janvier - décembre 2023 - AWS Control Tower
Transition vers le nouveau AWS Service Catalog Type de produit externe (phase 3)AWSZone d'atterrissage de la Control Tower, version 3.3Transition vers le nouveau AWS Service Catalog Type de produit externe (phase 2)AWSControl Tower annonce des contrôles pour favoriser la souveraineté numériqueAWSControl Tower soutient la zone d'atterrissage APIsAWSControl Tower prend en charge le balisage pour les commandes activéesAWSControl Tower disponible dans la région Asie-Pacifique (Melbourne)Transition vers le nouveau AWS Service Catalog Type de produit externe (phase 1)Nouveau contrôle API disponibleAWSControl Tower ajoute des commandes supplémentairesNouveau type de dérive signalé : accès sécurisé désactivéQuatre supplémentaires Régions AWSAWSControl Tower disponible dans la région de Tel AvivAWSControl Tower lance 28 nouveaux contrôles proactifsAWSControl Tower déconseille deux commandesAWSZone d'atterrissage de la Control Tower, version 3.2AWSControl Tower gère les comptes en fonction de leur identifiantContrôles de détection supplémentaires du Security Hub disponibles dans la bibliothèque de contrôles AWS Control TowerAWSControl Tower publie des tables de métadonnées de contrôleSupport de Terraform pour la personnalisation d'Account FactoryAWS IAML'autogestion du centre d'identité est disponible pour la zone de landing zoneAWSControl Tower résout le problème de la gouvernance mixte pour OUsContrôles proactifs supplémentaires disponiblesContrôles EC2 proactifs Amazon mis à jourSept supplémentaires Régions AWS available Account Factory for Terraform (AFT) : suivi des demandes de personnalisation du compte AWSZone d'atterrissage de la Control Tower, version 3.1Contrôles proactifs généralement disponibles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

janvier - décembre 2023

En 2023, AWS Control Tower a publié les mises à jour suivantes :

Transition vers le nouveau AWS Service Catalog Type de produit externe (phase 3)

14 décembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower ne prend plus en charge Terraform Open Source en tant que type de produit (plan) lors de la création de nouveaux Comptes AWS. Pour plus d'informations et pour obtenir des instructions sur la mise à jour des plans de votre compte, consultez la section Transition vers le AWS Service Catalog Type de produit externe.

Si vous ne mettez pas à jour les plans de votre compte pour utiliser le type de produit externe, vous ne pouvez mettre à jour ou résilier que les comptes que vous avez provisionnés à l'aide des plans Open Source de Terraform.

AWSZone d'atterrissage de la Control Tower, version 3.3

14 décembre 2023

(Mise à jour requise pour la zone d'atterrissage de AWS Control Tower vers la version 3.3. Pour plus d'informations, voirMettez à jour votre zone de landing zone).

Mises à jour de la politique relative aux compartiments S3 dans le compte AWS Control Tower Audit

Nous avons modifié la politique du bucket Amazon S3 Audit que AWS Control Tower déploie dans les comptes, de sorte qu'une aws:SourceOrgID condition doit être remplie pour toute autorisation d'écriture. Avec cette version, AWS les services ont accès à vos ressources uniquement lorsque la demande provient de votre organisation ou unité organisationnelle (UO).

Vous pouvez utiliser la clé de aws:SourceOrgID condition et définir la valeur en fonction de l'ID de votre organisation dans l'élément condition de votre politique de compartiment S3. Cette condition garantit que CloudTrail seuls les comptes de votre organisation peuvent écrire des journaux dans votre compartiment S3 ; elle empêche les CloudTrail journaux extérieurs à votre organisation d'écrire dans votre compartiment AWS Control Tower S3.

Nous avons apporté cette modification pour corriger une faille de sécurité potentielle, sans affecter le fonctionnement de vos charges de travail existantes. Pour consulter la politique mise à jour, voirPolitique relative au compartiment Amazon S3 dans le compte d'audit.

Pour plus d'informations sur la nouvelle clé de condition, consultez la IAM documentation et le billet de IAM blog intitulé «  Utiliser des contrôles évolutifs pour AWS services accédant à vos ressources. »

Mises à jour de la politique figurant dans le AWS Config SNSsujet

Nous avons ajouté la nouvelle clé de aws:SourceOrgID condition à la politique pour AWS Config SNSSUJET. Pour consulter la politique mise à jour, consultez le AWS Config SNSpolitique thématique.

Mises à jour de la zone d'atterrissage : Region Deny control

  • Supprimédiscovery-marketplace:. Cette action est couverte par l'aws-marketplace:*exemption.

  • Ajout de quicksight:DescribeAccountSubscription.

Mis à jour AWS CloudFormation modèle

Nous avons mis à jour le AWS CloudFormation modèle pour la pile nommée de BASELINE-CLOUDTRAIL-MASTER telle sorte qu'elle ne montre pas de dérive lorsque AWS KMS le chiffrement n'est pas utilisé.

Transition vers le nouveau AWS Service Catalog Type de produit externe (phase 2)

7 décembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

HashiCorp a mis à jour leur licence Terraform. En conséquence, AWS Service Catalog a modifié le support pour les produits Open Source Terraform et a approvisionné les produits vers un nouveau type de produit, appelé External.

Pour éviter de perturber les charges de travail existantes et AWS ressources de vos comptes, suivez les étapes de transition de AWS Control Tower dans Transition vers le AWS Service Catalog Type de produit externe d'ici le 14 décembre 2023.

AWSControl Tower annonce des contrôles pour favoriser la souveraineté numérique

27 novembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower annonce 65 nouveaux AWS-des contrôles gérés, pour vous aider à répondre à vos exigences de souveraineté numérique. Dans cette version, vous pouvez découvrir ces contrôles dans le cadre d'un nouveau groupe de souveraineté numérique dans la console AWS Control Tower. Vous pouvez utiliser ces contrôles pour empêcher les actions et détecter les modifications des ressources concernant la résidence des données, la restriction d'accès granulaire, le chiffrement et les capacités de résilience. Ces contrôles sont conçus pour vous permettre de répondre plus facilement aux exigences à grande échelle. Pour plus d'informations sur les contrôles de souveraineté numérique, voir Contrôles qui améliorent la protection de la souveraineté numérique.

Par exemple, vous pouvez choisir d'activer des contrôles qui aident à appliquer vos stratégies de chiffrement et de résilience, telles que Exiger un AWS AppSync APIcache pour activer le chiffrement en transit ou exiger un AWS Network Firewall à déployer dans plusieurs zones de disponibilité. Vous pouvez également personnaliser le AWS contrôle des refus de la Control Tower Region afin d'appliquer les restrictions régionales les mieux adaptées aux besoins spécifiques de votre entreprise.

Cette version apporte des fonctionnalités de refus bien améliorées dans la région de AWS Control Tower. Vous pouvez appliquer un nouveau contrôle de refus de région paramétré au niveau de l'unité organisationnelle, pour une meilleure granularité de la gouvernance, tout en maintenant une gouvernance régionale supplémentaire au niveau de la zone d'atterrissage. Ce contrôle de refus par région personnalisable vous permet d'appliquer les restrictions régionales les mieux adaptées aux besoins spécifiques de votre entreprise. Pour plus d'informations sur le nouveau contrôle de refus de région configurable, voir Contrôle de refus de région appliqué à l'unité d'organisation.

En tant que nouvel outil de la nouvelle amélioration du refus des régions, cette version inclut un nouveau APIUpdateEnabledControl, qui vous permet de rétablir les paramètres par défaut de vos commandes activées. Cela API est particulièrement utile dans les cas d'utilisation où vous devez résoudre rapidement la dérive ou pour garantir par programmation qu'un contrôle n'est pas en état de dérive. Pour plus d'informations sur la nouvelle versionAPI, consultez le AWS Control Tower API Reference

Nouveaux contrôles proactifs

  • CT.APIGATEWAY.PR.6: Exiger qu'un REST domaine Amazon API Gateway utilise une politique de sécurité qui spécifie une version de TLS protocole minimale de TLSv1 2.

  • CT.APPSYNC.PR.2: Nécessite un AWS AppSync GraphQL API à configurer avec une visibilité privée

  • CT.APPSYNC.PR.3: Exiger qu'un AWS AppSync GraphQL n'APIest pas authentifié avec des clés API

  • CT.APPSYNC.PR.4: Nécessite un AWS AppSync APICache GraphQL pour activer le chiffrement en transit.

  • CT.APPSYNC.PR.5: Nécessite un AWS AppSync APICache GraphQL pour activer le chiffrement au repos.

  • CT.AUTOSCALING.PR.9: Exiger un EBS volume Amazon configuré via une configuration de lancement Amazon EC2 Auto Scaling pour chiffrer les données au repos

  • CT.AUTOSCALING.PR.10: Exiger qu'un groupe Amazon EC2 Auto Scaling soit utilisé uniquement AWS Types d'instances Nitro lors du remplacement d'un modèle de lancement

  • CT.AUTOSCALING.PR.11: Nécessite uniquement AWS Types d'instances Nitro qui prennent en charge le chiffrement du trafic réseau entre les instances à ajouter à un groupe Amazon EC2 Auto Scaling, lors du remplacement d'un modèle de lancement

  • CT.DAX.PR.3: Exiger un cluster DynamoDB Accelerator pour chiffrer les données en transit avec Transport Layer Security () TLS

  • CT.DMS.PR.2: Nécessite un AWS Database Migration Service (DMS) Endpoint pour chiffrer les connexions pour les points de terminaison source et cible

  • CT.EC2.PR.15: Exiger qu'une EC2 instance Amazon utilise un AWS Type d'instance Nitro lors de la création à partir du type de AWS::EC2::LaunchTemplate ressource

  • CT.EC2.PR.16: Exiger qu'une EC2 instance Amazon utilise un AWS Type d'instance Nitro lorsqu'elle est créée à l'aide du type de AWS::EC2::Instance ressource

  • CT.EC2.PR.17: Exiger qu'un hôte EC2 dédié Amazon utilise un type d'instance AWS Nitro

  • CT.EC2.PR.18: Exiger qu'une EC2 flotte Amazon remplace uniquement les modèles de lancement par AWS Types d'instances Nitro

  • CT.EC2.PR.19: Exiger qu'une EC2 instance Amazon utilise un type d'instance Nitro qui prend en charge le chiffrement en transit entre les instances lorsqu'elles sont créées à l'aide du AWS::EC2::Instance type de ressource

  • CT.EC2.PR.20: Exiger qu'une EC2 flotte Amazon remplace uniquement les modèles de lancement par AWS Types d'instances Nitro qui prennent en charge le chiffrement lors du transit entre les instances

  • CT.ELASTICACHE.PR.8: Exiger l'activation de l'RBACauthentification auprès d'un groupe de ElastiCache réplication Amazon des versions ultérieures de Redis

  • CT.MQ.PR.1: Exiger qu'un courtier Amazon MQ ActiveMQ utilise le mode de déploiement actif/en veille pour une haute disponibilité

  • CT.MQ.PR.2: Exiger qu'un courtier Amazon MQ Rabbit MQ utilise le mode cluster multi-AZ pour une haute disponibilité

  • CT.MSK.PR.1: Exiger un cluster Amazon Managed Streaming for Apache Kafka (MSK) pour appliquer le chiffrement lors du transit entre les nœuds du cluster broker

  • CT.MSK.PR.2: Exiger qu'un cluster Amazon Managed Streaming for Apache Kafka (MSK) soit configuré avec la désactivation PublicAccess

  • CT.NETWORK-FIREWALL.PR.5: Nécessite un AWS Le pare-feu Network Firewall sera déployé dans plusieurs zones de disponibilité

  • CT.RDS.PR.26: nécessite un proxy Amazon RDS DB pour exiger des connexions Transport Layer Security (TLS)

  • CT.RDS.PR.27: Exiger un groupe de paramètres de cluster Amazon RDS DB pour exiger des connexions Transport Layer Security (TLS) pour les types de moteurs pris en charge

  • CT.RDS.PR.28: Exiger un groupe de paramètres Amazon RDS DB pour exiger des connexions Transport Layer Security (TLS) pour les types de moteurs pris en charge

  • CT.RDS.PR.29: Exiger qu'un RDS cluster Amazon ne soit pas configuré pour être accessible au public au moyen de la propriété PubliclyAccessible « »

  • CT.RDS.PR.30: Exiger que le chiffrement au repos d'une instance de RDS base de données Amazon soit configuré pour utiliser une KMS clé que vous spécifiez pour les types de moteurs pris en charge

  • CT.S3.PR.12: Exiger qu'un point d'accès Amazon S3 ait une configuration Block Public Access (BPA) avec toutes les options définies sur true

Nouveaux contrôles préventifs

  • CT.APPSYNC.PV.1 Exiger qu'un AWS AppSync GraphQL API est configuré avec une visibilité privée

  • CT.EC2.PV.1 Exiger la création d'un EBS instantané Amazon à partir d'un EC2 volume chiffré

  • CT.EC2.PV.2 Exiger qu'un EBS volume Amazon attaché soit configuré pour chiffrer les données au repos

  • CT.EC2.PV.3 Exiger qu'un EBS instantané Amazon ne puisse pas être restauré publiquement

  • CT.EC2.PV.4 Exiger qu'Amazon EBS Direct APIs ne soit pas appelé

  • CT.EC2.PV.5 Interdire l'utilisation de l'importation et de l'exportation de EC2 machines virtuelles Amazon

  • CT.EC2.PV.6 Interdire l'utilisation d'Amazon EC2 RequestSpotFleet et d'actions obsolètes RequestSpotInstances API

  • CT.KMS.PV.1 Exiger un AWS KMS politique clé consistant à avoir une déclaration limitant la création de AWS KMS subventions à AWS services

  • CT.KMS.PV.2 Exiger qu'un AWS KMS une clé asymétrique dont le matériau de RSA clé est utilisé pour le chiffrement n'a pas une longueur de clé de 2048 bits

  • CT.KMS.PV.3 Exiger qu'un AWS KMS la clé est configurée avec le contrôle de sécurité du verrouillage de la politique de contournement activé

  • CT.KMS.PV.4 Exiger qu'un AWS KMS la clé gérée par le client (CMK) est configurée avec du matériel clé provenant de AWS Nuage HSM

  • CT.KMS.PV.5 Exiger qu'un AWS KMS la clé gérée par le client (CMK) est configurée avec du matériel clé importé

  • CT.KMS.PV.6 Exiger qu'un AWS KMS la clé gérée par le client (CMK) est configurée avec du matériel clé provenant d'un magasin de clés externe () XKS

  • CT.LAMBDA.PV.1 Exiger un AWS Lambda fonction URL à utiliser AWS IAMauthentification basée

  • CT.LAMBDA.PV.2 Exiger un AWS Lambda fonction URL à configurer pour un accès réservé aux principaux au sein de votre Compte AWS

  • CT. MULTISERVICE.PV.1 : Refuser l'accès à AWS sur la base de la demande Région AWS pour une unité organisationnelle

Les nouvelles commandes détectives qui améliorent votre posture de gouvernance en matière de souveraineté numérique font partie du AWS Security Hub AWSControl Tower standard avec gestion des services.

Nouvelles commandes de détection

  • SH.ACM.2: RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

  • SH.AppSync.5: AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API

  • SH.CloudTrail.6: Assurez-vous que le compartiment S3 utilisé pour stocker CloudTrail les journaux n'est pas accessible au public :

  • SH.DMS.9: les DMS points de terminaison doivent utiliser SSL

  • SH.DocumentDB.3: Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

  • SH.DynamoDB.3: les clusters DynamoDB Accelerator DAX () doivent être chiffrés au repos

  • SH.EC2.23: Les passerelles de EC2 transit ne doivent pas accepter automatiquement les demandes de VPC pièces jointes

  • SH.EKS.1: les points de terminaison du EKS cluster ne doivent pas être accessibles au public

  • SH.ElastiCache.3: le basculement automatique doit être activé pour les groupes de ElastiCache réplication

  • SH.ElastiCache.4: les groupes de ElastiCache réplication auraient dû être encryption-at-rest activés

  • SH.ElastiCache.5: les groupes de ElastiCache réplication auraient dû être encryption-in-transit activés

  • SH.ElastiCache.6: Redis doit être activé pour les groupes de ElastiCache réplication des versions antérieures de Redis AUTH

  • SH.EventBridge.3: les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

  • SH.KMS.4: AWS KMS la rotation des touches doit être activée

  • SH.Lambda.3: Les fonctions Lambda doivent se trouver dans un VPC

  • SH.MQ.5: les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille

  • SH.MQ.6: Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster

  • SH.MSK.1: MSK les clusters doivent être chiffrés lors du transit entre les nœuds du broker

  • SH.RDS.12: IAM l'authentification doit être configurée pour les RDS clusters

  • SH.RDS.15: les RDS clusters de base de données doivent être configurés pour plusieurs zones de disponibilité

  • SH.S3.17: Les compartiments S3 doivent être chiffrés au repos avec AWS KMS clés

Pour plus d'informations sur les commandes ajoutées au AWS Security Hub Service-Managed Standard AWS Control Tower, voir Contrôles qui s'appliquent à Service-Managed Standard : Control Tower in the AWS AWS Security Hub .

Pour une liste des Régions AWS qui ne prennent pas en charge certains contrôles faisant partie du AWS Security Hub Service-Managed Standard AWS Control Tower, voir Régions non prises en charge.

Nouveau contrôle configurable pour le refus de région au niveau de l'UO

CT. MULTISERVICE.PV.1 : Ce contrôle accepte des paramètres pour spécifier les régions, les IAM principes et les actions exemptés qui sont autorisés, au niveau de l'unité d'organisation, plutôt que pour l'ensemble de la zone d'AWSatterrissage de la Control Tower. Il s'agit d'un contrôle préventif, mis en œuvre par la politique de contrôle des services (SCP).

Pour plus d'informations, consultez la section Contrôle de refus de région appliqué à l'unité d'organisation.

Le UpdateEnabledControl API

Cette version AWS de Control Tower ajoute la prise en API charge suivante pour les commandes :

  • La mise à jour EnableControl API permet de configurer des contrôles configurables.

  • La mise à jour GetEnabledControl API affiche les paramètres configurés sur un contrôle activé.

  • Le nouveau UpdateEnabledControl API peut modifier les paramètres d'un contrôle activé.

Pour plus d'informations, consultez le AWS Control Tower APIReference.

AWSControl Tower soutient la zone d'atterrissage APIs

26 novembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower prend désormais en charge la configuration de la zone d'atterrissage et le lancement à l'aide deAPIs. Vous pouvez créer, mettre à jour, obtenir, répertorier, réinitialiser et supprimer des zones d'atterrissage à l'aide deAPIs.

Les instructions suivantes vous APIs permettent de configurer et de gérer votre zone d'atterrissage par programme à l'aide de AWS CloudFormation ou le AWS CLI.

AWSControl Tower prend en charge les éléments suivants APIs pour les zones d'atterrissage :

  • CreateLandingZone—Cet API appel crée une zone d'atterrissage à l'aide d'une version de zone d'atterrissage et d'un fichier manifeste.

  • GetLandingZoneOperation—Cet API appel renvoie l'état d'une opération de zone d'atterrissage spécifiée.

  • GetLandingZone—Cet API appel renvoie des informations sur la zone d'atterrissage spécifiée, notamment la version, le fichier manifeste et le statut.

  • UpdateLandingZone—Cet API appel met à jour la version ou le fichier manifeste de la zone d'atterrissage.

  • ListLandingZone—Cet API appel renvoie un identifiant de zone d'atterrissage (ARN) pour une configuration de zone d'atterrissage dans le compte de gestion.

  • ResetLandingZone—Cet API appel rétablit la zone d'atterrissage aux paramètres spécifiés lors de la dernière mise à jour, ce qui permet de réparer la dérive. Si la zone d'atterrissage n'a pas été mise à jour, cet appel rétablit les paramètres spécifiés lors de la création de la zone d'atterrissage.

  • DeleteLandingZone—Cet API appel met hors service la zone d'atterrissage.

Pour commencer à utiliser la zone d'atterrissageAPIs, consultez leCommencez à utiliser AWS Control Tower en utilisant APIs.

AWSControl Tower prend en charge le balisage pour les commandes activées

10 novembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower prend désormais en charge le balisage des ressources pour les commandes activées, depuis la console AWS Control Tower ou au moyen deAPIs. Vous pouvez ajouter, supprimer ou répertorier des balises pour les contrôles activés.

Avec la sortie de ce qui suitAPIs, vous pouvez configurer des balises pour les commandes que vous activez dans AWS Control Tower. Les balises vous aident à gérer, identifier, organiser, rechercher et filtrer les ressources. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères.

AWSControl Tower prend en charge les éléments suivants APIs pour le balisage des commandes :

  • TagResource—Cet API appel ajoute des balises aux commandes activées dans AWS Control Tower.

  • UntagResource—Cet API appel supprime les tags des commandes activées dans AWS Control Tower.

  • ListTagsForResource—Cet API appel renvoie des balises pour les commandes activées dans AWS Control Tower.

AWSLes commandes Control Tower APIs sont disponibles en Régions AWS où AWS Control Tower est disponible. Pour une liste complète des Régions AWS dans lequel AWS Control Tower est disponible, consultez le AWS Tableau des régions. Pour une liste complète des AWS Control TowerAPIs, consultez la APIréférence.

AWSControl Tower disponible dans la région Asie-Pacifique (Melbourne)

3 novembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower est disponible dans la région Asie-Pacifique (Melbourne).

Si vous utilisez déjà AWS Control Tower et que vous souhaitez étendre ses fonctionnalités de gouvernance à cette région dans vos comptes, rendez-vous sur la page Paramètres de votre tableau de bord AWS Control Tower, sélectionnez la région, puis mettez à jour votre zone de landing zone. Après une mise à jour de la zone d'atterrissage, vous devez mettre à jour tous les comptes régis par AWS Control Tower, afin de les OUs placer sous gouvernance dans la nouvelle région. Pour plus d'informations, voir À propos des mises à jour.

Pour une liste complète des régions dans lesquelles AWS Control Tower est disponible, consultez le Région AWS Tableau.

Transition vers le nouveau AWS Service Catalog Type de produit externe (phase 1)

31 octobre 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

HashiCorp a mis à jour leur licence Terraform. En conséquence, AWS Service Catalog support mis à jour pour les produits Open Source Terraform et produits fournis à un nouveau type de produit, appelé External.

AWSControl Tower ne prend pas en charge les personnalisations d'Account Factory qui reposent sur AWS Service Catalog Type de produit externe. Pour éviter de perturber les charges de travail existantes et AWS ressources dans vos comptes, suivez les étapes de transition de AWS Control Tower dans cet ordre suggéré, d'ici le 14 décembre 2023 :

  1. Mettez à niveau votre moteur de référence Terraform existant pour AWS Service Catalog pour inclure la prise en charge des types de produits externes et open source Terraform. Pour obtenir des instructions sur la mise à jour de votre moteur de référence Terraform, consultez le AWS Service Catalog GitHub Référentiel.

  2. Accéder à AWS Service Catalog et dupliquez tous les plans Open Source Terraform existants pour utiliser le nouveau type de produit externe. Ne mettez pas fin aux plans Open Source Terraform existants.

  3. Continuez à utiliser vos plans Open Source Terraform existants pour créer ou mettre à jour des comptes dans Control TowerAWS.

Nouveau contrôle API disponible

14 octobre 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower prend désormais en charge un API module supplémentaire que vous pouvez utiliser pour déployer et gérer vos commandes AWS Control Tower, à grande échelle. Pour plus d'informations sur le AWS contrôle de la Control TowerAPIs, consultez la APIréférence.

AWSControl Tower a ajouté un nouveau contrôleAPI.

  • GetEnabledControlAPI—L'appel fournit des informations sur un contrôle activé.

Nous avons également mis à jour ceci API :

ListEnabledControls—Cet API appel répertorie les contrôles activés par AWS Control Tower sur l'unité organisationnelle spécifiée et les comptes qu'elle contient. Il renvoie désormais des informations supplémentaires dans un EnabledControlSummary objet.

Grâce à ceux-ciAPIs, vous pouvez effectuer plusieurs opérations courantes par programmation. Par exemple :

  • Consultez la liste de toutes les commandes que vous avez activées dans la bibliothèque de commandes de AWS Control Tower.

  • Pour tout contrôle activé, vous pouvez obtenir des informations sur les régions dans lesquelles le contrôle est pris en charge, l'identifiant du contrôle (ARN), l'état de dérive du contrôle et le résumé de l'état du contrôle.

AWSLes commandes Control Tower APIs sont disponibles en Régions AWS où AWS Control Tower est disponible. Pour une liste complète des Régions AWS dans lequel AWS Control Tower est disponible, consultez le AWS Tableau des régions. Pour une liste complète des AWS Control TowerAPIs, consultez la APIréférence.

AWSControl Tower ajoute des commandes supplémentaires

5 octobre 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower annonce de nouvelles commandes proactives et détectives.

Les contrôles proactifs dans AWS Control Tower sont mis en œuvre au moyen de AWS CloudFormation Hooks, qui identifient et bloquent les ressources non conformes avant AWS CloudFormation les approvisionne. Les contrôles proactifs complètent les capacités de contrôle préventif et de détection existantes de AWS Control Tower.

Nouveaux contrôles proactifs

  • [CT.ATHENA.PR.1] Exiger qu'un groupe de travail Amazon Athena chiffre les résultats des requêtes Athena au repos

  • [CT.ATHENA.PR.2] Demander à un groupe de travail Amazon Athena de chiffrer les résultats des requêtes Athena au repos avec un AWS Key Management Service (KMS) clé

  • [CT.CLOUDTRAIL.PR.4] Exiger un AWS CloudTrail Lake Event Data Store pour permettre le chiffrement au repos à l'aide d'un AWS KMS clé

  • [CT.DAX.PR.2] Exiger qu'un DAX cluster Amazon déploie des nœuds dans au moins trois zones de disponibilité

  • [CT.EC2.PR.14] Exiger un EBS volume Amazon configuré via un modèle de EC2 lancement Amazon pour chiffrer les données au repos

  • [CT.EKS.PR.2] Exiger qu'un EKS cluster Amazon soit configuré avec un chiffrement secret à l'aide de AWS Clés du service de gestion des clés (KMS)

  • [CT.ELASTICLOADBALANCING.PR.14] Exiger un Network Load Balancer pour activer l'équilibrage de charge entre zones

  • [CT.ELASTICLOADBALANCING.PR.15] Exiger qu'un groupe cible Elastic Load Balancing v2 ne désactive pas explicitement l'équilibrage de charge entre zones

  • [CT.EMR.PR.1] Exiger qu'une configuration de sécurité Amazon EMR (EMR) soit configurée pour chiffrer les données au repos dans Amazon S3

  • [CT.EMR.PR.2] Exiger qu'une configuration de sécurité Amazon EMR (EMR) soit configurée pour crypter les données au repos dans Amazon S3 avec un AWS KMS clé

  • [CT.EMR.PR.3] Exiger qu'une configuration de sécurité Amazon EMR (EMR) soit configurée avec le chiffrement du disque local en EBS volume à l'aide d'un AWS KMS clé

  • [CT.EMR.PR.4] Exiger qu'une configuration de sécurité Amazon EMR (EMR) soit configurée pour crypter les données en transit

  • [CT.GLUE.PR.1] Exiger un AWS Job Glue pour avoir une configuration de sécurité associée

  • [CT.GLUE.PR.2] Exiger un AWS Configuration de sécurité Glue pour chiffrer les données dans les cibles Amazon S3 à l'aide de AWS KMSclés

  • [CT.KMS.PR.2] Exigez qu'un AWS KMS une clé asymétrique dont le matériau de RSA clé est utilisé pour le chiffrement a une longueur de clé supérieure à 2048 bits

  • [CT.KMS.PR.3] Exiger un AWS KMS politique clé consistant à avoir une déclaration limitant la création de AWS KMS subventions à AWS services

  • [CT.LAMBDA.PR.4] Exiger un AWS Lambda autorisation de couche pour accorder l'accès à un AWS organisation ou spécifique AWS compte

  • [CT.LAMBDA.PR.5] Exiger un AWS Lambda fonction URL à utiliser AWS IAMauthentification basée

  • [CT.LAMBDA.PR.6] Exiger un AWS Lambda URLCORSpolitique fonctionnelle pour restreindre l'accès à des origines spécifiques

  • [CT.NEPTUNE.PR.4] Exiger un cluster de base de données Amazon Neptune pour activer l'exportation des CloudWatch journaux d'audit par Amazon

  • [CT.NEPTUNE.PR.5] Exiger qu'un cluster de base de données Amazon Neptune définisse une période de conservation des sauvegardes supérieure ou égale à sept jours

  • [CT.REDSHIFT.PR.9] Exiger qu'un groupe de paramètres de cluster Amazon Redshift soit configuré pour utiliser le protocole Secure Sockets Layer (SSL) pour le chiffrement des données en transit

Ces nouveaux contrôles proactifs sont disponibles dans le commerce Régions AWS où AWS Control Tower est disponible. Pour plus de détails sur ces contrôles, voir Contrôles proactifs. Pour plus de détails sur les endroits où les commandes sont disponibles, consultez la section Limitations des commandes.

Nouvelles commandes de détection

De nouveaux contrôles ont été ajoutés au Security Hub Service-Managed Standard : AWS Control Tower. Ces contrôles vous aident à améliorer votre posture de gouvernance. Ils font partie du Security Hub Service-Managed Standard : AWS Control Tower, une fois que vous les avez activés sur une unité d'organisation spécifique.

  • [SH.Athena.1] Les groupes de travail Athena doivent être chiffrés au repos

  • [SH.Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

  • [SH.Neptune.2] Les clusters de base de données Neptune doivent publier les journaux d'audit dans Logs CloudWatch

  • [SH.Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

  • [SH.Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

  • [SH.Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

  • [SH.Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

  • [SH.Neptune.7] L'authentification de base de données des clusters Neptune doit être IAM activée

  • [SH.Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

  • [SH.RDS.27] Les RDS clusters de base de données doivent être chiffrés au repos

Le nouveau AWS Security Hub les commandes de détection sont disponibles dans la plupart des Régions AWS où AWS Control Tower est disponible. Pour plus de détails sur ces contrôles, consultez Contrôles applicables à Service-Managed Standard : AWS Control Tower. Pour plus de détails sur les endroits où les commandes sont disponibles, consultezLimites de contrôle.

Nouveau type de dérive signalé : accès sécurisé désactivé

21 septembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

Après avoir configuré la zone d'atterrissage de votre AWS Control Tower, vous pouvez désactiver l'accès sécurisé à AWS Control Tower dans AWS Organizations. Cependant, cela entraîne une dérive.

Avec le type de dérive à accès sécurisé désactivé, AWS Control Tower vous avertit lorsque ce type de dérive se produit, afin que vous puissiez réparer la zone d'atterrissage AWS de votre Control Tower. Pour plus d'informations, consultez la section Types de dérive de la gouvernance.

Quatre supplémentaires Régions AWS

13 septembre 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower est désormais disponible en Asie-Pacifique (Hyderabad), en Europe (Espagne et Zurich) et au Moyen-Orient (UAE).

Si vous utilisez déjà AWS Control Tower et que vous souhaitez étendre ses fonctionnalités de gouvernance à cette région dans vos comptes, rendez-vous sur la page Paramètres de votre tableau de bord AWS Control Tower, sélectionnez la région, puis mettez à jour votre zone de landing zone. Après une mise à jour de la zone d'atterrissage, vous devez mettre à jour tous les comptes régis par AWS Control Tower, afin de les OUs placer sous gouvernance dans la nouvelle région. Pour plus d'informations, voir À propos des mises à jour.

Pour une liste complète des régions dans lesquelles AWS Control Tower est disponible, consultez le Région AWS Tableau.

AWSControl Tower disponible dans la région de Tel Aviv

28 août 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower annonce sa disponibilité dans la région d'Israël (Tel Aviv).

Si vous utilisez déjà AWS Control Tower et que vous souhaitez étendre ses fonctionnalités de gouvernance à cette région dans vos comptes, rendez-vous sur la page Paramètres de votre tableau de bord AWS Control Tower, sélectionnez la région, puis mettez à jour votre zone de landing zone. Après une mise à jour de la zone d'atterrissage, vous devez mettre à jour tous les comptes régis par AWS Control Tower, afin de les OUs placer sous gouvernance dans la nouvelle région. Pour plus d'informations, voir À propos des mises à jour.

Pour une liste complète des régions dans lesquelles AWS Control Tower est disponible, consultez le Région AWS Tableau.

AWSControl Tower lance 28 nouveaux contrôles proactifs

24 juillet 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower ajoute 28 nouveaux contrôles proactifs pour vous aider à gérer votre AWS environnement.

Les contrôles proactifs améliorent les capacités de gouvernance de AWS Control Tower sur l'ensemble de vos comptes multiples AWS environnements, en bloquant les ressources non conformes avant qu'elles ne soient provisionnées. Ces contrôles aident à gérer AWS des services tels qu'Amazon CloudWatch, Amazon Neptune, Amazon, ElastiCache AWS Step Functions, et Amazon DocumentDB. Les nouvelles commandes vous aident à atteindre des objectifs de contrôle tels que l'établissement de la journalisation et de la surveillance, le chiffrement des données au repos ou l'amélioration de la résilience.

Voici la liste complète des nouvelles commandes :

  • [CT. APPSYNC.PR.1] Nécessite un AWS AppSync GraphQL va activer API la journalisation

  • [CT. CLOUDWATCH.PR.1] Exiger qu'une action d'une CloudWatch alarme Amazon soit configurée pour l'état de l'alarme

  • [CT. CLOUDWATCH.PR.2] Exiger qu'un groupe de CloudWatch journaux Amazon soit conservé pendant au moins un an

  • [CT. CLOUDWATCH.PR.3] Exiger qu'un groupe de CloudWatch logs Amazon soit chiffré au repos avec un AWS KMSclé

  • [CT. CLOUDWATCH.PR.4] Exiger l'activation d'une action CloudWatch d'alarme Amazon

  • [CT. DOCUMENTDB.PR.1] Exiger qu'un cluster Amazon DocumentDB soit chiffré au repos

  • [CT. DOCUMENTDB.PR.2] Exiger que les sauvegardes automatiques soient activées sur un cluster Amazon DocumentDB

  • [CT. DYNAMODB.PR.2] Exiger qu'une table Amazon DynamoDB soit chiffrée au repos à l'aide de AWS KMS clés

  • [CT. EC2.PR.13] Exiger que la surveillance détaillée soit activée sur une EC2 instance Amazon

  • [CT. EKS.PR.1] Exiger qu'un EKS cluster Amazon soit configuré avec l'accès public désactivé au point de terminaison du serveur API Kubernetes du cluster

  • [CT. ELASTICACHE.PR.1] Exiger que les sauvegardes automatiques soient activées sur un cluster Amazon ElastiCache pour Redis

  • [CT. ELASTICACHE.PR.2] Exiger que les mises à niveau automatiques ElastiCache des versions mineures soient activées sur un cluster Amazon pour Redis

  • [CT. ELASTICACHE.PR.3] Exiger qu'un groupe de réplication Amazon ElastiCache pour Redis active le basculement automatique

  • [CT. ELASTICACHE.PR.4] Exiger qu'un groupe de ElastiCache réplication Amazon active le chiffrement au repos

  • [CT. ELASTICACHE.PR.5] Exiger qu'un groupe de réplication Amazon ElastiCache pour Redis active le chiffrement en transit

  • [CT. ELASTICACHE.PR.6] Exiger qu'un cluster de ElastiCache cache Amazon utilise un groupe de sous-réseaux personnalisé

  • [CT. ELASTICACHE.PR.7] Exiger qu'un groupe de ElastiCache réplication Amazon de versions antérieures de Redis dispose d'une authentification Redis AUTH

  • [CT. ELASTICBEANSTALK[PR.3] Nécessite un AWS L'environnement Elastic Beanstalk doit disposer d'une configuration de journalisation

  • [CT. LAMBDA[PR.3] Nécessite un AWS Lambda fonction à intégrer dans un Amazon Virtual Private Cloud () géré par le client VPC

  • [CT. NEPTUNE.PR.1] Exiger qu'un cluster de base de données Amazon Neptune ait AWS Identity and Access Management (IAM) authentification de base de données

  • [CT. NEPTUNE.PR.2] Exiger que la protection contre les suppressions soit activée sur un cluster de base de données Amazon Neptune

  • [CT. NEPTUNE.PR.3] Exiger que le chiffrement du stockage soit activé sur un cluster de base de données Amazon Neptune

  • [CT. REDSHIFT.PR.8] Exiger le chiffrement d'un cluster Amazon Redshift

  • [CT.S3.PR.9] Exiger que S3 Object Lock soit activé dans un compartiment Amazon S3

  • [CT.S3.PR.10] Exiger que le chiffrement côté serveur d'un compartiment Amazon S3 soit configuré à l'aide de AWS KMS clés

  • [CT.S3.PR.11] Exiger l'activation du versionnement d'un compartiment Amazon S3

  • [CT. STEPFUNCTIONS.PR.1] Nécessite un AWS Step Functions machine à états pour activer la journalisation

  • [CT. STEPFUNCTIONS.PR.2] Nécessite un AWS Step Functions machine à états à avoir AWS X-Ray traçage activé

Les contrôles proactifs dans AWS Control Tower sont mis en œuvre au moyen de AWS CloudFormation Hooks, qui identifient et bloquent les ressources non conformes avant AWS CloudFormation les approvisionne. Les contrôles proactifs complètent les capacités de contrôle préventif et de détection existantes de AWS Control Tower.

Ces nouveaux contrôles proactifs sont disponibles dans tous Régions AWS où AWS Control Tower est disponible. Pour plus de détails sur ces contrôles, voir Contrôles proactifs.

AWSControl Tower déconseille deux commandes

18 juillet 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower passe régulièrement en revue ses contrôles de sécurité pour s'assurer qu'ils sont à jour et qu'ils sont toujours considérés comme les meilleures pratiques. Les deux contrôles suivants sont devenus obsolètes à compter du 18 juillet 2023 et seront supprimés de la bibliothèque de contrôles à compter du 18 août 2023. Vous ne pouvez plus activer ces contrôles sur aucune unité organisationnelle. Vous pouvez choisir de désactiver ces contrôles avant la date de suppression.

  • [SH.S3.4] Le chiffrement côté serveur doit être activé pour les compartiments S3

  • [CT.S3.PR.7] Exiger que le chiffrement côté serveur soit configuré sur un compartiment Amazon S3

Motif de la dépréciation

Depuis janvier 2023, Amazon S3 a configuré le chiffrement par défaut sur tous les compartiments non chiffrés nouveaux et existants afin d'appliquer le chiffrement côté serveur avec des clés gérées S3 (SSE-S3) comme niveau de chiffrement de base pour les nouveaux objets chargés dans ces compartiments. Aucune modification n'a été apportée à la configuration de chiffrement par défaut pour un compartiment existant déjà doté du chiffrement SSE -S3 ou côté serveur avec AWS Service de gestion des clés (AWS KMS) touches (SSE-KMS) configurées.

AWSZone d'atterrissage de la Control Tower, version 3.2

16 juin 2023

(Mise à jour requise pour la zone d'atterrissage de AWS Control Tower vers la version 3.2. Pour plus d'informations, voirMettez à jour votre zone de landing zone).

AWSLa version 3.2 de la zone d'atterrissage de Control Tower intègre les commandes qui font partie du AWS Security Hub Service-Managed Standard : AWS Control Tower jusqu'à la disponibilité générale. Il permet de visualiser l'état de dérive des commandes incluses dans cette norme dans la console AWS Control Tower.

Cette mise à jour inclut un nouveau rôle lié à un service (SLR), appelé. AWSServiceRoleForAWSControlTower Ce rôle aide AWS Control Tower en créant une règle EventBridge gérée, appelée « AWSControlTowerManagedRuledans chaque compte membre ». Cette règle gérée collecte AWS Security Hub La recherche d'événements à l'aide de AWS Control Tower peut déterminer la dérive du contrôle.

Il s'agit de la première règle gérée créée par AWS Control Tower. La règle n'est pas déployée par une pile ; elle est déployée directement depuis le EventBridge APIs. Vous pouvez consulter la règle dans la EventBridge console ou à l'aide du EventBridge APIs. Si le managed-by champ est renseigné, il affichera le principal du service AWS Control Tower.

Auparavant, AWS Control Tower assumait le AWSControlTowerExecutionrôle d'effectuer des opérations sur les comptes des membres. Ce nouveau rôle et cette nouvelle règle sont mieux alignés sur le principe des meilleures pratiques qui consiste à accorder le moindre privilège lors de l'exécution d'opérations dans un compte multiple AWS environnement. Le nouveau rôle fournit des autorisations limitées qui permettent spécifiquement : de créer la règle gérée dans les comptes des membres, de maintenir la règle gérée, de publier des notifications de sécurité et de SNS vérifier la dérive. Pour de plus amples informations, veuillez consulter AWSServiceRoleForAWSControlTower.

La mise à jour 3.2 de la zone d'atterrissage inclut également une nouvelle StackSet ressource dans le compte de gestionBP_BASELINE_SERVICE_LINKED_ROLE, qui déploie initialement le rôle lié au service.

Lorsque vous signalez une dérive du contrôle du Security Hub (dans la zone d'atterrissage 3.2 et versions ultérieures), AWS Control Tower reçoit une mise à jour quotidienne du statut de Security Hub. Bien que les contrôles soient actifs dans chaque région gouvernée, AWS Control Tower envoie le AWS Security Hub Rechercher des événements dans la région d'origine de la AWS Control Tower uniquement. Pour plus d'informations, consultez la section Security Hub Control Drift Reporting.

Mise à jour du contrôle Region Deny

Cette version de zone d'atterrissage inclut également une mise à jour du contrôle Region Deny.

Services globaux et APIs ajoutés

  • AWS Billing and Cost Management (billing:*)

  • AWS CloudTrail (cloudtrail:LookupEvents) pour permettre la visibilité des événements mondiaux sur les comptes des membres.

  • AWS Facturation consolidée (consolidatedbilling:*)

  • AWS Application mobile de console de gestion (consoleapp:*)

  • AWS Niveau gratuit (freetier:*)

  • Facturation AWS (invoicing:*)

  • AWS IQ (iq:*)

  • AWS Notifications aux utilisateurs (notifications:*)

  • AWS Contacts pour les notifications utilisateur (notifications-contacts:*)

  • Amazon Payments (payments:*)

  • AWS Paramètres fiscaux (tax:*)

Services globaux et APIs supprimés

  • Supprimé s3:GetAccountPublic car il ne s'agit pas d'une action valide.

  • Supprimé s3:PutAccountPublic car il ne s'agit pas d'une action valide.

AWSControl Tower gère les comptes en fonction de leur identifiant

14 juin 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower crée et gère désormais les comptes que vous créez dans Account Factory en suivant les AWS l'identifiant du compte, plutôt que l'adresse e-mail du compte.

Lors de la mise en service d'un compte, le demandeur du compte doit toujours disposer des autorisations CreateAccount et des DescribeCreateAccountStatus autorisations. Cet ensemble d'autorisations fait partie du rôle d'administrateur, et il est accordé automatiquement lorsqu'un demandeur assume le rôle d'administrateur. Si vous déléguez l'autorisation de provisionner des comptes, vous devrez peut-être ajouter ces autorisations directement aux demandeurs de comptes.

Contrôles de détection supplémentaires du Security Hub disponibles dans la bibliothèque de contrôles AWS Control Tower

12 juin 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower a ajouté dix nouveaux AWS Security Hub contrôles de détection vers la bibliothèque de commandes de AWS Control Tower. Ces nouveaux contrôles ciblent des services tels que API Gateway, AWS CodeBuild, Amazon Elastic Compute Cloud (EC2), Amazon Elastic Load Balancer, Amazon Redshift, SageMaker Amazon et AWS WAF. Ces nouveaux contrôles vous aident à améliorer votre posture de gouvernance en atteignant les objectifs de contrôle, tels que l'établissement de la journalisation et de la surveillance, la limitation de l'accès au réseau et le chiffrement des données au repos.

Ces contrôles font partie du Security Hub Service-Managed Standard : AWS Control Tower, une fois que vous les avez activés sur une unité d'organisation spécifique.

  • [Sh.Account.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS

  • [SH. APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation

  • [SH. APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

  • [SH. CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

  • [SH. EC2.25] les modèles de EC2 lancement ne doivent pas attribuer de public IPs aux interfaces réseau

  • [SH. ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS

  • [Sh.Redshift.10] Les clusters Redshift doivent être chiffrés au repos

  • [SH. SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées de manière personnalisée VPC

  • [SH. SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

  • [SH. WAF.10] Un WAFV2 site Web ACL doit comporter au moins une règle ou un groupe de règles

Le nouveau AWS Security Hub les commandes de détection sont disponibles dans tous Régions AWS où AWS Control Tower est disponible. Pour plus de détails sur ces contrôles, consultez Contrôles applicables à Service-Managed Standard : AWS Control Tower.

AWSControl Tower publie des tables de métadonnées de contrôle

7 juin 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower fournit désormais des tables complètes de métadonnées de contrôle dans le cadre de la documentation publiée. Lorsque vous travaillez avec le contrôleAPIs, vous pouvez rechercher celui de chaque contrôle APIcontrolIdentifier, qui est unique ARN associé à chaque Région AWS. Les tableaux incluent les cadres et les objectifs de contrôle couverts par chaque contrôle. Auparavant, ces informations n'étaient disponibles que dans la console.

Les tables incluent également les métadonnées des contrôles Security Hub qui font partie du AWS Security Hub Norme de gestion des services : AWS Control Tower. Pour plus de détails, consultez la section Tableaux des métadonnées de contrôle.

Pour une liste abrégée des identificateurs de contrôle et quelques exemples d'utilisation, voir Identifiants de ressources pour les contrôles et les contrôles. APIs

Support de Terraform pour la personnalisation d'Account Factory

6 juin 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower offre un support régional pour Terraform via Account Factory Customization (). AFC À partir de cette version, vous pouvez utiliser AWS Control Tower et Service Catalog ensemble, pour définir des plans de AFC compte, dans l'open source Terraform. Vous pouvez personnaliser votre nouveau et votre existant Comptes AWS, avant de provisionner des ressources dans AWS Control Tower. Par défaut, cette fonctionnalité vous permet de déployer et de mettre à jour des comptes, avec Terraform, dans votre région d'origine AWS de Control Tower.

Un plan de compte décrit les ressources et les configurations spécifiques requises lorsqu'un Compte AWS est provisionné. Vous pouvez utiliser le plan comme modèle pour créer plusieurs Comptes AWS à grande échelle.

Pour commencer, utilisez le moteur de référence Terraform activé. GitHub Le moteur de référence configure le code et l'infrastructure requis pour que le moteur open source Terraform fonctionne avec Service Catalog. Ce processus de configuration unique prend quelques minutes. Ensuite, vous pouvez définir les exigences de votre compte personnalisé dans Terraform, puis déployer vos comptes à l'aide du flux de travail bien défini de AWS Control Tower Account Factory. Les clients qui préfèrent travailler avec Terraform peuvent utiliser la personnalisation des comptes AWS Control Tower à AFC grande échelle et accéder immédiatement à chaque compte une fois celui-ci approvisionné.

Pour savoir comment créer ces personnalisations, consultez Creating Products et Getting started with Terraform open source dans la documentation Service Catalog. Cette fonctionnalité est disponible dans tous Régions AWS où AWS Control Tower est disponible.

AWS IAML'autogestion du centre d'identité est disponible pour la zone de landing zone

6 juin 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower propose désormais un choix optionnel de fournisseur d'identité pour une zone d'atterrissage AWS de Control Tower, que vous pouvez configurer lors de la configuration ou de la mise à jour. Par défaut, la zone d'atterrissage est activée pour utiliser AWS IAMIdentity Center, conformément aux directives relatives aux meilleures pratiques définies dans Organizing Your AWS Environnement utilisant plusieurs comptes. Trois alternatives s'offrent à vous :

  • Vous pouvez accepter la valeur par défaut et autoriser AWS Control Tower à configurer et à gérer AWS IAMIdentity Center pour vous.

  • Vous pouvez choisir de vous gérer vous-même AWS IAMIdentity Center, pour répondre aux besoins spécifiques de votre entreprise.

  • Vous pouvez éventuellement faire appel à un fournisseur d'identité tiers et le gérer vous-même, en le connectant via IAM Identity Center, si nécessaire. Vous devez utiliser l'option du fournisseur d'identité si votre environnement réglementaire vous oblige à faire appel à un fournisseur spécifique, ou si vous opérez dans Régions AWS où AWS IAMIdentity Center n'est pas disponible.

Pour de plus amples informations, veuillez consulter IAMConseils relatifs au centre d'identité.

La sélection de fournisseurs d'identité au niveau du compte n'est pas prise en charge. Cette fonctionnalité s'applique uniquement à la zone d'atterrissage dans son ensemble. AWSL'option du fournisseur d'identité Control Tower est disponible dans tous Régions AWS où AWS Control Tower est disponible.

AWSControl Tower résout le problème de la gouvernance mixte pour OUs

1er juin 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

Avec cette version, AWS Control Tower empêche le déploiement des contrôles dans une unité organisationnelle (UO) si cette unité d'organisation est dans un état de gouvernance mixte. Une gouvernance mixte se produit dans une unité d'organisation si les comptes ne sont pas mis à jour après que AWS Control Tower a étendu la gouvernance à une nouvelle Région AWS, ou supprime la gouvernance. Cette version vous aide à garantir la conformité uniforme des comptes des membres de cette unité d'organisation. Pour de plus amples informations, veuillez consulter Évitez la gouvernance mixte lors de la configuration des régions.

Contrôles proactifs supplémentaires disponibles

19 mai 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower ajoute 28 nouveaux contrôles proactifs pour vous aider à gérer votre environnement multi-comptes et à atteindre des objectifs de contrôle spécifiques, tels que le chiffrement des données au repos ou la limitation de l'accès au réseau. Des contrôles proactifs sont mis en œuvre avec AWS CloudFormation des crochets qui vérifient vos ressources avant qu'elles ne soient provisionnées. Les nouveaux contrôles peuvent aider à gouverner AWS des services tels qu'Amazon OpenSearch Service, Amazon EC2 Auto Scaling, Amazon SageMaker, Amazon API Gateway et Amazon Relational Database Service RDS ().

Les contrôles proactifs sont pris en charge dans toutes les entreprises Régions AWS où AWS Control Tower est disponible.

Amazon OpenSearch Service

  • [ACTE. OPENSEARCH.PR.1] Exiger un domaine Elasticsearch pour chiffrer les données au repos

  • [ACTE. OPENSEARCH.PR.2] Exiger la création d'un domaine Elasticsearch dans un Amazon spécifié par l'utilisateur VPC

  • [ACTE. OPENSEARCH.PR.3] Exiger un domaine Elasticsearch pour chiffrer les données envoyées entre les nœuds

  • [ACTE. OPENSEARCH.PR.4] Exiger un domaine Elasticsearch pour envoyer des journaux d'erreurs à Amazon Logs CloudWatch

  • [ACTE. OPENSEARCH.PR.5] Exiger un domaine Elasticsearch pour envoyer des journaux d'audit à Amazon Logs CloudWatch

  • [ACTE. OPENSEARCH.PR.6] Exiger qu'un domaine Elasticsearch dispose d'une reconnaissance de zone et d'au moins trois nœuds de données

  • [ACTE. OPENSEARCH.PR.7] Exiger qu'un domaine Elasticsearch possède au moins trois nœuds maîtres dédiés

  • [ACTE. OPENSEARCH.PR.8] Nécessite un domaine Elasticsearch Service pour utiliser .2 TLSv1

  • [ACTE. OPENSEARCH.PR.9] Exiger un domaine Amazon OpenSearch Service pour chiffrer les données au repos

  • [ACTE. OPENSEARCH.PR.10] Exiger la création d'un domaine Amazon OpenSearch Service dans un Amazon spécifié par l'utilisateur VPC

  • [ACTE. OPENSEARCH.PR.11] Exiger un domaine Amazon OpenSearch Service pour chiffrer les données envoyées entre les nœuds

  • [ACTE. OPENSEARCH.PR.12] Exiger un domaine Amazon OpenSearch Service pour envoyer des journaux d'erreurs à Amazon Logs CloudWatch

  • [ACTE. OPENSEARCH.PR.13] Exiger un domaine Amazon OpenSearch Service pour envoyer des journaux d'audit à Amazon Logs CloudWatch

  • [ACTE. OPENSEARCH.PR.14] Exiger qu'un domaine Amazon OpenSearch Service dispose d'une reconnaissance de zone et d'au moins trois nœuds de données

  • [ACTE. OPENSEARCH.PR.15] Exiger qu'un domaine Amazon OpenSearch Service utilise un contrôle d'accès précis

  • [ACTE. OPENSEARCH.PR.16] Nécessite un domaine Amazon OpenSearch Service pour utiliser .2 TLSv1

Amazon EC2 Auto Scaling

  • [ACTE. AUTOSCALING.PR.1] Exiger qu'un groupe Amazon EC2 Auto Scaling possède plusieurs zones de disponibilité

  • [ACTE. AUTOSCALING.PR.2] Exiger une configuration de lancement de groupe Amazon EC2 Auto Scaling pour configurer les instances Amazon EC2 pour IMDSv2

  • [ACTE. AUTOSCALING.PR.3] Exiger une configuration de lancement d'Amazon EC2 Auto Scaling pour avoir une limite de réponse aux métadonnées à saut unique

  • [ACTE. AUTOSCALING.PR.4] Exiger qu'un groupe Amazon EC2 Auto Scaling associé à un Amazon Elastic Load Balancing (ELB) fasse activer les bilans de ELB santé

  • [ACTE. AUTOSCALING.PR.5] Exiger qu'une configuration de lancement de groupe Amazon EC2 Auto Scaling ne comporte pas d'EC2instances Amazon avec des adresses IP publiques

  • [ACTE. AUTOSCALING.PR.6] Exiger que tous les groupes Amazon EC2 Auto Scaling utilisent plusieurs types d'instances

  • [ACTE. AUTOSCALING.PR.8] Exiger qu'un groupe Amazon EC2 Auto Scaling ait des modèles de lancement configurés EC2

Amazon SageMaker

  • [ACTE. SAGEMAKER.PR.1] Exiger une instance de SageMaker bloc-notes Amazon pour empêcher l'accès direct à Internet

  • [ACTE. SAGEMAKER.PR.2] Exiger que les instances de SageMaker blocs-notes Amazon soient déployées au sein d'un Amazon personnalisé VPC

  • [ACTE. SAGEMAKER.PR.3] Exiger que l'accès root soit interdit aux instances d'Amazon SageMaker Notebook

APIPasserelle Amazon

  • [ACTE. APIGATEWAY.PR.5] Exiger qu'Amazon API Gateway V2 Websocket et HTTP routes spécifient un type d'autorisation

Amazon Relational Database Service RDS ()

  • [ACTE. RDS.PR.25] Exiger que la journalisation soit configurée sur un cluster RDS de bases de données Amazon

Pour plus d'informations, voir Contrôles proactifs.

Contrôles EC2 proactifs Amazon mis à jour

2 mai 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower a mis à jour deux contrôles proactifs : CT.EC2.PR.3 and CT.EC2.PR.4.

Pour la mise à jour CT.EC2.PR.3 contrôle, n'importe lequel AWS CloudFormation le déploiement qui fait référence à une liste de préfixes pour une ressource de groupe de sécurité est bloqué, sauf pour le port 80 ou 443.

Pour la mise à jour CT.EC2.PR.4 contrôle, n'importe lequel AWS CloudFormation un déploiement qui fait référence à une liste de préfixes pour une ressource de groupe de sécurité est bloqué si le port est 3389, 20, 23, 110, 143, 3306, 8080, 1433, 9200, 9300, 25, 445, 135, 21, 1434, 4333, 5432, 5500, 5601, 22, 3000, 5000, 8088, 8888.

Sept supplémentaires Régions AWS available

19 avril 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower est désormais disponible en sept versions supplémentaires Régions AWS: Californie du Nord (San Francisco), Asie-Pacifique (Hong Kong, Jakarta et Osaka), Europe (Milan), Moyen-Orient (Bahreïn) et Afrique (Le Cap). Ces régions supplémentaires pour AWS Control Tower, appelées régions opt-in, ne sont pas actives par défaut, à l'exception de la région USA Ouest (Californie du Nord), qui est active par défaut.

Certaines commandes de AWS Control Tower ne fonctionnent pas dans certaines de ces options supplémentaires Régions AWS où AWS Control Tower est disponible, car ces régions ne prennent pas en charge les fonctionnalités sous-jacentes requises. Pour plus de détails, consultez Limites de contrôle.

Parmi ces nouvelles régions, le CfCT n'est pas disponible en Asie-Pacifique (Jakarta et Osaka). Disponibilité dans d'autres Régions AWS est inchangé.

Pour plus d'informations sur la façon dont AWS Control Tower gère les limites des régions et des contrôles, consultezConsidérations relatives à l'activation des AWS régions optionnelles.

Les VPCe points de terminaison requis par ne AFT sont pas disponibles dans la région Moyen-Orient (Bahreïn). Les clients déployant AFT dans cette région doivent effectuer le déploiement avec paramètreaft_vpc_endpoints=false. Pour plus d'informations, consultez le paramètre dans le README fichier.

AWSControl Tower VPCs dispose de deux zones de disponibilité dans la région de l'ouest des États-Unis (Californie du Nord)us-west-1, en raison d'une limitation sur AmazonEC2. Dans l'ouest des États-Unis (Californie du Nord), six sous-réseaux sont répartis sur deux zones de disponibilité. Pour de plus amples informations, veuillez consulter Présentation d'AWS Control Tower et des VPC.

AWSControl Tower a ajouté de nouvelles autorisations AWSControlTowerServiceRolePolicy qui permettent à AWS Control Tower de passer des appels au EnableRegionListRegions, et GetRegionOptStatus APIs mises en œuvre par AWS Service de gestion de compte, pour les rendre supplémentaires Régions AWS disponible pour vos comptes partagés dans la zone de landing zone (compte de gestion, compte d'archivage des journaux, compte d'audit) et pour vos comptes de membres de l'UO. Pour de plus amples informations, veuillez consulter Politiques gérées pour AWS Control Tower.

Account Factory for Terraform (AFT) : suivi des demandes de personnalisation du compte

16 février 2023

AFTprend en charge le suivi des demandes de personnalisation des comptes. Chaque fois que vous soumettez une demande de personnalisation de compte, un jeton de suivi unique est AFT généré qui passe par une AFT personnalisation AWS Step Functions machine à états, qui enregistre le jeton dans le cadre de son exécution. Vous pouvez utiliser les requêtes Amazon CloudWatch Logs Insights pour rechercher des plages d'horodatage et récupérer le jeton de demande. Par conséquent, vous pouvez voir les charges utiles qui accompagnent le jeton, ce qui vous permet de suivre la demande de personnalisation de votre compte tout au long du AFT flux de travail. Pour plus d'informationsAFT, consultez la section Présentation de AWS Control Tower Account Factory pour Terraform. Pour plus d'informations sur CloudWatch les journaux et les Step Functions, consultez les rubriques suivantes :

AWSZone d'atterrissage de la Control Tower, version 3.1

9 février 2023

(Mise à jour requise pour la zone d'atterrissage de AWS Control Tower vers la version 3.1. Pour plus d'informations, voirMettez à jour votre zone de landing zone)

AWSLa version 3.1 de Control Tower landing zone inclut les mises à jour suivantes :

  • Avec cette version, AWS Control Tower désactive la journalisation inutile des accès à votre compartiment de journalisation des accès, qui est le compartiment Amazon S3 dans lequel les journaux d'accès sont stockés dans le compte Log Archive, tout en continuant à activer la journalisation des accès au serveur pour les compartiments S3. Cette version inclut également des mises à jour du contrôle Region Deny qui autorisent des actions supplémentaires pour les services mondiaux, telles que AWS Support Plans et AWS Artifact.

  • La désactivation de la journalisation des accès au serveur pour le bucket de journalisation des accès de AWS Control Tower oblige Security Hub à créer une recherche pour le bucket de journalisation des accès du compte Log Archive, en raison d'un AWS Security Hub règle, [S3.9] La journalisation des accès au serveur de compartiment S3 doit être activée. Conformément à Security Hub, nous vous recommandons de supprimer cette constatation particulière, comme indiqué dans la description de cette règle dans le Security Hub. Pour plus d'informations, consultez les informations sur les résultats supprimés.

  • La journalisation des accès pour le bucket de journalisation (normal) du compte Log Archive est inchangée dans la version 3.1. Conformément aux meilleures pratiques, les événements d'accès pour ce compartiment sont enregistrés sous forme d'entrées de journal dans le compartiment de journalisation des accès. Pour plus d'informations sur la journalisation des accès, consultez la section Journalisation des demandes à l'aide de la journalisation des accès au serveur dans la documentation Amazon S3.

  • Nous avons mis à jour le contrôle Region Deny. Cette mise à jour autorise les actions d'un plus grand nombre de services mondiaux. Pour plus de détails à ce sujetSCP, voir Refuser l'accès à AWS sur la base de la demande Région AWSet des contrôles qui améliorent la protection de la résidence des données.

    Services globaux ajoutés :

    • AWS Account Management (account:*)

    • AWS Activer (activate:*)

    • AWS Artifact (artifact:*)

    • AWS Billing Conductor (billingconductor:*)

    • AWS Compute Optimizer (compute-optimizer:*)

    • AWS Data Pipeline (datapipeline:GetAccountLimits)

    • AWS Device Farm(devicefarm:*)

    • AWS Marketplace (discovery-marketplace:*)

    • Amazon ECR (ecr-public:*)

    • AWS License Manager (license-manager:ListReceivedLicenses)

    • AWS Lightsail () lightsail:Get*

    • Explorateur de ressources AWS (resource-explorer-2:*)

    • Amazon S3 (s3:CreateMultiRegionAccessPoint,s3:GetBucketPolicyStatus,s3:PutMultiRegionAccessPointPolicy)

    • AWS Savings Plans (savingsplans:*)

    • IAMCentre d'identité (sso:*)

    • AWS Support App (supportapp:*)

    • AWS Support Plans (supportplans:*)

    • AWS Durabilité (sustainability:*)

    • AWS Resource Groups Tagging API (tag:GetResources)

    • AWS Marketplace Informations sur les fournisseurs (vendor-insights:ListEntitledSecurityProfiles)

Contrôles proactifs généralement disponibles

24 janvier 2023

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

Les contrôles proactifs optionnels, précédemment annoncés en version préliminaire, sont désormais généralement disponibles. Ces contrôles sont qualifiés de proactifs car ils vérifient vos ressources, avant qu'elles ne soient déployées, afin de déterminer si les nouvelles ressources sont conformes aux contrôles activés dans votre environnement. Pour de plus amples informations, veuillez consulter Des commandes complètes aident à AWS approvisionnement et gestion des ressources.