Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Janvier 2024 - En cours
Depuis janvier 2024, AWS Control Tower a publié les mises à jour suivantes :
AWS Control Tower prend en charge jusqu'à 100 opérations de contrôle simultanées
AWS Control Tower est disponible dans l'ouest AWS du Canada (Calgary)
AWS Control Tower prend en charge les ajustements de quotas en libre-service
AWS Control Tower publie le guide de référence sur les contrôles
AWS Control Tower met à jour et renomme deux contrôles proactifs
AWS Control Tower prend en charge le balisage des EnabledControl ressources dans AWS CloudFormation
AWS Control Tower prend en charge jusqu'à 100 opérations de contrôle simultanées
20 mai 2024
(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)
AWS Control Tower prend désormais en charge plusieurs opérations de contrôle avec une plus grande simultanéité. Vous pouvez soumettre jusqu'à 100 opérations de contrôle AWS Control Tower, dans plusieurs unités organisationnelles (UO), en même temps, depuis la console ou via des API. Jusqu'à dix (10) opérations peuvent être exécutées simultanément, et les opérations supplémentaires sont mises en file d'attente. De cette façon, vous pouvez configurer une configuration plus standardisée sur plusieurs Comptes AWS, sans la charge opérationnelle liée aux opérations de contrôle répétitives.
Pour surveiller l'état de vos opérations de contrôle en cours et en file d'attente, vous pouvez accéder à la nouvelle page des opérations récentes dans la console AWS Control Tower, ou vous pouvez appeler la nouvelle ListControlOperationsAPI.
La bibliothèque AWS Control Tower contient plus de 500 contrôles, qui correspondent à différents objectifs, frameworks et services de contrôle. Pour un objectif de contrôle spécifique, tel que le chiffrement des données au repos, vous pouvez activer plusieurs contrôles en une seule opération de contrôle, afin de vous aider à atteindre l'objectif. Cette fonctionnalité facilite le développement accéléré, permet une adoption plus rapide des meilleures pratiques de contrôle et atténue les complexités opérationnelles.
AWS Control Tower est disponible dans l'ouest AWS du Canada (Calgary)
3 mai 2024
(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)
À compter d'aujourd'hui, vous pouvez activer AWS Control Tower dans la région du Canada Ouest (Calgary). Si vous avez déjà déployé AWS Control Tower et que vous souhaitez étendre ses fonctionnalités de gouvernance à cette région, vous pouvez le faire avec les API de zone de landing zone d'AWS Control Tower. Ou depuis la console, rendez-vous sur la page Paramètres de votre tableau de bord AWS Control Tower, sélectionnez vos régions, puis mettez à jour votre zone de landing zone.
La région du Canada Ouest (Calgary) ne soutient pas AWS Service Catalog. C'est pourquoi certaines fonctionnalités d'AWS Control Tower sont différentes. Le changement de fonctionnalité le plus notable est que Account Factory n'est pas disponible. Si vous choisissez Canada-Ouest (Calgary) comme région d'origine, les procédures de mise à jour des comptes, de configuration des automatisations des comptes et de tout autre processus impliquant Service Catalog sont différentes de celles des autres régions.
Comptes de provisionnement
Pour créer et approvisionner un nouveau compte dans la région du Canada Ouest (Calgary), nous vous recommandons de créer un compte en dehors d'AWS Control Tower, puis de l'inscrire dans une unité d'organisation enregistrée. Pour plus d'informations, consultez les sections Inscription d'un compte existant et Étapes pour créer un compte.
Les API Service Catalog ne sont pas disponibles dans la région du Canada Ouest (Calgary). L'exemple de script présenté dans Automatiser le provisionnement des comptes dans AWS Control Tower par les API Service Catalog n'est pas réalisable.
Account Factory Customizations (AFC), Account Factory for Terraform (AFT) et Customizations for AWS Control Tower (CfCT) ne sont pas disponibles dans l'ouest du Canada (Calgary), en raison de l'absence d'autres dépendances sous-jacentes pour AWS Control Tower. Si vous étendez la gouvernance à la région du Canada-Ouest (Calgary), vous pouvez continuer à gérer les plans AFC dans toutes les régions prises en charge par AWS Control Tower, à condition que Service Catalog soit disponible dans votre région d'origine.
Contrôles
Les contrôles proactifs et les contrôles conformes à la norme AWS Security Hub de gestion des services : AWS Control Tower ne sont pas disponibles dans la région du Canada-Ouest (Calgary). Le contrôle préventif n'CT.CLOUDFORMATION.PR.1est pas disponible dans le Canada-Ouest (Calgary) car il n'est nécessaire que pour activer les contrôles proactifs basés sur des crochets. Certaines commandes de détection basées sur ne AWS Config sont pas disponibles. Pour plus de détails, consultez Limites de contrôle.
Fournisseur d'identité
Le centre d'identité IAM n'est pas disponible dans l'ouest du Canada (Calgary). La meilleure pratique recommandée est de configurer votre zone de landing zone dans une région où le centre d'identité IAM est disponible. Vous avez également la possibilité de gérer vous-même la configuration de l'accès à votre compte si vous utilisez un fournisseur d'identité externe à Canada-Ouest (Calgary).
L'indisponibilité du Service Catalog dans la région du Canada Ouest (Calgary) n'a aucun effet sur les autres régions prises en charge par AWS Control Tower. Ces différences s'appliquent uniquement si votre région d'origine est le Canada-Ouest (Calgary).
Pour obtenir la liste complète des régions dans lesquelles AWS Control Tower est disponible, consultez le tableau des AWS régions
AWS Control Tower prend en charge les ajustements de quotas en libre-service
25 avril 2024
(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)
AWS Control Tower prend désormais en charge les ajustements de quotas en libre-service via la console Service Quotas. Pour plus d’informations, consultez Demander une augmentation de quota.
AWS Control Tower publie le guide de référence sur les contrôles
21 avril 2024
(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)
AWS Control Tower a publié le Controls Reference Guide, un nouveau document dans lequel vous pouvez trouver des informations détaillées sur les contrôles spécifiques à l'environnement AWS Control Tower. Ce matériel figurait auparavant dans le guide de l'utilisateur d'AWS Control Tower. Le guide de référence sur les contrôles couvre les contrôles dans un format étendu. Pour plus d'informations, consultez le guide de référence d'AWS Control Tower Controls.
AWS Control Tower met à jour et renomme deux contrôles proactifs
26 mars 2024
(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)
AWS Control Tower a renommé deux contrôles proactifs afin de les aligner sur les mises à jour d'Amazon OpenSearch Service.
Nous avons mis à jour les noms de contrôle et les artefacts de ces deux contrôles afin de les aligner sur la récente version d'Amazon OpenSearch Service, qui prend désormais en charge la version 1.3 de Transport Layer Security (TLS)
Pour ajouter la prise en charge de TLSv1.3 pour ces contrôles, nous avons mis à jour l'artefact et le nom des contrôles afin de refléter l'intention du contrôle. Ils évaluent désormais la version TLS minimale du domaine de service. Pour effectuer cette mise à jour dans votre environnement, vous devez désactiver et activer les commandes permettant de déployer le dernier artefact.
Aucun autre contrôle proactif n'est affecté par cette modification. Nous vous recommandons de passer en revue ces contrôles afin de vous assurer qu'ils répondent à vos objectifs de contrôle.
Pour toute question ou préoccupation, contactez AWS le Support
Les contrôles obsolètes ne sont plus disponibles
12 mars 2024
(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)
AWS Control Tower a déconseillé certains contrôles. Ces commandes ne sont plus disponibles.
CT.ATHENA.PR.1
CT.CODEBUILD.PR.4
CT.AUTOSCALING.PR.3
SH.Athena.1
SH.Codebuild.5
SH.AutoScaling.4
SH.SNS.1
SH.SNS.2
AWS Control Tower prend en charge le balisage des EnabledControl ressources dans AWS CloudFormation
22 février 2024
(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)
Cette version d'AWS Control Tower met à jour le comportement de la EnabledControl ressource, afin de mieux l'aligner sur les contrôles configurables et d'améliorer la capacité à gérer votre environnement AWS Control Tower grâce à l'automatisation. Avec cette version, vous pouvez ajouter des balises aux EnabledControl ressources configurables au moyen de AWS CloudFormation
modèles. Auparavant, vous pouviez ajouter des balises uniquement via la console AWS Control Tower et les API.
Les opérations AWS Control Tower GetEnabledControl et ListTagsforResource API sont mises à jour avec cette version, car elles reposent sur les fonctionnalités EnabledControl des ressources. EnableControl
Pour plus d'informations, consultez les EnabledControlressources de balisage dans AWS Control Tower et EnabledControldans le guide de l'AWS CloudFormation
utilisateur.
AWS Control Tower prend en charge les API pour l'enregistrement et la configuration des unités d'organisation avec des lignes de base
14 février 2024
(Aucune mise à jour n'est requise pour la zone d'atterrissage d'AWS Control Tower.)
Ces API prennent en charge l'enregistrement programmatique de l'unité d'organisation lors de l'EnableBaselineappel. Lorsque vous activez une base de référence sur une unité d'organisation, les comptes des membres de l'unité d'organisation sont inscrits dans la gouvernance d'AWS Control Tower. Certaines mises en garde peuvent s'appliquer. Par exemple, l'enregistrement de l'unité d'organisation via la console AWS Control Tower permet des contrôles facultatifs ainsi que des contrôles obligatoires. Lorsque vous appelez des API, il se peut que vous deviez effectuer une étape supplémentaire afin que les commandes facultatives soient activées.
Une base de référence AWS Control Tower intègre les meilleures pratiques relatives à la gouvernance par AWS Control Tower d'une unité d'organisation et de comptes de membres. Par exemple, lorsque vous activez une base de référence sur une unité d'organisation, les comptes membres de l'unité d'organisation reçoivent un groupe défini de ressources AWS CloudTrail AWS Config, notamment le centre d'identité IAM et les rôles AWS IAM requis.
Les lignes de base spécifiques sont compatibles avec les versions spécifiques de la zone d'atterrissage d'AWS Control Tower. AWS Control Tower peut appliquer la dernière ligne de base compatible à votre zone d'atterrissage lorsque vous modifiez les paramètres de cette dernière. Pour plus d’informations, consultez Compatibilité des versions de base de l'UO et de la zone d'atterrissage.
Cette version inclut quatre éléments essentiels Types de lignes de base
-
AWSControlTowerBaseline -
AuditBaseline -
LogArchiveBaseline -
IdentityCenterBaseline
Grâce aux nouvelles API et aux lignes de base définies, vous pouvez enregistrer des unités d'organisation et automatiser votre flux de travail de provisionnement des unités d'organisation. Les API peuvent également gérer les unités d'organisation déjà soumises à la gouvernance d'AWS Control Tower. Vous pouvez donc réenregistrer les unités d'organisation après les mises à jour de la zone de landing zone. Les API incluent la prise en charge d'une AWS CloudFormation EnabledBaseline ressource, qui vous permet de gérer vos unités d'organisation à l'aide de l'infrastructure sous forme de code (IaC).
API de base
-
EnableBaseline, UpdateEnabledBaseline, DisableBaseline: Agissez sur une ligne de base pour une unité d'organisation.
-
GetEnabledBaseline, ListEnabledBaselines: Découvrez les configurations pour vos lignes de base activées.
-
GetBaselineOperation: permet d'afficher le statut d'une opération de référence spécifique.
-
ResetEnabledBaseline: Corrigez la dérive des ressources sur une unité d'organisation avec une ligne de base activée (y compris les unités d'organisation imbriquées et la dérive de contrôle obligatoire). Corrige également la dérive pour la landing-zone-level Région, refuse le contrôle
-
GetBaseline, ListBaselines: Découvrez le contenu des lignes de base d'AWS Control Tower.
Pour en savoir plus sur ces API, consultez les lignes de base du guide de l'utilisateur d'AWS Control Tower et le guide de référence des API. Les nouvelles API sont disponibles Régions AWS là où AWS Control Tower est disponible, à l'exception des régions GovCloud (États-Unis). Pour une liste des Régions AWS endroits où AWS Control Tower est disponible, consultez le Région AWS tableau.
