janvier - décembre 2023 - AWS Control Tower
Transition vers un nouveau type de produit AWS Service Catalog externe (phase 3)Zone de landing zone d'AWS Control Tower, version 3.3Transition vers un nouveau type de produit AWS Service Catalog externe (phase 2)AWS Control Tower annonce des contrôles destinés à renforcer la souveraineté numériqueAWS Control Tower prend en charge la zone d'atterrissage APIsAWS Control Tower prend en charge le balisage pour les contrôles activésAWS Control Tower est disponible dans la région Asie-Pacifique (Melbourne)Transition vers un nouveau type de produit AWS Service Catalog externe (phase 1)Nouvelle API de contrôle disponibleAWS Control Tower ajoute des contrôles supplémentairesNouveau type de dérive signalé : accès sécurisé désactivéQuatre supplémentaires Régions AWSAWS Control Tower est disponible dans la région de Tel AvivAWS Control Tower lance 28 nouveaux contrôles proactifsAWS Control Tower déconseille deux contrôlesZone de landing zone d'AWS Control Tower, version 3.2AWS Control Tower gère les comptes en fonction de leur identifiantContrôles de détection supplémentaires du Security Hub disponibles dans la bibliothèque de contrôles AWS Control TowerAWS Control Tower publie des tables de métadonnées de contrôleSupport de Terraform pour la personnalisation d'Account FactoryAWS L'autogestion de l'IAM Identity Center est disponible pour la zone de landing zoneAWS Control Tower résout le problème de la gouvernance mixte pour OUsContrôles proactifs supplémentaires disponiblesContrôles EC2 proactifs Amazon mis à jourSept autres Régions AWS disponibles Suivi des demandes de personnalisation du compte Account Factory for Terraform (AFT) Zone de landing zone d'AWS Control Tower, version 3.1Contrôles proactifs généralement disponibles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

janvier - décembre 2023

En 2023, AWS Control Tower a publié les mises à jour suivantes :

Transition vers un nouveau type de produit AWS Service Catalog externe (phase 3)

14 décembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower ne prend plus en charge Terraform Open Source en tant que type de produit (plan) lors de la création de nouveaux produits. Comptes AWS Pour plus d'informations et pour obtenir des instructions sur la mise à jour des plans de votre compte, consultez la section Transition vers le type de produit AWS Service Catalog externe.

Si vous ne mettez pas à jour les plans de votre compte pour utiliser le type de produit externe, vous ne pouvez mettre à jour ou résilier que les comptes que vous avez provisionnés à l'aide des plans Open Source Terraform.

Zone de landing zone d'AWS Control Tower, version 3.3

14 décembre 2023

(Mise à jour requise pour la zone de landing zone d'AWS Control Tower vers la version 3.3. Pour plus d'informations, voirMettez à jour votre zone de landing zone).

Mises à jour de la politique relative aux compartiments S3 dans le compte AWS Control Tower Audit

Nous avons modifié la politique du bucket Amazon S3 Audit qu'AWS Control Tower déploie dans les comptes, de sorte qu'une aws:SourceOrgID condition doit être remplie pour toute autorisation d'écriture. Avec cette version, les AWS services ont accès à vos ressources uniquement lorsque la demande provient de votre organisation ou unité organisationnelle (UO).

Vous pouvez utiliser la clé de aws:SourceOrgID condition et définir la valeur en fonction de l'ID de votre organisation dans l'élément condition de votre politique de compartiment S3. Cette condition garantit que CloudTrail seuls les journaux peuvent être écrits pour le compte de comptes au sein de votre organisation dans votre compartiment S3 ; elle empêche CloudTrail les journaux extérieurs à votre organisation d'écrire dans votre compartiment AWS Control Tower S3.

Nous avons apporté cette modification pour corriger une faille de sécurité potentielle, sans affecter le fonctionnement de vos charges de travail existantes. Pour consulter la politique mise à jour, voirPolitique relative au compartiment Amazon S3 dans le compte d'audit.

Pour plus d'informations sur la nouvelle clé de condition, consultez la documentation IAM et le billet de blog IAM intitulé « Utiliser des contrôles évolutifs pour les AWS services accédant à vos ressources ».

Mises à jour de la politique dans la AWS Config rubrique SNS

Nous avons ajouté la nouvelle clé de aws:SourceOrgID condition à la politique du sujet AWS Config SNS. Pour consulter la politique mise à jour, consultez la politique du AWS Config sujet SNS.

Mises à jour de la zone d'atterrissage : Region Deny control

  • Supprimédiscovery-marketplace:. Cette action est couverte par l'aws-marketplace:*exemption.

  • Ajout de quicksight:DescribeAccountSubscription.

AWS CloudFormation Modèle mis à jour

Nous avons mis à jour le AWS CloudFormation modèle de la pile nommée BASELINE-CLOUDTRAIL-MASTER afin qu'elle ne montre pas de dérive lorsque AWS KMS le chiffrement n'est pas utilisé.

Transition vers un nouveau type de produit AWS Service Catalog externe (phase 2)

7 décembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

HashiCorp a mis à jour leur licence Terraform. En conséquence, le support des produits Open Source de Terraform AWS Service Catalog a été modifié et les produits ont été approvisionnés en un nouveau type de produit, appelé External.

Pour éviter toute interruption des charges de travail et AWS des ressources existantes dans vos comptes, suivez les étapes de transition d'AWS Control Tower dans Transition vers le type de produit AWS Service Catalog externe d'ici le 14 décembre 2023.

AWS Control Tower annonce des contrôles destinés à renforcer la souveraineté numérique

27 novembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower annonce 65 nouveaux contrôles AWS gérés, pour vous aider à répondre à vos exigences en matière de souveraineté numérique. Dans cette version, vous pouvez découvrir ces contrôles dans le cadre d'un nouveau groupe de souveraineté numérique dans la console AWS Control Tower. Vous pouvez utiliser ces contrôles pour empêcher les actions et détecter les modifications des ressources concernant la résidence des données, la restriction d'accès granulaire, le chiffrement et les capacités de résilience. Ces contrôles sont conçus pour vous permettre de répondre plus facilement aux exigences à grande échelle. Pour plus d'informations sur les contrôles de souveraineté numérique, voir Contrôles qui améliorent la protection de la souveraineté numérique.

Par exemple, vous pouvez choisir d'activer des contrôles qui vous aident à appliquer vos stratégies de chiffrement et de résilience, par exemple Exiger un cache d' AWS AppSync API pour activer le chiffrement en transit ou Exiger le déploiement d'un AWS Network Firewall dans plusieurs zones de disponibilité. Vous pouvez également personnaliser le contrôle des refus de la région AWS Control Tower afin d'appliquer les restrictions régionales les mieux adaptées aux besoins spécifiques de votre entreprise.

Cette version apporte des fonctionnalités de refus bien améliorées dans la région d'AWS Control Tower. Vous pouvez appliquer un nouveau contrôle de refus de région paramétré au niveau de l'unité organisationnelle, pour une meilleure granularité de la gouvernance, tout en maintenant une gouvernance régionale supplémentaire au niveau de la zone d'atterrissage. Ce contrôle de refus par région personnalisable vous permet d'appliquer les restrictions régionales les mieux adaptées aux besoins spécifiques de votre entreprise. Pour plus d'informations sur le nouveau contrôle de refus de région configurable, voir Contrôle de refus de région appliqué à l'unité d'organisation.

En tant que nouvel outil destiné à améliorer le refus des régions, cette version inclut une nouvelle API qui vous permet de rétablir les paramètres par défaut de vos contrôles activés. UpdateEnabledControl Cette API est particulièrement utile dans les cas d'utilisation où vous devez résoudre rapidement la dérive ou pour garantir par programmation qu'un contrôle n'est pas en état de dérive. Pour plus d'informations sur la nouvelle API, consultez le document de référence sur les API AWS Control Tower

Nouveaux contrôles proactifs

  • CT.APIGATEWAY.PR.6: Exiger qu'un domaine REST Amazon API Gateway utilise une politique de sécurité spécifiant une version minimale du protocole TLS de TLSv1 2.

  • CT.APPSYNC.PR.2: Exiger la configuration d'une API AWS AppSync GraphQL avec une visibilité privée

  • CT.APPSYNC.PR.3: Exiger qu'une API AWS AppSync GraphQL ne soit pas authentifiée avec des clés d'API

  • CT.APPSYNC.PR.4: Nécessite un cache d'API AWS AppSync GraphQL pour activer le chiffrement en transit.

  • CT.APPSYNC.PR.5: nécessite un cache d'API AWS AppSync GraphQL pour activer le chiffrement au repos.

  • CT.AUTOSCALING.PR.9: Exiger un volume Amazon EBS configuré via une configuration de lancement Amazon EC2 Auto Scaling pour chiffrer les données au repos

  • CT.AUTOSCALING.PR.10: Exiger qu'un groupe Amazon EC2 Auto Scaling utilise uniquement les types d'instances AWS Nitro lors du remplacement d'un modèle de lancement

  • CT.AUTOSCALING.PR.11: Exiger que seuls les types d'instances AWS Nitro prenant en charge le chiffrement du trafic réseau entre les instances soient ajoutés à un groupe Amazon EC2 Auto Scaling, lors du remplacement d'un modèle de lancement

  • CT.DAX.PR.3: Exiger un cluster DynamoDB Accelerator pour chiffrer les données en transit avec le protocole TLS (Transport Layer Security)

  • CT.DMS.PR.2: Exiger un point de terminaison du Service de Migration de AWS Base de Données (DMS) pour chiffrer les connexions pour les points de terminaison source et cible

  • CT.EC2.PR.15: Exiger qu'une EC2 instance Amazon utilise un type d'instance AWS Nitro lors de la création à partir du type de AWS::EC2::LaunchTemplate ressource

  • CT.EC2.PR.16: Exiger qu'une EC2 instance Amazon utilise un type d'instance AWS Nitro lorsqu'elle est créée à l'aide du type de AWS::EC2::Instance ressource

  • CT.EC2.PR.17: Exiger qu'un hôte EC2 dédié Amazon utilise un type d'instance AWS Nitro

  • CT.EC2.PR.18: Exiger qu'une EC2 flotte Amazon remplace uniquement les modèles de lancement par des types d'instances AWS Nitro

  • CT.EC2.PR.19: Exiger qu'une EC2 instance Amazon utilise un type d'instance Nitro qui prend en charge le chiffrement en transit entre les instances lorsqu'elles sont créées à l'aide du AWS::EC2::Instance type de ressource

  • CT.EC2.PR.20: Exiger qu'une EC2 flotte Amazon remplace uniquement les modèles de lancement avec des types d'instances AWS Nitro qui prennent en charge le chiffrement lors du transit entre les instances

  • CT.ELASTICACHE.PR.8: Exiger un groupe de ElastiCache réplication Amazon des versions ultérieures de Redis pour activer l'authentification RBAC

  • CT.MQ.PR.1: Exiger qu'un courtier Amazon MQ ActiveMQ utilise le mode de déploiement actif/en veille pour une haute disponibilité

  • CT.MQ.PR.2: Exiger qu'un courtier Amazon MQ Rabbit MQ utilise le mode cluster multi-AZ pour une haute disponibilité

  • CT.MSK.PR.1: Exiger un cluster Amazon Managed Streaming for Apache Kafka (MSK) pour appliquer le chiffrement lors du transit entre les nœuds du cluster broker

  • CT.MSK.PR.2: Exiger qu'un cluster Amazon Managed Streaming for Apache Kafka (MSK) soit configuré avec la désactivation PublicAccess

  • CT.NETWORK-FIREWALL.PR.5: Exiger le déploiement d'un pare-feu AWS Network Firewall sur plusieurs zones de disponibilité

  • CT.RDS.PR.26: nécessite un proxy de base de données Amazon RDS pour exiger des connexions TLS (Transport Layer Security)

  • CT.RDS.PR.27: Exiger un groupe de paramètres de cluster de base de données Amazon RDS pour exiger des connexions TLS (Transport Layer Security) pour les types de moteurs pris en charge

  • CT.RDS.PR.28: Exiger un groupe de paramètres de base de données Amazon RDS pour exiger des connexions TLS (Transport Layer Security) pour les types de moteurs pris en charge

  • CT.RDS.PR.29: Exiger qu'un cluster Amazon RDS ne soit pas configuré pour être accessible au public au moyen de la propriété « PubliclyAccessible »

  • CT.RDS.PR.30: Exiger que le chiffrement au repos d'une instance de base de données Amazon RDS soit configuré pour utiliser une clé KMS que vous spécifiez pour les types de moteurs pris en charge

  • CT.S3.PR.12: Exiger qu'un point d'accès Amazon S3 possède une configuration Block Public Access (BPA) avec toutes les options définies sur true

Nouveaux contrôles préventifs

  • CT.APPSYNC.PV.1 Exiger qu'une API AWS AppSync GraphQL soit configurée avec une visibilité privée

  • CT.EC2.PV.1 Exiger la création d'un instantané Amazon EBS à partir d'un volume chiffré EC2

  • CT.EC2.PV.2 Exiger qu'un volume Amazon EBS attaché soit configuré pour chiffrer les données au repos

  • CT.EC2.PV.3 Exiger qu'un instantané Amazon EBS ne puisse pas être restauré publiquement

  • CT.EC2.PV.4 Exiger qu'Amazon EBS direct APIs ne soit pas appelé

  • CT.EC2.PV.5 Interdire l'utilisation de l'importation et de l'exportation de EC2 machines virtuelles Amazon

  • CT.EC2.PV.6 Interdire l'utilisation d'actions EC2 RequestSpotFleet Amazon et API obsolètes RequestSpotInstances

  • CT.KMS.PV.1 Exiger une politique AWS KMS clé comportant une déclaration limitant la création de AWS KMS subventions aux AWS services

  • CT.KMS.PV.2 Exiger qu'une clé AWS KMS asymétrique contenant du matériel de clé RSA utilisé pour le chiffrement n'ait pas une longueur de clé de 2 048 bits

  • CT.KMS.PV.3 Exiger qu'une AWS KMS clé soit configurée avec le contrôle de sécurité du verrouillage par politique de contournement activé

  • CT.KMS.PV.4 Exiger qu'une clé AWS KMS gérée par le client (CMK) soit configurée avec du matériel clé provenant de CloudHSM AWS

  • CT.KMS.PV.5 Exiger qu'une clé AWS KMS gérée par le client (CMK) soit configurée avec du matériel clé importé

  • CT.KMS.PV.6 Exiger qu'une clé AWS KMS gérée par le client (CMK) soit configurée avec du matériel clé provenant d'un magasin de clés externe (XKS)

  • CT.LAMBDA.PV.1 Exiger une URL AWS Lambda de fonction pour utiliser l'authentification basée AWS sur IAM

  • CT.LAMBDA.PV.2 Exiger qu'une URL de AWS Lambda fonction soit configurée pour que seuls les principaux utilisateurs de votre Compte AWS

  • CT.MULTISERVICE.PV.1 : Refuser l'accès à une unité organisationnelle en AWS fonction de la demande Région AWS

Les nouvelles commandes détectives qui améliorent votre posture de gouvernance en matière de souveraineté numérique font partie de la norme AWS Control Tower AWS Security Hub gérée par des services.

Nouvelles commandes de détection

  • SH.ACM.2: les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

  • SH.AppSync.5: AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API

  • SH.CloudTrail.6: Assurez-vous que le compartiment S3 utilisé pour stocker CloudTrail les journaux n'est pas accessible au public :

  • SH.DMS.9: les points de terminaison DMS doivent utiliser le protocole SSL

  • SH.DocumentDB.3: Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

  • SH.DynamoDB.3: les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos

  • SH.EC2.23: Les passerelles de EC2 transit ne doivent pas accepter automatiquement les demandes de pièces jointes VPC

  • SH.EKS.1: les points de terminaison du cluster EKS ne doivent pas être accessibles au public

  • SH.ElastiCache.3: le basculement automatique doit être activé pour les groupes de ElastiCache réplication

  • SH.ElastiCache.4: les groupes de ElastiCache réplication auraient dû être encryption-at-rest activés

  • SH.ElastiCache.5: les groupes de ElastiCache réplication auraient dû être encryption-in-transit activés

  • SH.ElastiCache.6: Redis AUTH doit être activé pour les groupes de ElastiCache réplication des versions antérieures de Redis

  • SH.EventBridge.3: les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

  • SH.KMS.4: AWS KMS la rotation des touches doit être activée

  • SH.Lambda.3: les fonctions Lambda doivent se trouver dans un VPC

  • SH.MQ.5: les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille

  • SH.MQ.6: Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster

  • SH.MSK.1: les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier

  • SH.RDS.12: l'authentification IAM doit être configurée pour les clusters RDS

  • SH.RDS.15: les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité

  • SH.S3.17: les compartiments S3 doivent être chiffrés au repos avec des clés AWS KMS

Pour plus d'informations sur les contrôles ajoutés à la norme AWS Control Tower AWS Security Hub gérée par les services, consultez Contrôles applicables à la norme AWS Control : AWS Control Tower dans la documentation. AWS Security Hub

Pour obtenir la liste des régions Régions AWS qui ne prennent pas en charge certains contrôles faisant partie de la norme AWS Control Tower AWS Security Hub gérée par des services, consultez la section Régions non prises en charge.

Nouveau contrôle configurable pour le refus de région au niveau de l'UO

CT.MULTISERVICE.PV.1 : Ce contrôle accepte des paramètres pour spécifier les régions exemptées, les principes IAM et les actions autorisés, au niveau de l'unité d'organisation, plutôt que pour l'ensemble de la zone d'atterrissage de l'AWS Control Tower. Il s'agit d'un contrôle préventif, mis en œuvre par la politique de contrôle des services (SCP).

Pour plus d'informations, consultez la section Contrôle de refus de région appliqué à l'unité d'organisation.

L’API UpdateEnabledControl

Cette version d'AWS Control Tower ajoute la prise en charge des API suivante pour les contrôles :

  • L'EnableControlAPI mise à jour permet de configurer des contrôles configurables.

  • L'GetEnabledControlAPI mise à jour affiche les paramètres configurés sur un contrôle activé.

  • La nouvelle UpdateEnabledControl API peut modifier les paramètres d'un contrôle activé.

Pour plus d'informations, consultez le guide de référence des API AWS Control Tower.

AWS Control Tower prend en charge la zone d'atterrissage APIs

26 novembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower prend désormais en charge la configuration de la zone d'atterrissage et le lancement à l'aide de APIs. Vous pouvez créer, mettre à jour, obtenir, répertorier, réinitialiser et supprimer des zones d'atterrissage à l'aide de APIs.

Les instructions suivantes vous APIs permettent de configurer et de gérer votre zone d'atterrissage par programme à l'aide AWS CloudFormation du AWS CLI.

AWS Control Tower prend en charge les éléments suivants APIs pour les zones d'atterrissage :

  • CreateLandingZone—Cet appel d'API crée une zone d'atterrissage à l'aide d'une version de zone d'atterrissage et d'un fichier manifeste.

  • GetLandingZoneOperation—Cet appel d'API renvoie l'état d'une opération de zone d'atterrissage spécifiée.

  • GetLandingZone—Cet appel d'API renvoie des informations sur la zone d'atterrissage spécifiée, notamment la version, le fichier manifeste et le statut.

  • UpdateLandingZone—Cet appel d'API met à jour la version ou le fichier manifeste de la zone d'atterrissage.

  • ListLandingZone—Cet appel d'API renvoie un identifiant de zone d'atterrissage (ARN) pour une configuration de zone d'atterrissage dans le compte de gestion.

  • ResetLandingZone—Cet appel d'API réinitialise la zone d'atterrissage aux paramètres spécifiés lors de la dernière mise à jour, ce qui permet de réparer la dérive. Si la zone d'atterrissage n'a pas été mise à jour, cet appel rétablit les paramètres spécifiés lors de la création de la zone d'atterrissage.

  • DeleteLandingZone—Cet appel d'API met hors service la zone d'atterrissage.

Pour commencer à utiliser la zone d'atterrissage APIs, consultez leCommencez à utiliser AWS Control Tower en utilisant APIs.

AWS Control Tower prend en charge le balisage pour les contrôles activés

10 novembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower prend désormais en charge le balisage des ressources pour les contrôles activés, depuis la console AWS Control Tower ou au moyen de APIs. Vous pouvez ajouter, supprimer ou répertorier des balises pour les contrôles activés.

Avec la sortie de ce qui suit APIs, vous pouvez configurer des balises pour les contrôles que vous activez dans AWS Control Tower. Les balises vous aident à gérer, identifier, organiser, rechercher et filtrer les ressources. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères.

AWS Control Tower prend en charge les éléments suivants APIs pour le balisage des contrôles :

  • TagResource—Cet appel d'API ajoute des balises aux contrôles activés dans AWS Control Tower.

  • UntagResource—Cet appel d'API supprime les balises des contrôles activés dans AWS Control Tower.

  • ListTagsForResource—Cet appel d'API renvoie des balises pour les contrôles activés dans AWS Control Tower.

Les commandes AWS Control Tower APIs sont disponibles Régions AWS là où AWS Control Tower est disponible. Pour une liste complète des sites Régions AWS dans lesquels AWS Control Tower est disponible, consultez le tableau des AWS régions. Pour obtenir la liste complète d'AWS Control Tower APIs, consultez la référence des API.

AWS Control Tower est disponible dans la région Asie-Pacifique (Melbourne)

3 novembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower est disponible dans la région Asie-Pacifique (Melbourne).

Si vous utilisez déjà AWS Control Tower et que vous souhaitez étendre ses fonctionnalités de gouvernance à cette région dans vos comptes, rendez-vous sur la page Paramètres de votre tableau de bord AWS Control Tower, sélectionnez la région, puis mettez à jour votre zone de landing zone. Après une mise à jour de la zone de landing zone, vous devez mettre à jour tous les comptes régis par AWS Control Tower, afin de les OUs placer sous gouvernance dans la nouvelle région. Pour plus d'informations, voir À propos des mises à jour.

Pour obtenir la liste complète des régions dans lesquelles AWS Control Tower est disponible, consultez le Région AWS tableau.

Transition vers un nouveau type de produit AWS Service Catalog externe (phase 1)

31 octobre 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

HashiCorp a mis à jour leur licence Terraform. En conséquence, le support pour les produits Open Source de Terraform a été AWS Service Catalog mis à jour et les produits ont été fournis pour un nouveau type de produit, appelé External.

AWS Control Tower ne prend pas en charge les personnalisations d'Account Factory qui reposent sur le type de produit AWS Service Catalog externe. Pour éviter toute interruption des charges de travail et AWS des ressources existantes dans vos comptes, suivez les étapes de transition d'AWS Control Tower dans cet ordre suggéré, d'ici le 14 décembre 2023 :

  1. Mettez à niveau votre moteur de référence Terraform existant AWS Service Catalog pour inclure la prise en charge des types de produits externes et open source Terraform. Pour obtenir des instructions sur la mise à jour de votre moteur de référence Terraform, consultez le AWS Service Catalog GitHub référentiel.

  2. Accédez à tous AWS Service Catalog les plans Open Source Terraform existants et dupliquez-les pour utiliser le nouveau type de produit externe. Ne mettez pas fin aux plans Open Source Terraform existants.

  3. Continuez à utiliser vos plans Open Source Terraform existants pour créer ou mettre à jour des comptes dans AWS Control Tower.

Nouvelle API de contrôle disponible

14 octobre 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower prend désormais en charge une API supplémentaire que vous pouvez utiliser pour déployer et gérer vos contrôles AWS Control Tower, à grande échelle. Pour plus d'informations sur le contrôle de la tour de contrôle AWS Control Tower APIs, consultez la référence des API.

AWS Control Tower a ajouté une nouvelle API de contrôle.

  • GetEnabledControl—L'appel d'API fournit des informations sur un contrôle activé.

Nous avons également mis à jour cette API :

ListEnabledControls—Cet appel d'API répertorie les contrôles activés par AWS Control Tower sur l'unité organisationnelle spécifiée et les comptes qu'elle contient. Il renvoie désormais des informations supplémentaires dans un EnabledControlSummary objet.

Grâce à ceux-ci APIs, vous pouvez effectuer plusieurs opérations courantes par programmation. Par exemple :

  • Obtenez une liste de tous les contrôles que vous avez activés dans la bibliothèque de contrôles d'AWS Control Tower.

  • Pour tout contrôle activé, vous pouvez obtenir des informations sur les régions dans lesquelles le contrôle est pris en charge, l'identifiant du contrôle (ARN), l'état de dérive du contrôle et le résumé de l'état du contrôle.

Les commandes AWS Control Tower APIs sont disponibles Régions AWS là où AWS Control Tower est disponible. Pour une liste complète des sites Régions AWS dans lesquels AWS Control Tower est disponible, consultez le tableau des AWS régions. Pour obtenir la liste complète d'AWS Control Tower APIs, consultez la référence des API.

AWS Control Tower ajoute des contrôles supplémentaires

5 octobre 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower annonce de nouveaux contrôles proactifs et détectifs.

Les contrôles proactifs dans AWS Control Tower sont mis en œuvre au moyen de AWS CloudFormation Hooks, qui identifient et bloquent les ressources non conformes avant de les AWS CloudFormation approvisionner. Les contrôles proactifs complètent les capacités de contrôle préventif et de détection existantes d'AWS Control Tower.

Nouveaux contrôles proactifs

  • [CT.ATHENA.PR.1] Exiger qu'un groupe de travail Amazon Athena chiffre les résultats des requêtes Athena au repos

  • [CT.ATHENA.PR.2] Exiger d'un groupe de travail Amazon Athena qu'il crypte les résultats des requêtes Athena au repos avec une clé (KMS) AWS Key Management Service

  • [CT.CLOUDTRAIL.PR.4] Exiger un magasin de données d'événements AWS CloudTrail Lake pour activer le chiffrement au repos à l'aide d'une AWS KMS clé

  • [CT.DAX.PR.2] Exiger un cluster Amazon DAX pour déployer des nœuds dans au moins trois zones de disponibilité

  • [CT.EC2.PR.14] Exiger un volume Amazon EBS configuré via un modèle de EC2 lancement Amazon pour chiffrer les données au repos

  • [CT.EKS.PR.2] Exiger qu'un cluster Amazon EKS soit configuré avec un chiffrement secret à l'aide des AWS clés du service de gestion des clés (KMS)

  • [CT.ELASTICLOADBALANCING.PR.14] Exiger un Network Load Balancer pour activer l'équilibrage de charge entre zones

  • [CT.ELASTICLOADBALANCING.PR.15] Exiger qu'un groupe cible Elastic Load Balancing v2 ne désactive pas explicitement l'équilibrage de charge entre zones

  • [CT.EMR.PR.1] Exiger qu'une configuration de sécurité Amazon EMR (EMR) soit configurée pour chiffrer les données au repos dans Amazon S3

  • [CT.EMR.PR.2] Exiger qu'une configuration de sécurité Amazon EMR (EMR) soit configurée pour chiffrer les données au repos dans Amazon S3 à l'aide d'une clé AWS KMS

  • [CT.EMR.PR.3] Exiger qu'une configuration de sécurité Amazon EMR (EMR) soit configurée avec le chiffrement du disque local du volume EBS à l'aide d'une clé AWS KMS

  • [CT.EMR.PR.4] Exiger qu'une configuration de sécurité Amazon EMR (EMR) soit configurée pour chiffrer les données en transit

  • [CT.GLUE.PR.1] Exiger qu'une tâche AWS Glue soit associée à une configuration de sécurité

  • [CT.GLUE.PR.2] Exiger une configuration de sécurité AWS Glue pour chiffrer les données dans les cibles Amazon S3 à l'aide de clés AWS KMS

  • [CT.KMS.PR.2] Exiger qu'une clé AWS KMS asymétrique contenant du matériel de clé RSA utilisé pour le chiffrement ait une longueur de clé supérieure à 2 048 bits

  • [CT.KMS.PR.3] Exiger une politique AWS KMS clé comportant une déclaration limitant la création de AWS KMS subventions aux AWS services

  • [CT.LAMBDA.PR.4] Exiger une autorisation de AWS Lambda couche pour accorder l'accès à une AWS organisation ou à un AWS compte spécifique

  • [CT.LAMBDA.PR.5] Exiger une URL de AWS Lambda fonction pour utiliser l'authentification basée AWS sur IAM

  • [CT.LAMBDA.PR.6] Exiger une politique CORS d'URL de AWS Lambda fonction pour restreindre l'accès à des origines spécifiques

  • [CT.NEPTUNE.PR.4] Exiger un cluster de base de données Amazon Neptune pour activer l'exportation des CloudWatch journaux d'audit par Amazon

  • [CT.NEPTUNE.PR.5] Exiger qu'un cluster de base de données Amazon Neptune définisse une période de conservation des sauvegardes supérieure ou égale à sept jours

  • [CT.REDSHIFT.PR.9] Exiger qu'un groupe de paramètres de cluster Amazon Redshift soit configuré pour utiliser le protocole SSL (Secure Sockets Layer) pour le chiffrement des données en transit

Ces nouveaux contrôles proactifs sont disponibles dans les zones commerciales Régions AWS où AWS Control Tower est disponible. Pour plus de détails sur ces contrôles, voir Contrôles proactifs. Pour plus de détails sur les endroits où les commandes sont disponibles, consultez la section Limitations des commandes.

Nouvelles commandes de détection

De nouveaux contrôles ont été ajoutés au Security Hub Service-Managed Standard : AWS Control Tower. Ces contrôles vous aident à améliorer votre posture de gouvernance. Ils font partie du Security Hub Service-Managed Standard : AWS Control Tower, une fois que vous les avez activés sur une unité d'organisation spécifique.

  • [SH.Athena.1] Les groupes de travail Athena doivent être chiffrés au repos

  • [SH.Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

  • [SH.Neptune.2] Les clusters de base de données Neptune doivent publier les journaux d'audit dans Logs CloudWatch

  • [SH.Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

  • [SH.Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

  • [SH.Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

  • [SH.Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

  • [SH.Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune

  • [SH.Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

  • [SH.RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos

Les nouvelles commandes AWS Security Hub de détection sont disponibles dans la plupart des Régions AWS pays où AWS Control Tower est disponible. Pour plus de détails sur ces contrôles, consultez Controls that apply to Service-Managed Standard : AWS Control Tower. Pour plus de détails sur les endroits où les commandes sont disponibles, consultezLimites de contrôle.

Nouveau type de dérive signalé : accès sécurisé désactivé

21 septembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

Après avoir configuré la zone d'atterrissage de votre AWS Control Tower, vous pouvez désactiver l'accès sécurisé à AWS Control Tower dans AWS Organizations. Cependant, cela entraîne une dérive.

Avec le type de dérive à accès sécurisé désactivé, AWS Control Tower vous avertit lorsque ce type de dérive se produit, afin que vous puissiez réparer la zone d'atterrissage de votre AWS Control Tower. Pour plus d'informations, consultez la section Types de dérive de la gouvernance.

Quatre supplémentaires Régions AWS

13 septembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower est désormais disponible en Asie-Pacifique (Hyderabad), en Europe (Espagne et Zurich) et au Moyen-Orient (Émirats arabes unis).

Si vous utilisez déjà AWS Control Tower et que vous souhaitez étendre ses fonctionnalités de gouvernance à cette région dans vos comptes, rendez-vous sur la page Paramètres de votre tableau de bord AWS Control Tower, sélectionnez la région, puis mettez à jour votre zone de landing zone. Après une mise à jour de la zone de landing zone, vous devez mettre à jour tous les comptes régis par AWS Control Tower, afin de les OUs placer sous gouvernance dans la nouvelle région. Pour plus d'informations, voir À propos des mises à jour.

Pour obtenir la liste complète des régions dans lesquelles AWS Control Tower est disponible, consultez le Région AWS tableau.

AWS Control Tower est disponible dans la région de Tel Aviv

28 août 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower annonce sa disponibilité dans la région d'Israël (Tel Aviv).

Si vous utilisez déjà AWS Control Tower et que vous souhaitez étendre ses fonctionnalités de gouvernance à cette région dans vos comptes, rendez-vous sur la page Paramètres de votre tableau de bord AWS Control Tower, sélectionnez la région, puis mettez à jour votre zone de landing zone. Après une mise à jour de la zone de landing zone, vous devez mettre à jour tous les comptes régis par AWS Control Tower, afin de les OUs placer sous gouvernance dans la nouvelle région. Pour plus d'informations, voir À propos des mises à jour.

Pour obtenir la liste complète des régions dans lesquelles AWS Control Tower est disponible, consultez le Région AWS tableau.

AWS Control Tower lance 28 nouveaux contrôles proactifs

24 juillet 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower ajoute 28 nouveaux contrôles proactifs pour vous aider à gérer votre AWS environnement.

Les contrôles proactifs améliorent les capacités de gouvernance d'AWS Control Tower dans vos AWS environnements multi-comptes, en bloquant les ressources non conformes avant leur mise en service. Ces contrôles permettent de gérer AWS des services tels qu'Amazon CloudWatch, Amazon Neptune, Amazon et Amazon ElastiCache AWS Step Functions DocumentDB. Les nouvelles commandes vous aident à atteindre des objectifs de contrôle tels que l'établissement de la journalisation et de la surveillance, le chiffrement des données au repos ou l'amélioration de la résilience.

Voici la liste complète des nouvelles commandes :

  • [CT.APPSYNC.PR.1] Exiger une API AWS AppSync GraphQL pour activer la journalisation

  • [CT.CLOUDWATCH.PR.1] Exiger une alarme CloudWatch Amazon pour qu'une action soit configurée pour l'état de l'alarme

  • [CT.CLOUDWATCH.PR.2] Exiger qu'un groupe de journaux CloudWatch Amazon soit conservé pendant au moins un an

  • [CT.CLOUDWATCH.PR.3] Exiger qu'un groupe de journaux CloudWatch Amazon soit chiffré au repos avec une clé KMS AWS

  • [CT.CLOUDWATCH.PR.4] Exiger l'activation d'une action d'alarme Amazon CloudWatch

  • [CT.DOCUMENTDB.PR.1] Exiger qu'un cluster Amazon DocumentDB soit chiffré au repos

  • [CT.DOCUMENTDB.PR.2] Exiger que les sauvegardes automatiques soient activées sur un cluster Amazon DocumentDB

  • [CT.DYNAMODB.PR.2] Exiger qu'une table Amazon DynamoDB soit chiffrée au repos à l'aide de clés AWS KMS

  • [CT. EC2.PR.13] Exiger que la surveillance détaillée soit activée sur une EC2 instance Amazon

  • [CT.EKS.PR.1] Exiger qu'un cluster Amazon EKS soit configuré avec l'accès public désactivé au point de terminaison du serveur d'API Kubernetes du cluster

  • [CT.ELASTICACHE.PR.1] Exiger que les sauvegardes automatiques soient activées sur un cluster ElastiCache Amazon pour Redis

  • [CT.ELASTICACHE.PR.2] Exiger que les mises à niveau automatiques des versions mineures soient activées sur un cluster ElastiCache Amazon pour Redis

  • [CT.ELASTICACHE.PR.3] Exiger qu'un groupe de réplication ElastiCache Amazon pour Redis active le basculement automatique

  • [CT.ELASTICACHE.PR.4] Exiger qu'un groupe de réplication ElastiCache Amazon active le chiffrement au repos

  • [CT.ELASTICACHE.PR.5] Exiger qu'un groupe de réplication ElastiCache Amazon pour Redis active le chiffrement en transit

  • [CT.ELASTICACHE.PR.6] Exiger qu'un cluster de cache ElastiCache Amazon utilise un groupe de sous-réseaux personnalisé

  • [CT.ELASTICACHE.PR.7] Exiger qu'un groupe de réplication ElastiCache Amazon de versions antérieures de Redis dispose de l'authentification Redis AUTH

  • [CT.ELASTICBEANSTALK.PR.3] Nécessite un environnement AWS Elastic Beanstalk pour disposer d'une configuration de journalisation

  • [CT.LAMBDA.PR.3] Exiger qu'une AWS Lambda fonction se trouve dans un Amazon Virtual Private Cloud (VPC) géré par le client

  • [CT.NEPTUNE.PR.1] Exiger qu'un cluster de base de données Amazon Neptune dispose d'une authentification de base de données (IAM) AWS Identity and Access Management

  • [CT.NEPTUNE.PR.2] Exiger que la protection contre les suppressions soit activée sur un cluster de base de données Amazon Neptune

  • [CT.NEPTUNE.PR.3] Exiger que le chiffrement du stockage soit activé sur un cluster de base de données Amazon Neptune

  • [CT.REDSHIFT.PR.8] Exiger le chiffrement d'un cluster Amazon Redshift

  • [CT.S3.PR.9] Exiger que S3 Object Lock soit activé dans un compartiment Amazon S3

  • [CT.S3.PR.10] Exiger que le chiffrement côté serveur d'un compartiment Amazon S3 soit configuré à l'aide de clés AWS KMS

  • [CT.S3.PR.11] Exiger l'activation du versionnement d'un compartiment Amazon S3

  • [CT.STEPFUNCTIONS.PR.1] Exiger qu'une AWS Step Functions machine à états active la journalisation

  • [CT.STEPFUNCTIONS.PR.2] Exiger qu'une AWS Step Functions machine à états active le suivi AWS X-Ray

Les contrôles proactifs dans AWS Control Tower sont mis en œuvre au moyen de AWS CloudFormation Hooks, qui identifient et bloquent les ressources non conformes avant de les AWS CloudFormation approvisionner. Les contrôles proactifs complètent les capacités de contrôle préventif et de détection existantes d'AWS Control Tower.

Ces nouveaux contrôles proactifs sont disponibles partout Régions AWS où AWS Control Tower est disponible. Pour plus de détails sur ces contrôles, voir Contrôles proactifs.

AWS Control Tower déconseille deux contrôles

18 juillet 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower passe régulièrement en revue ses contrôles de sécurité pour s'assurer qu'ils sont à jour et qu'ils sont toujours considérés comme les meilleures pratiques. Les deux contrôles suivants sont devenus obsolètes à compter du 18 juillet 2023 et seront supprimés de la bibliothèque de contrôles à compter du 18 août 2023. Vous ne pouvez plus activer ces contrôles sur aucune unité organisationnelle. Vous pouvez choisir de désactiver ces contrôles avant la date de suppression.

  • [SH.S3.4] Le chiffrement côté serveur doit être activé pour les compartiments S3

  • [CT.S3.PR.7] Exiger que le chiffrement côté serveur soit configuré sur un compartiment Amazon S3

Motif de la dépréciation

Depuis janvier 2023, Amazon S3 a configuré le chiffrement par défaut sur tous les compartiments non chiffrés nouveaux et existants afin d'appliquer le chiffrement côté serveur avec des clés gérées S3 (SSE-S3) comme niveau de chiffrement de base pour les nouveaux objets chargés dans ces compartiments. Aucune modification n'a été apportée à la configuration de chiffrement par défaut pour un compartiment existant sur lequel le chiffrement SSE-S3 ou côté serveur avec des clés du service de gestion des AWS clés (KMS) (AWS SSE-KMS) était déjà configuré.

Zone de landing zone d'AWS Control Tower, version 3.2

16 juin 2023

(Mise à jour requise pour la zone de landing zone d'AWS Control Tower vers la version 3.2. Pour plus d'informations, voirMettez à jour votre zone de landing zone).

La version 3.2 de la zone de landing zone d'AWS Control Tower met à la disposition du grand public les commandes incluses dans le AWS Security Hub Service-Managed Standard : AWS Control Tower. Il permet de visualiser l'état de dérive des commandes incluses dans cette norme dans la console AWS Control Tower.

Cette mise à jour inclut un nouveau rôle lié à un service (SLR), appelé Tour. AWSService RoleFor AWSControl Ce rôle aide AWS Control Tower en créant une règle EventBridge gérée, appelée « AWSControlTowerManagedRuledans chaque compte membre ». Cette règle gérée collecte les événements de AWS Security Hub recherche. Grâce à AWS Control Tower, elle peut déterminer la dérive du contrôle.

Il s'agit de la première règle gérée créée par AWS Control Tower. La règle n'est pas déployée par une pile ; elle est déployée directement depuis le EventBridge APIs. Vous pouvez consulter la règle dans la EventBridge console ou à l'aide du EventBridge APIs. Si le managed-by champ est renseigné, il affichera le principal du service AWS Control Tower.

Auparavant, AWS Control Tower assumait le AWSControlTowerExecutionrôle d'effectuer des opérations sur les comptes des membres. Ce nouveau rôle et cette nouvelle règle sont mieux alignés sur le principe des meilleures pratiques qui consiste à accorder le moindre privilège lors de l'exécution d'opérations dans un AWS environnement multi-comptes. Le nouveau rôle fournit des autorisations limitées qui permettent spécifiquement : de créer la règle gérée dans les comptes des membres, de maintenir la règle gérée, de publier des notifications de sécurité via SNS et de vérifier la dérive. Pour de plus amples informations, veuillez consulter AWSServiceRoleForAWSControlTour.

La mise à jour 3.2 de la zone d'atterrissage inclut également une nouvelle StackSet ressource dans le compte de gestionBP_BASELINE_SERVICE_LINKED_ROLE, qui déploie initialement le rôle lié au service.

Lorsque vous signalez une dérive du contrôle du Security Hub (dans la landing zone 3.2 et versions ultérieures), AWS Control Tower reçoit une mise à jour quotidienne du statut de la part de Security Hub. Bien que les contrôles soient actifs dans chaque région gouvernée, AWS Control Tower envoie les événements AWS Security Hub Finding uniquement à la région d'origine d'AWS Control Tower. Pour plus d'informations, consultez la section Security Hub Control Drift Reporting.

Mise à jour du contrôle Region Deny

Cette version de zone d'atterrissage inclut également une mise à jour du contrôle Region Deny.

Services globaux et APIs ajoutés

  • AWS Billing and Cost Management (billing:*)

  • AWS CloudTrail (cloudtrail:LookupEvents) pour permettre la visibilité des événements mondiaux sur les comptes des membres.

  • AWS Facturation consolidée (consolidatedbilling:*)

  • AWS Application mobile de console de gestion (consoleapp:*)

  • AWS Niveau gratuit (freetier:*)

  • Facturation AWS (invoicing:*)

  • AWS IQ (iq:*)

  • AWS Notifications aux utilisateurs (notifications:*)

  • AWS Contacts pour les notifications utilisateur (notifications-contacts:*)

  • Amazon Payments (payments:*)

  • AWS Paramètres fiscaux (tax:*)

Services globaux et APIs supprimés

  • Supprimé s3:GetAccountPublic car il ne s'agit pas d'une action valide.

  • Supprimé s3:PutAccountPublic car il ne s'agit pas d'une action valide.

AWS Control Tower gère les comptes en fonction de leur identifiant

14 juin 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower crée et gère désormais les comptes que vous créez dans Account Factory en suivant l' AWS identifiant du compte plutôt que son adresse e-mail.

Lors de la mise en service d'un compte, le demandeur du compte doit toujours disposer des autorisations CreateAccount et des DescribeCreateAccountStatus autorisations. Cet ensemble d'autorisations fait partie du rôle d'administrateur et est accordé automatiquement lorsqu'un demandeur assume le rôle d'administrateur. Si vous déléguez l'autorisation de provisionner des comptes, vous devrez peut-être ajouter ces autorisations directement aux demandeurs de comptes.

Contrôles de détection supplémentaires du Security Hub disponibles dans la bibliothèque de contrôles AWS Control Tower

12 juin 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower a ajouté dix nouveaux contrôles AWS Security Hub de détection à la bibliothèque de contrôles AWS Control Tower. Ces nouveaux contrôles ciblent des services tels que API Gateway AWS CodeBuild, Amazon Elastic Compute Cloud (EC2), Amazon Elastic Load Balancer, Amazon Redshift, SageMaker Amazon AI et. AWS WAF Ces nouveaux contrôles vous aident à améliorer votre posture de gouvernance en atteignant les objectifs de contrôle, tels que l'établissement de la journalisation et de la surveillance, la limitation de l'accès au réseau et le chiffrement des données au repos.

Ces contrôles font partie du Security Hub Service-Managed Standard : AWS Control Tower, une fois que vous les avez activés sur une unité d'organisation spécifique.

  • [Sh.Account.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS

  • [SH. APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation

  • [SH. APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

  • [SH. CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

  • [SH. EC2.25] les modèles de EC2 lancement ne doivent pas attribuer de public IPs aux interfaces réseau

  • [SH.ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS

  • [Sh.Redshift.10] Les clusters Redshift doivent être chiffrés au repos

  • [SH. SageMaker.2] Les instances de bloc-notes SageMaker AI doivent être lancées dans un VPC personnalisé

  • [SH. SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de bloc-notes SageMaker AI

  • [SH.WAF.10] Une ACL WAFV2 Web doit comporter au moins une règle ou un groupe de règles

Les nouvelles AWS Security Hub commandes de détection sont disponibles partout Régions AWS où AWS Control Tower est disponible. Pour plus de détails sur ces contrôles, consultez Controls that apply to Service-Managed Standard : AWS Control Tower.

AWS Control Tower publie des tables de métadonnées de contrôle

7 juin 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower fournit désormais des tables complètes de métadonnées de contrôle dans le cadre de la documentation publiée. Lorsque vous utilisez le contrôle APIs, vous pouvez consulter l'API ControlIdentifier de chaque contrôle, qui est un ARN unique associé à chaque contrôle. Région AWS Les tableaux incluent les cadres et les objectifs de contrôle couverts par chaque contrôle. Auparavant, ces informations n'étaient disponibles que dans la console.

Les tables incluent également les métadonnées des contrôles Security Hub qui font partie de la norme AWS Security Hub Service-Managed : AWS Control Tower. Pour plus de détails, consultez la section Tableaux des métadonnées de contrôle.

Pour une liste abrégée des identificateurs de contrôle et quelques exemples d'utilisation, voir Identifiants de ressources pour les contrôles et les contrôles. APIs

Support de Terraform pour la personnalisation d'Account Factory

6 juin 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower propose un support régional pour Terraform via Account Factory Customization (AFC). À partir de cette version, vous pouvez utiliser AWS Control Tower et Service Catalog ensemble, pour définir des plans de compte AFC, dans l'open source Terraform. Vous pouvez personnaliser vos ressources nouvelles et existantes Comptes AWS avant de provisionner des ressources dans AWS Control Tower. Par défaut, cette fonctionnalité vous permet de déployer et de mettre à jour des comptes, avec Terraform, dans votre région d'origine AWS Control Tower.

Un plan de compte décrit les ressources et les configurations spécifiques requises lors du provisionnement d' Compte AWS un compte. Vous pouvez utiliser le plan comme modèle pour en créer plusieurs Comptes AWS à grande échelle.

Pour commencer, utilisez le moteur de référence Terraform activé. GitHub Le moteur de référence configure le code et l'infrastructure requis pour que le moteur open source Terraform fonctionne avec Service Catalog. Ce processus de configuration unique prend quelques minutes. Ensuite, vous pouvez définir les exigences de votre compte personnalisé dans Terraform, puis déployer vos comptes à l'aide du flux de travail bien défini d'AWS Control Tower Account Factory. Les clients qui préfèrent travailler avec Terraform peuvent utiliser la personnalisation des comptes AWS Control Tower à grande échelle avec AFC et accéder immédiatement à chaque compte une fois celui-ci provisionné.

Pour savoir comment créer ces personnalisations, consultez Creating Products et Getting started with Terraform open source dans la documentation Service Catalog. Cette fonctionnalité est disponible partout Régions AWS où AWS Control Tower est disponible.

AWS L'autogestion de l'IAM Identity Center est disponible pour la zone de landing zone

6 juin 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower prend désormais en charge un choix facultatif de fournisseur d'identité pour une zone de landing zone AWS Control Tower, que vous pouvez configurer lors de la configuration ou de la mise à jour. Par défaut, la zone de landing zone est activée pour utiliser AWS IAM Identity Center, conformément aux recommandations relatives aux meilleures pratiques définies dans Organizing Your Environment Using Multiple Accounts. AWS Trois alternatives s'offrent à vous :

  • Vous pouvez accepter la valeur par défaut et autoriser AWS Control Tower à configurer et à gérer AWS IAM Identity Center pour vous.

  • Vous pouvez choisir de gérer vous-même l' AWS IAM Identity Center, en fonction des besoins spécifiques de votre entreprise.

  • Vous pouvez éventuellement faire appel à un fournisseur d'identité tiers et le gérer vous-même en le connectant via IAM Identity Center, si nécessaire. Vous devez utiliser l'option du fournisseur d'identité si votre environnement réglementaire vous oblige à faire appel à un fournisseur spécifique ou si vous opérez dans un pays Régions AWS où AWS IAM Identity Center n'est pas disponible.

Pour de plus amples informations, veuillez consulter Conseils relatifs à l'IAM Identity Center.

La sélection de fournisseurs d'identité au niveau du compte n'est pas prise en charge. Cette fonctionnalité s'applique uniquement à la zone d'atterrissage dans son ensemble. L'option du fournisseur d'identité AWS Control Tower est disponible partout Régions AWS où AWS Control Tower est disponible.

AWS Control Tower résout le problème de la gouvernance mixte pour OUs

1er juin 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

Avec cette version, AWS Control Tower empêche le déploiement des contrôles dans une unité organisationnelle (UO) si cette unité d'organisation est dans un état de gouvernance mixte. Une gouvernance mixte se produit dans une unité d'organisation si les comptes ne sont pas mis à jour après qu'AWS Control Tower ait étendu la gouvernance à une nouvelle Région AWS entité ou ait supprimé la gouvernance. Cette version vous aide à garantir la conformité uniforme des comptes des membres de cette unité d'organisation. Pour de plus amples informations, veuillez consulter Évitez la gouvernance mixte lors de la configuration des régions.

Contrôles proactifs supplémentaires disponibles

19 mai 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower ajoute 28 nouveaux contrôles proactifs pour vous aider à gérer votre environnement multi-comptes et à atteindre des objectifs de contrôle spécifiques, tels que le chiffrement des données au repos ou la limitation de l'accès au réseau. Des contrôles proactifs sont mis en œuvre avec AWS CloudFormation des hooks qui vérifient vos ressources avant qu'elles ne soient provisionnées. Les nouveaux contrôles peuvent aider à régir AWS des services tels qu'Amazon OpenSearch Service, Amazon EC2 Auto Scaling, Amazon SageMaker AI, Amazon API Gateway et Amazon Relational Database Service (RDS).

Les contrôles proactifs sont pris en charge dans tous les commerces Régions AWS où AWS Control Tower est disponible.

Amazon OpenSearch Service

  • [CT.OPENSEARCH.PR.1] Exiger un domaine Elasticsearch pour chiffrer les données au repos

  • [CT.OPENSEARCH.PR.2] Exiger la création d'un domaine Elasticsearch dans un Amazon VPC spécifié par l'utilisateur

  • [CT.OPENSEARCH.PR.3] Exiger un domaine Elasticsearch pour chiffrer les données envoyées entre les nœuds

  • [CT.OPENSEARCH.PR.4] Exiger un domaine Elasticsearch pour envoyer des journaux d'erreurs à Amazon Logs CloudWatch

  • [CT.OPENSEARCH.PR.5] Exiger un domaine Elasticsearch pour envoyer des journaux d'audit à Amazon Logs CloudWatch

  • [CT.OPENSEARCH.PR.6] Exiger qu'un domaine Elasticsearch dispose d'une reconnaissance de zone et d'au moins trois nœuds de données

  • [CT.OPENSEARCH.PR.7] Exiger qu'un domaine Elasticsearch possède au moins trois nœuds maîtres dédiés

  • [CT.OPENSEARCH.PR.8] Nécessite un domaine Elasticsearch Service pour utiliser 2. TLSv1

  • [CT.OPENSEARCH.PR.9] Exiger un domaine OpenSearch Amazon Service pour chiffrer les données au repos

  • [CT.OPENSEARCH.PR.10] Exiger la création d'un domaine Amazon Service dans un OpenSearch Amazon VPC spécifié par l'utilisateur

  • [CT.OPENSEARCH.PR.11] Exiger un domaine OpenSearch Amazon Service pour chiffrer les données envoyées entre les nœuds

  • [CT.OPENSEARCH.PR.12] Exiger un domaine Amazon Service pour envoyer des journaux d'erreurs à OpenSearch Amazon Logs CloudWatch

  • [CT.OPENSEARCH.PR.13] Exiger un domaine Amazon Service pour envoyer des journaux d'audit à OpenSearch Amazon Logs CloudWatch

  • [CT.OPENSEARCH.PR.14] Exiger qu'un domaine OpenSearch Amazon Service dispose d'une reconnaissance de zone et d'au moins trois nœuds de données

  • [CT.OPENSEARCH.PR.15] Exiger un domaine OpenSearch Amazon Service pour utiliser un contrôle d'accès précis

  • [CT.OPENSEARCH.PR.16] Nécessite un domaine Amazon Service pour utiliser la version 2. OpenSearch TLSv1

Amazon EC2 Auto Scaling

  • [CT.AUTOSCALING.PR.1] Exiger qu'un groupe Amazon EC2 Auto Scaling possède plusieurs zones de disponibilité

  • [CT.AUTOSCALING.PR.2] Exiger une configuration de lancement de groupe Amazon EC2 Auto Scaling pour configurer les instances Amazon pour EC2 IMDSv2

  • [CT.AUTOSCALING.PR.3] Exiger une configuration de lancement d'Amazon EC2 Auto Scaling pour avoir une limite de réponse aux métadonnées à saut unique

  • [CT.AUTOSCALING.PR.4] Exiger qu'un groupe Amazon EC2 Auto Scaling associé à un Amazon Elastic Load Balancing (ELB) fasse activer les bilans de santé de l'ELB

  • [CT.AUTOSCALING.PR.5] Exiger qu'une configuration de lancement de groupe Amazon EC2 Auto Scaling ne comporte pas d'instances Amazon avec des adresses IP publiques EC2

  • [CT.AUTOSCALING.PR.6] Exiger que tous les groupes Amazon EC2 Auto Scaling utilisent plusieurs types d'instances

  • [CT.AUTOSCALING.PR.8] Exiger qu'un groupe Amazon EC2 Auto Scaling ait des modèles de lancement configurés EC2

Amazon SageMaker AI

  • [CT.SAGEMAKER.PR.1] Exigez une instance de bloc-notes SageMaker Amazon AI pour empêcher l'accès direct à Internet

  • [CT.SAGEMAKER.PR.2] Exiger le déploiement des instances de bloc-notes SageMaker Amazon AI au sein d'un Amazon VPC personnalisé

  • [CT.SAGEMAKER.PR.3] Exiger que l'accès root soit interdit aux instances de SageMaker blocs-notes Amazon AI

Amazon API Gateway

  • [CT.APIGATEWAY.PR.5] Exiger des routes Websocket et HTTP Amazon API Gateway V2 pour spécifier un type d'autorisation

Amazon Relational Database Service (RDS)

  • [CT.RDS.PR.25] Exiger que la journalisation soit configurée sur un cluster de bases de données Amazon RDS

Pour plus d'informations, consultez la section Contrôles proactifs.

Contrôles EC2 proactifs Amazon mis à jour

2 mai 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower a mis à jour deux contrôles proactifs : CT.EC2.PR.3 and CT.EC2.PR.4.

Pour la mise à jour CT.EC2.PR.3 contrôle, tout AWS CloudFormation déploiement faisant référence à une liste de préfixes pour une ressource de groupe de sécurité est bloqué, sauf pour le port 80 ou 443.

Pour la mise à jour CT.EC2.PR.4 contrôle, tout AWS CloudFormation déploiement faisant référence à une liste de préfixes pour une ressource de groupe de sécurité est bloqué si le port est 3389, 20, 23, 110, 143, 3306, 8080, 1433, 9200, 9300, 25, 445, 135, 21, 1434, 4333, 5432, 5500, 5601, 22, 3000, 5000, 8088, 8888.

Sept autres Régions AWS disponibles

19 avril 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

AWS Control Tower est désormais disponible dans sept autres pays Régions AWS : Californie du Nord (San Francisco), Asie-Pacifique (Hong Kong, Jakarta et Osaka), Europe (Milan), Moyen-Orient (Bahreïn) et Afrique (Le Cap). Ces régions supplémentaires pour AWS Control Tower, appelées régions opt-in, ne sont pas actives par défaut, à l'exception de la région USA Ouest (Californie du Nord), qui est active par défaut.

Certains contrôles d'AWS Control Tower ne fonctionnent pas dans certains de ces systèmes supplémentaires Régions AWS où AWS Control Tower est disponible, car ces régions ne prennent pas en charge les fonctionnalités sous-jacentes requises. Pour plus de détails, consultez Limites de contrôle.

Parmi ces nouvelles régions, le CfCT n'est pas disponible en Asie-Pacifique (Jakarta et Osaka). La disponibilité dans les autres Régions AWS catégories reste inchangée.

Pour plus d'informations sur la façon dont AWS Control Tower gère les limites des régions et des contrôles, consultezConsidérations relatives à l'activation des AWS régions optionnelles.

Les VPCe points de terminaison requis par l'AFT ne sont pas disponibles dans la région du Moyen-Orient (Bahreïn). Les clients qui déploient AFT dans cette région doivent effectuer le déploiement avec paramètreaft_vpc_endpoints=false. Pour plus d'informations, consultez le paramètre dans le fichier README.

AWS Control Tower VPCs dispose de deux zones de disponibilité dans la région de l'ouest des États-Unis (Californie du Nord)us-west-1, en raison d'une limitation sur Amazon EC2. Dans l'ouest des États-Unis (Californie du Nord), six sous-réseaux sont répartis sur deux zones de disponibilité. Pour de plus amples informations, veuillez consulter Vue d'ensemble de AWS Control Tower et VPCs.

AWS Control Tower a ajouté de nouvelles autorisations AWSControlTowerServiceRolePolicy qui permettent à AWS Control Tower de passer des appels vers le service de gestion des comptes EnableRegionListRegions, et les a GetRegionOptStatus APIs mises en œuvre par le service de gestion des AWS comptes, afin de les mettre à Régions AWS disposition pour vos comptes partagés dans la zone de landing zone (compte de gestion, compte d'archive des journaux, compte d'audit) et pour vos comptes de membres de l'unité d'organisation. Pour de plus amples informations, veuillez consulter Politiques gérées pour AWS Control Tower.

Suivi des demandes de personnalisation du compte Account Factory for Terraform (AFT)

16 février 2023

AFT prend en charge le suivi des demandes de personnalisation des comptes. Chaque fois que vous soumettez une demande de personnalisation de compte, AFT génère un jeton de suivi unique qui passe par une machine d' AWS Step Functions état de personnalisation AFT, qui enregistre le jeton dans le cadre de son exécution. Vous pouvez utiliser les requêtes Amazon CloudWatch Logs Insights pour rechercher des plages d'horodatage et récupérer le jeton de demande. Par conséquent, vous pouvez voir les charges utiles qui accompagnent le jeton, ce qui vous permet de suivre la demande de personnalisation de votre compte tout au long du flux de travail AFT. Pour plus d'informations sur l'AFT, consultez la section Présentation d'AWS Control Tower Account Factory pour Terraform. Pour plus d'informations sur CloudWatch les journaux et les Step Functions, consultez les rubriques suivantes :

Zone de landing zone d'AWS Control Tower, version 3.1

9 février 2023

(Mise à jour requise pour la zone de landing zone d'AWS Control Tower vers la version 3.1. Pour plus d'informations, voirMettez à jour votre zone de landing zone)

La version 3.1 de la zone de landing zone d'AWS Control Tower inclut les mises à jour suivantes :

  • Avec cette version, AWS Control Tower désactive la journalisation des accès inutile pour votre compartiment de journalisation des accès, qui est le compartiment Amazon S3 dans lequel les journaux d'accès sont stockés dans le compte Log Archive, tout en continuant à activer la journalisation des accès au serveur pour les compartiments S3. Cette version inclut également des mises à jour du contrôle Region Deny qui autorisent des actions supplémentaires pour les services mondiaux, tels que Support Plans et AWS Artifact.

  • La désactivation de la journalisation des accès au serveur pour le compartiment de journalisation des accès d'AWS Control Tower oblige Security Hub à créer une recherche pour le compartiment de journalisation des accès du compte Log Archive. En raison d'une AWS Security Hub règle, la journalisation des accès au serveur du compartiment S3 doit être activée [S3.9]. Conformément à Security Hub, nous vous recommandons de supprimer cette constatation particulière, comme indiqué dans la description de cette règle dans le Security Hub. Pour plus d'informations, consultez les informations sur les résultats supprimés.

  • La journalisation des accès pour le bucket de journalisation (normal) du compte Log Archive est inchangée dans la version 3.1. Conformément aux meilleures pratiques, les événements d'accès pour ce compartiment sont enregistrés sous forme d'entrées de journal dans le compartiment de journalisation des accès. Pour plus d'informations sur la journalisation des accès, consultez la section Journalisation des demandes à l'aide de la journalisation des accès au serveur dans la documentation Amazon S3.

  • Nous avons mis à jour le contrôle Region Deny. Cette mise à jour autorise les actions d'un plus grand nombre de services mondiaux. Pour plus de détails sur ce SCP, voir Refuser l'accès en AWS fonction de la demande Région AWS et Contrôles qui améliorent la protection de résidence des données.

    Services globaux ajoutés :

    • AWS Account Management (account:*)

    • AWS Activer (activate:*)

    • AWS Artifact (artifact:*)

    • AWS Billing Conductor (billingconductor:*)

    • AWS Compute Optimizer (compute-optimizer:*)

    • AWS Data Pipeline (datapipeline:GetAccountLimits)

    • AWS Device Farm(devicefarm:*)

    • AWS Marketplace (discovery-marketplace:*)

    • Amazon ECR () ecr-public:*

    • AWS License Manager (license-manager:ListReceivedLicenses)

    • AWS Lightsail () lightsail:Get*

    • Explorateur de ressources AWS (resource-explorer-2:*)

    • Amazon S3 (s3:CreateMultiRegionAccessPoint,s3:GetBucketPolicyStatus,s3:PutMultiRegionAccessPointPolicy)

    • AWS Savings Plans (savingsplans:*)

    • Centre d'identité IAM () sso:*

    • AWS Support App (supportapp:*)

    • Support Plans (supportplans:*)

    • AWS Durabilité (sustainability:*)

    • AWS Resource Groups Tagging API (tag:GetResources)

    • AWS Marketplace Informations sur les fournisseurs (vendor-insights:ListEntitledSecurityProfiles)

Contrôles proactifs généralement disponibles

24 janvier 2023

(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)

Les contrôles proactifs optionnels, précédemment annoncés en version préliminaire, sont désormais généralement disponibles. Ces contrôles sont qualifiés de proactifs car ils vérifient vos ressources, avant qu'elles ne soient déployées, afin de déterminer si les nouvelles ressources sont conformes aux contrôles activés dans votre environnement. Pour de plus amples informations, veuillez consulter Des contrôles complets facilitent le provisionnement et la gestion des AWS ressources.