquées, créer et enregistrer des unités d'organisation sous des unités d'organisation parents et activer des garde-fous sur toutes les unités d'organisation enregistrées, quelle que soit leur profondeur Pour prendre en charge cette fonctionnalité, la console indique le nombre de comptes et d'unités d'organisation gérés.

Avec les unités d'organisation imbriquées, vous pouvez aligner vos unités d'organisation de la AWS Control Tower sur la stratégie multi-comptes AWS, et vous pouvez réduire le temps nécessaire pour activer les garde-fous sur plusieurs unités d'organisation en appliquant des garde-fous au niveau de l'unité d'organisation mère.

Considérations clés

  1. Vous pouvez enregistrer des unités d'organisation multi-niveaux existantes auprès d'AWS Control Tower, une unité d'organisation à la fois, en commençant par l'unité d'organisation de niveau supérieur, puis en descendant dans l'arborescence. Pour plus d'informations, consultez Passer d'une structure d'unité d'unité d'organisation plate à une structure d'unité.

  2. Les comptes directement rattachés à une unité d'organisation enregistrée sont automatiquement inscrits. Les comptes situés plus bas dans l'arborescence peuvent être inscrits en enregistrant leur unité d'organisation mère immédiate.

  3. Les garde-fous préventifs (SCP) sont hérités automatiquement dans la hiérarchie ; les SCP appliqués au parent sont hérités par toutes les unités d'organisation imbriquées.

  4. Detective garde-fous de détection (règles AWS Config) ne sont PAS hérités automatiquement.

  5. La conformité aux garde-fous de détection est signalée par chaque unité d'organisation.

  6. La dérive du SCP sur une unité d'organisation affecte tous les comptes et unités d'organisation relevant de celle-ci.

  7. Vous ne pouvez pas créer de nouvelles unités organisationnelles imbriquées sous l'unité d'organisation de sécurité (unité d'organisation principale)

Simultanéité de garde-corps de détective

5 novembre 2021

(Mise à jour facultative pour une landing zone AWS Control Tower)

Les garde-corps de détection AWS Control Tower prennent désormais en charge les opérations simultanées pour les garde-corps de détection, améliorant ainsi la facilité d'utilisation et les performances. Vous pouvez activer plusieurs garde-corps de détection sans attendre la fin des opérations individuelles de garde-corps.

Fonctions prises en charge :

  • Activez différents garde-fous de détection sur la même unité d'organisation (par exemple,Détecter si le MFA est activé pour l'utilisateur rootetDétecter si l'accès public en écriture aux compartiments Amazon S3 est autorisé).

  • Activez simultanément différents garde-fous de détection sur différentes unités d'organisation.

  • La messagerie d'erreur du garde-corps a été améliorée afin de fournir des conseils supplémentaires pour les opérations de simultanéité prises en charge par le garde-corps.

Non pris en charge dans cette version :

  • L'activation simultanée du même garde-corps de détection sur plusieurs unités d'organisation n'est pas prise en charge.

  • préventifla simultanéité des garde-corps n'est pas prise en charge.

Vous pouvez découvrir les améliorations apportées à la concurrence par Detective Guardrail dans toutes les versions d'AWS Control Tower. Il est recommandé aux clients qui n'utilisent pas actuellement la version 2.7 d'effectuer une mise à jour de la landing zone pour tirer parti des autres fonctionnalités, telles que la sélection et la désélection des régions, disponibles dans la dernière version.

Deux nouvelles régions disponibles

29 juillet 2021

(Mise à jour requise pour la landing zone de l'AWS Control Tower)

AWS Control Tower est désormais disponible dans deux versions supplémentairesAWSRégions : Amérique du Sud (Sao Paulo) et Europe (Paris). Cette mise à jour étend la disponibilité d'AWS Control Tower à 15 %AWSRégions.

Si vous utilisez AWS Control Tower pour la première fois, vous pouvez le lancer immédiatement dans l'une des régions prises en charge. Lors du lancement, vous pouvez sélectionner les régions dans lesquelles vous souhaitez qu'AWS Control Tower crée et gère votre environnement multi-comptes.

Si vous possédez déjà un environnement AWS Control Tower et que vous souhaitez étendre ou supprimer les fonctionnalités de gouvernance d'AWS Control Tower dans une ou plusieurs régions prises en charge, rendez-vous sur leParamètres de zone d'atterrissagedans votre tableau de bord AWS Control Tower, puis sélectionnez les régions. Après avoir mis à jour votre landing zone, vous devez ensuitemettre à jour tous les comptes régis par AWS Control Tower.

Désélection d'une région

29 juillet 2021

(Mise à jour facultative pour une landing zone AWS Control Tower)

La désélection de la région de la AWS Control Tower améliore votre capacité à gérer l'empreinte géographique des ressources de votre AWS Control Tower. Vous pouvez désélectionner les régions que vous ne souhaitez plus qu'AWS Control Tower gère. Cette fonctionnalité vous permet de répondre aux préoccupations en matière de conformité et de réglementation tout en équilibrant les coûts associés à l'extension à de nouvelles régions.

La désélection de région est disponible lorsque vous mettez à jour la version de votre landing zone AWS Control Tower.

Lorsque vous utilisez Account Factory pour créer un nouveau compte ou inscrire un compte de membre préexistant, ou lorsque vous sélectionnezÉtendre la gouvernancepour inscrire des comptes dans une unité organisationnelle préexistante, AWS Control Tower déploie ses fonctionnalités de gouvernance, notamment la journalisation, la surveillance et les garde-fous centralisés, dans les régions que vous avez choisies dans les comptes. Choisir de désélectionner une région et de supprimer la gouvernance de la AWS Control Tower dans cette région supprime cette fonctionnalité de gouvernance, mais cela n'empêche pas la capacité de déploiement de vos utilisateurs.AWSressources ou charges de travail dans ces régions.

AWS Control TowerAWSSystèmes de gestion des clés

28 juillet 2021

(Mise à jour facultative pour une landing zone AWS Control Tower)

AWS Control Tower vous permet d'utiliser unAWSKey Management Service (AWSClé KMS). Vous fournissez et gérez une clé afin de sécuriser les services déployés par AWS Control Tower, notammentAWS CloudTrail,AWS Config, ainsi que les données Amazon S3 associées.AWS Le chiffrement KMS est un niveau de cryptage amélioré par rapport au cryptage SSE-S3 qu'AWS Control Tower utilise par défaut.

Intégration deAWSLa prise en charge de KMS dans AWS Control Tower s'aligne sur laAWSBonnes pratiques de sécurité de base, qui recommandent un niveau de sécurité supplémentaire pour vos fichiers journaux sensibles. Vous devez utiliserAWSKMS : clés gérées par (SSE-KMS) pour le chiffrement au repos.AWS La prise en charge du chiffrement KMS est disponible lorsque vous configurez une nouvelle landing zone ou lorsque vous mettez à jour votre landing zone AWS Control Tower existante.

Pour configurer cette fonctionnalité, vous pouvez sélectionnerConfiguration de clé KMSlors de la configuration initiale de votre landing zone. Vous pouvez choisir une clé KMS existante ou sélectionner un bouton qui vous redirige versAWSConsole KMS pour en créer une nouvelle. Vous pouvez également passer du chiffrement par défaut à SSE-KMS ou à une autre clé SSE-KMS.

Pour une landing zone existante de la AWS Control Tower, vous pouvez effectuer une mise à jour pour commencer à utiliserAWSClés KMS.

Rambardes renommées, fonctionnalité inchangée

26 juillet 2021

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

AWS Control Tower est en train de réviser les noms et descriptions de certains garde-corps afin de mieux refléter les intentions politiques du garde-corps. Les noms et descriptions révisés vous aident à comprendre de manière plus intuitive la manière dont les garde-fous améliorent le contrôle de vos comptes. Par exemple, nous avons changé une partie des noms des garde-fous de détection, passant de « Interdire » à « Détecter », car le garde-corps lui-même n'arrête pas une action spécifique, il détecte uniquement les violations des politiques et fournit des alertes via le tableau de bord.

Les fonctionnalités, les directives et la mise en œuvre de Guardrail restent inchangées. Seuls les noms et descriptions des rambardes ont été révisés.

AWS Control Tower analyse les SCP quotidiennement pour détecter toute dérive

11 mai 2021

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

AWS Control Tower effectue désormais des analyses automatisées quotidiennes de vos SCP gérés afin de vérifier que les garde-fous correspondants sont correctement appliqués et qu'ils n'ont pas dérivé. Si un scan découvre une dérive, vous recevrez une notification. AWS Control Tower envoie une seule notification par problème de dérive. Ainsi, si votre landing zone est déjà en état de dérive, vous ne recevrez aucune notification supplémentaire à moins qu'un nouvel élément de dérive ne soit trouvé.

Noms personnalisés pour les unités d'organisation et les comptes

16 avril 2021

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

AWS Control Tower vous permet désormais de personnaliser le nom de votre landing zone. Vous pouvez conserver les noms recommandés par AWS Control Tower pour les unités organisationnelles (UO) et les comptes principaux, ou vous pouvez modifier ces noms lors du processus initial de configuration de la landing zone.

Les noms par défaut fournis par AWS Control Tower pour les unités d'organisation et les comptes principaux correspondent àAWSconseils sur les meilleures pratiques multi-comptes. Toutefois, si votre entreprise applique des politiques de dénomination spécifiques, ou si vous possédez déjà une unité d'organisation ou un compte portant le même nom recommandé, la nouvelle unité d'organisation et la nouvelle fonctionnalité de dénomination de compte vous offrent la flexibilité nécessaire pour faire face à ces contraintes.

Indépendamment de cette modification du flux de travail lors de la configuration, l'unité d'organisation anciennement appelée unité d'organisation principale est désormais appelée unité d'organisation de sécurité, et l'unité d'organisation anciennement connue sous le nom d'unité d'organisation personnalisée est désormais appelée unité d'organisation Sandbox. Nous avons effectué cette modification afin d'améliorer notre alignement avecAWSconseils sur les meilleures pratiques en matière de dénomination.

Les nouveaux clients verront ces nouveaux noms d'unité d'organisation. Les clients existants continueront de voir les noms originaux de ces unités d'organisation. Vous pouvez rencontrer des incohérences dans la dénomination des unités d'organisation lors de la mise à jour de notre documentation avec les nouveaux noms.

Pour démarrer avec AWS Control Tower depuis leAWSConsole de gestion, accédez à la console AWS Control Tower et sélectionnezConfigurer une landing zonele coin droit. Pour plus d'informations, consultez la planification d'une landing zone AWS Control Tower

AWS Control Tower

8 avril 2021

(Mise à jour requise pour la landing zone AWS Control Tower vers la version 2.7. Pour plus d'informations, consultezMettre à jour votre zone de destination)

Avec la version 2.7 d'AWS Control Tower, AWS Control Tower introduit quatre nouveaux garde-fous préventifs obligatoires pour l'archivage des journaux qui mettent en œuvre une politique uniquement sur les ressources de la AWS Control Tower. Nous avons ajusté les directives relatives à quatre garde-fous d'archivage des journaux existants, passant d'obligatoires à facultatifs, car ils définissent la politique relative aux ressources extérieures à la AWS Control Tower. Cette modification et cette extension de base permettent de séparer la gouvernance des archives des journaux pour les ressources au sein de la AWS Control Tower de la gouvernance des ressources en dehors de la AWS Control Tower.

Les quatre garde-fous modifiés peuvent être utilisés conjointement avec les nouveaux garde-fous obligatoires pour assurer la gouvernance d'un ensemble plus large deAWSArchives du journal. Les environnements AWS Control Tower existants maintiendront ces quatre garde-fous modifiés activés automatiquement, pour des raisons de cohérence environnementale ; toutefois, ces garde-fous facultatifs peuvent désormais être désactivés. Les nouveaux environnements de AWS Control Tower doivent permettre tous les garde-fous électifs. Les environnements existants doivent désactiver les garde-fous précédemment obligatoires avant d'ajouter le chiffrement aux compartiments Amazon S3 qui ne sont pas déployés par AWS Control Tower.

Nouveaux garde-corps obligatoires :

  • Interdire les modifications apportées à la configuration de chiffrement pour les compartiments S3 créés par AWS Control Tower dans Log Archive

  • Interdire les modifications apportées à la configuration de journalisation pour les compartiments S3 créés par AWS Control Tower dans Log Archive

  • Interdire les modifications apportées à la politique de compartiment pour les compartiments S3 créés par AWS Control Tower dans Log Archive

  • Interdire les modifications apportées à la configuration du cycle de vie pour les compartiments S3 créés par AWS Control Tower dans Log Archive

Les directives sont passées de obligatoires à facultatives :

  • Interdire les modifications apportées à la configuration de chiffrement pour tous les compartiments Amazon S3 [Auparavant : Activer le chiffrement au repos pour [Log Archive]

  • Interdire les modifications apportées à la configuration de journalisation pour tous les compartiments Amazon S3 [Auparavant : Activer la journalisation des accès pour l'archivage des journaux

  • Interdire les modifications apportées à la politique relative aux compartiments pour tous les compartiments Amazon S3 [Auparavant : Interdire les modifications de politique dans les archives du journal]

  • Interdire les modifications apportées à la configuration du cycle de vie pour tous les compartiments Amazon S3 [Auparavant : Définir une politique de conservation pour [Log Archive]

La version 2.7 d'AWS Control Tower inclut des modifications du plan de landing zone de la AWS Control Tower qui peuvent entraîner une incompatibilité avec les versions précédentes après la mise à niveau vers la version 2.7.

  • En particulier, la version 2.7 d'AWS Control Tower permetBlockPublicAccessautomatiquement sur des compartiments S3 déployés par AWS Control Tower. Vous pouvez désactiver cette option par défaut si votre charge de travail nécessite un accès à plusieurs comptes. Pour plus d'informations sur ce qui se passe avecBlockPublicaccessactivé, voirBlocage de l’accès public à votre stockage Amazon S3.

  • La version 2.7 d'AWS Control Tower inclut une exigence pour le protocole HTTPS. Toutes les demandes envoyées aux compartiments S3 déployés par AWS Control Tower doivent utiliser le protocole SSL (Secure Socket Layer). Seules les requêtes HTTPS peuvent être transmises. Si vous utilisez le protocole HTTP (sans SSL) comme point de terminaison pour envoyer les demandes, cette modification génère une erreur d'accès refusé, ce qui peut perturber votre flux de travail. Cette modification ne peut pas être annulée après la mise à jour 2.7 de votre landing zone.

    Nous vous recommandons de modifier vos requêtes afin d'utiliser le protocole TLS au lieu du protocole HTTP.

Trois nouvellesAWSRégions disponibles

8 avril 2021

(Mise à jour requise pour la landing zone de l'AWS Control Tower)

AWS Control Tower est disponible en trois versions supplémentairesAWSRégions : région Asie-Pacifique (Tokyo), région Asie-Pacifique (Séoul) et région Asie-Pacifique (Mumbai). Une mise à jour de la landing zone vers la version 2.7 est requise pour étendre la gouvernance à ces régions.

Votre landing zone n'est pas étendue automatiquement à ces régions lorsque vous effectuez la mise à jour vers la version 2.7. Vous devez les afficher et les sélectionner dans le tableau des régions pour les inclure.

Gouvernez uniquement les régions sélectionnées

19 février 2021

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

La sélection de la région de la AWS Control Tower permet de mieux gérer l'empreinte géographique des ressources de votre AWS Control Tower. Pour augmenter le nombre de régions dans lesquelles vous hébergezAWSressources ou charges de travail (pour des raisons de conformité, de réglementation, de coût ou autres), vous pouvez désormais sélectionner les régions supplémentaires à gérer.

La sélection de région est disponible lorsque vous configurez une nouvelle landing zone ou que vous mettez à jour la version de votre landing zone AWS Control Tower. Lorsque vous utilisez Account Factory pour créer un nouveau compte ou inscrire un compte de membre préexistant, ou lorsque vous utilisezÉtendre la gouvernancepour inscrire des comptes dans une unité organisationnelle préexistante, AWS Control Tower déploie ses fonctionnalités de gouvernance de journalisation, de surveillance et de sauvegarde centralisées dans les régions que vous avez choisies dans les comptes. Pour plus d'informations sur la sélection des régions, consultezConfiguration des régions AWS Control Tower.

AWS Control Tower étend désormais la gouvernance aux unités d'organisation existantes de votreAWSorganisations

28 janvier 2021

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

Étendez la gouvernance aux unités organisationnelles (UO) existantes (celles qui ne se trouvent pas dans la AWS Control Tower) depuis la console AWS Control Tower. Grâce à cette fonctionnalité, vous pouvez placer les unités d'organisation de premier niveau et les comptes inclus sous la gouvernance de la AWS Control Tower. Pour plus d'informations sur l'extension de la gouvernance à une unité d'organisation complète,Enregistrer une unité organisationnelle existante auprès d'AWS Control Tower.

Lorsque vous enregistrez une unité d'organisation, AWS Control Tower effectue une série de contrôles pour garantir l'extension réussie de la gouvernance et l'inscription des comptes au sein de l'unité d'organisation. Pour plus d'informations sur les problèmes courants liés à l'enregistrement initial d'une unité d'organisation, voirCauses courantes d'échec lors de l'enregistrement ou du réenregistrement.

Vous pouvez également visiter la AWS Control Towerpage du produitou visitez YouTube pour regarder cette vidéo surdémarrer avec AWS Control Tower pourAWS Organizations.

AWS Control Tower fournit des mises à jour groupées des

28 janvier 2021

(Aucune mise à jour requise pour la landing zone AWS Control Tower)

Avec la fonction de mise à jour groupée, vous pouvez désormais mettre à jour tous les comptes d'un compte enregistréAWS Organizationsunité organisationnelle (UO) contenant jusqu'à 300 comptes, en un seul clic, depuis le tableau de bord AWS Control Tower. Cela est particulièrement utile lorsque vous mettez à jour la landing zone de votre AWS Control Tower et que vous devez également mettre à jour vos comptes inscrits pour les aligner sur la version actuelle de la landing zone.

Cette fonctionnalité vous permet également de maintenir vos comptes à jour lorsque vous mettez à jour la landing zone de votre AWS Control Tower pour l'étendre à de nouvelles régions, ou lorsque vous souhaitez réenregistrer une unité d'organisation afin de vous assurer que tous les comptes de cette unité d'organisation sont dotés des derniers garde-fous appliqués. La mise à jour groupée des comptes élimine la nécessité de mettre à jour un compte à la fois ou d'utiliser un script externe pour effectuer la mise à jour sur plusieurs comptes.

Pour plus d'informations sur la mise à jour d'une landing zoneMettre à jour votre zone de destination.

Pour plus d'informations sur l'enregistrement ou le réenregistrement d'une UO, voirEnregistrer une unité organisationnelle existante auprès d'AWS Control Tower.