gennaio - dicembre 2021 - AWS Control Tower
Funzionalità di negazione della regioneFunzionalità di residenza dei datiAWSControl Tower introduce il provisioning e la personalizzazione degli account TerraformNuovo evento sul ciclo di vita disponibileAWSControl Tower consente il nested OUsDetective controlla la concorrenzaSono disponibili due nuove regioniDeselezione della regioneAWSControl Tower funziona con AWS Sistemi di gestione delle chiaviControlli rinominati, funzionalità invariataAWSControl Tower esegue scansioni SCPs giornaliere per verificare eventuali deviazioniNomi e account personalizzati OUsAWSControl Tower landing zone versione 2.7Tre nuove AWS Regioni disponibiliGoverna solo le regioni selezionateAWSControl Tower ora estende la governance all'esistenza OUs nel tuo AWS organizationsAWSControl Tower fornisce aggiornamenti collettivi degli account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

gennaio - dicembre 2021

Nel 2021, AWS Control Tower ha rilasciato i seguenti aggiornamenti:

Funzionalità di negazione della regione

30 novembre 2021

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower.)

AWSControl Tower ora offre funzionalità Region Deny, che aiutano a limitare l'accesso a AWS servizi e operazioni per gli account registrati nell'ambiente AWS Control Tower. La funzione Region Deny integra le funzioni di selezione della regione e di deselezione della regione esistenti in Control TowerAWS. Insieme, queste funzionalità consentono di risolvere i problemi di conformità e regolamentazione, bilanciando al contempo i costi associati all'espansione in altre regioni.

Ad esempio, AWS i clienti in Germania possono negare l'accesso a AWS servizi in regioni al di fuori della regione di Francoforte. Puoi selezionare Regioni con restrizioni durante il processo di configurazione del AWS Control Tower o nella pagina delle impostazioni della zona di atterraggio. La funzione Region Deny è disponibile quando aggiorni la versione della landing zone AWS di Control Tower. Select AWS i servizi sono esenti dalle funzionalità Region Deny. Per ulteriori informazioni, consulta Configurare il Region Deny Control.

Funzionalità di residenza dei dati

30 novembre 2021

(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)

AWSControl Tower ora offre controlli appositamente progettati per garantire che tutti i dati dei clienti vengano caricati su AWS i servizi si trovano solo nel AWS Regioni specificate. È possibile selezionare AWS Regione o regioni in cui i dati dei clienti vengono archiviati ed elaborati. Per un elenco completo di AWS Regioni in cui è disponibile AWS Control Tower, vedi AWS Tabella delle regioni.

Per un controllo granulare, puoi applicare controlli aggiuntivi, come Impedire connessioni Amazon Virtual Private Network (VPN) o Non consentire l'accesso a Internet per un'istanza Amazon. VPC È possibile visualizzare lo stato di conformità dei controlli nella console AWS Control Tower. Per un elenco completo dei controlli disponibili, consulta la libreria di controlli The AWS Control Tower.

AWSControl Tower introduce il provisioning e la personalizzazione degli account Terraform

29 novembre 2021

(Aggiornamento opzionale per la landing zone AWS di Control Tower)

Ora puoi utilizzare Terraform per fornire e aggiornare account personalizzati tramite AWS Control Tower, con AWSControl Tower Account Factory for Terraform (). AFT

AFTfornisce un'unica pipeline Terraform infrastructure as code (IaC), che fornisce gli account gestiti da Control TowerAWS. Le personalizzazioni durante il provisioning aiutano a soddisfare le politiche aziendali e di sicurezza, prima di fornire gli account agli utenti finali.

La pipeline di creazione AFT automatica degli account monitora fino al completamento del provisioning dell'account, quindi continua, attivando moduli Terraform aggiuntivi che migliorano l'account con le personalizzazioni necessarie. Come parte aggiuntiva del processo di personalizzazione, puoi configurare la pipeline per installare i tuoi moduli Terraform personalizzati e puoi scegliere di aggiungere una qualsiasi delle opzioni di funzionalità, fornite da AFT AWS per personalizzazioni comuni.

Inizia a usare AWS Control Tower Account Factory for Terraform seguendo i passaggi forniti nella AWSControl Tower User Guide e scaricando AFT per la tua istanza Terraform. Implementa AWS Control Tower Account Factory per Terraform () AFT AFTsupporta le distribuzioni Terraform Cloud, Terraform Enterprise e Terraform Open Source.

Nuovo evento sul ciclo di vita disponibile

18 novembre 2021

(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)

L'PrecheckOrganizationalUnitevento registra se alcune risorse impediscono l'esito positivo dell'attività Extend governance, incluse le risorse in OUs nested. Per ulteriori informazioni, consulta PrecheckOrganizationalUnit.

AWSControl Tower consente il nested OUs

16 novembre 2021

(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)

AWSControl Tower ora ti consente di includere i nidificati OUs come parte della tua landing zone.

AWSControl Tower fornisce supporto per unità organizzative annidate (OUs), che consentono di organizzare gli account in più livelli gerarchici e di applicare i controlli preventivi gerarchicamente. È possibile registrare contenuti OUs annidatiOUs, creare e registrare OUs sotto la voce principale e abilitare i controlli su qualsiasi unità organizzativa registrataOUs, indipendentemente dalla profondità. Per supportare questa funzionalità, la console mostra il numero di account gestiti eOUs.

Con nestedOUs, puoi allineare la tua AWS Control Tower OUs al AWS grazie a una strategia multi-account, puoi ridurre il tempo necessario per abilitare i controlli su più accountOUs, applicando i controlli a livello dell'unità organizzativa principale.

Considerazioni chiave

  1. È possibile registrare un'unità organizzativa esistente a più livelli OUs con AWS Control Tower un'unità organizzativa alla volta, iniziando dall'unità organizzativa di livello superiore e poi procedendo verso il basso. Per ulteriori informazioni, consulta Espandi da una struttura OU piatta a una struttura di unità organizzative annidata.

  2. Gli account direttamente collegati a un'unità organizzativa registrata vengono registrati automaticamente. Gli account più in basso nell'albero possono essere registrati registrando l'unità organizzativa principale diretta.

  3. I controlli preventivi (SCPs) vengono ereditati automaticamente nella gerarchia; SCPs applicati all'elemento principale vengono ereditati da tutti gli utenti annidati. OUs

  4. Controlli investigativi (AWS Le regole di Config) vengono NOT ereditate automaticamente.

  5. La conformità ai controlli investigativi viene segnalata da ciascuna unità organizzativa.

  6. SCPla deriva su un'unità organizzativa si ripercuote su tutti gli OUs account e su di essa.

  7. Non è possibile crearne di nuovi annidati OUs nell'unità organizzativa di sicurezza (Core OU).

Detective controlla la concorrenza

5 novembre 2021

(Aggiornamento opzionale per la landing zone AWS di Control Tower)

AWSI controlli investigativi Control Tower ora supportano operazioni simultanee per i controlli investigativi, migliorando la facilità d'uso e le prestazioni. È possibile abilitare più controlli investigativi senza attendere il completamento delle singole operazioni di controllo.

Funzionalità supportate:

  • Abilita diversi controlli di rilevamento sulla stessa unità organizzativa (ad esempio, rileva se MFA per l'utente root è abilitato e rileva se è consentito l'accesso pubblico in scrittura ai bucket Amazon S3).

  • Abilita diversi controlli investigativi su diversi OUs sistemi contemporaneamente.

  • La messaggistica di errore di Guardrail è stata migliorata per fornire ulteriori indicazioni per le operazioni di controllo simultaneo supportate.

Non supportato in questa versione:

  • L'attivazione dello stesso controllo investigativo su più dispositivi OUs contemporaneamente non è supportata.

  • La concorrenza del controllo preventivo non è supportata.

Puoi sperimentare i miglioramenti della concorrenza del controllo investigativo in tutte le versioni di AWS Control Tower. Si consiglia ai clienti che non utilizzano attualmente la versione 2.7 di eseguire un aggiornamento della landing zone per sfruttare altre funzionalità, come la selezione e la deselezione della regione, disponibili nella versione più recente.

Sono disponibili due nuove regioni

29 luglio 2021

(Aggiornamento richiesto per la landing zone AWS del Control Tower)

AWSControl Tower è ora disponibile in due versioni aggiuntive AWS Regioni: Sud America (San Paolo) ed Europa (Parigi). Questo aggiornamento estende la disponibilità di AWS Control Tower a 15 AWS Regioni.

Se non conosci AWS Control Tower, puoi avviarlo subito in una qualsiasi delle regioni supportate. Durante il lancio, puoi selezionare le regioni in cui desideri che AWS Control Tower crei e gestisca il tuo ambiente multi-account.

Se disponi già di un ambiente AWS Control Tower e desideri estendere o rimuovere le funzionalità di governance AWS Control Tower in una o più regioni supportate, vai alla pagina Impostazioni della Landing Zone nella dashboard AWS Control Tower, quindi seleziona le Regioni. Dopo aver aggiornato la landing zone, devi aggiornare tutti gli account gestiti da AWS Control Tower.

Deselezione della regione

29 luglio 2021

(Aggiornamento opzionale per la landing zone AWS di Control Tower)

AWSLa deselezione della regione Control Tower migliora la capacità di gestire l'impronta geografica delle risorse della AWS Control Tower. Puoi deselezionare le Regioni che non vuoi più governare da AWS Control Tower. Questa funzionalità offre la possibilità di risolvere i problemi di conformità e normativi, bilanciando al contempo i costi associati all'espansione in altre regioni.

La deselezione della regione è disponibile quando aggiorni la versione della landing zone AWS di Control Tower.

Quando utilizzi Account Factory per creare un nuovo account o registrare un account membro preesistente, o quando selezioni Extend Governance per registrare gli account in un'unità organizzativa preesistente, Control Tower implementa le sue funzionalità di governance, che includono registrazione, monitoraggio e AWS controlli centralizzati, nelle Regioni prescelte negli account. La scelta di deselezionare una regione e rimuovere la governance di AWS Control Tower da quella regione rimuove tale funzionalità di governance, ma non inibisce la capacità degli utenti di implementare AWS risorse o carichi di lavoro in tali regioni.

AWSControl Tower funziona con AWS Sistemi di gestione delle chiavi

28 luglio 2021

(Aggiornamento opzionale per la landing zone AWS di Control Tower)

AWSControl Tower offre la possibilità di utilizzare un AWS Servizio di gestione delle chiavi (AWS KMS) chiave. Una chiave viene fornita e gestita dall'utente per proteggere i servizi distribuiti da AWS Control Tower, tra cui AWS CloudTrail, AWS Config e i dati Amazon S3 associati. AWS KMSla crittografia è un livello di crittografia avanzato rispetto alla crittografia SSE -S3 utilizzata di default da AWS Control Tower.

L'integrazione di AWS KMSil supporto in AWS Control Tower è in linea con AWS Buone pratiche di sicurezza di base, che consigliano un ulteriore livello di sicurezza per i file di registro sensibili. Dovresti usare AWS KMS—chiavi gestite (SSE-KMS) per la crittografia a riposo. AWS KMSil supporto per la crittografia è disponibile quando si configura una nuova landing zone o quando si aggiorna la landing zone esistente AWS della Control Tower.

Per configurare questa funzionalità, puoi selezionare KMSKey Configuration durante la configurazione iniziale della landing zone. Puoi scegliere una KMS chiave esistente oppure puoi selezionare un pulsante che ti indirizza al AWS KMSconsole per crearne una nuova. Hai anche la flessibilità di passare dalla crittografia predefinita a SSE - KMS o a una KMS chiave diversaSSE.

Per una landing zone esistente di AWS Control Tower, puoi eseguire un aggiornamento per iniziare a utilizzare AWS KMSchiavi.

Controlli rinominati, funzionalità invariata

26 luglio 2021

(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)

AWSControl Tower sta rivedendo alcuni nomi e descrizioni dei controlli per riflettere meglio le intenzioni politiche del controllo. I nomi e le descrizioni rivisti ti aiutano a comprendere in modo più intuitivo i modi in cui i controlli incorporano le politiche dei tuoi account. Ad esempio, abbiamo cambiato parte dei nomi dei controlli investigativi da «Non consentire» a «Rileva» perché il controllo investigativo di per sé non blocca un'azione specifica, rileva solo le violazioni delle norme e fornisce avvisi tramite la dashboard.

La funzionalità di controllo, le linee guida e l'implementazione rimangono invariate. Sono stati modificati solo i nomi e le descrizioni dei controlli.

AWSControl Tower esegue scansioni SCPs giornaliere per verificare eventuali deviazioni

11 maggio 2021

(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)

AWSControl Tower ora esegue scansioni automatiche giornaliere dei gestori SCPs per verificare che i controlli corrispondenti siano applicati correttamente e che non abbiano subito deviazioni. Se una scansione rileva una deviazione, riceverai una notifica. AWSControl Tower invia una sola notifica per problema di deriva, quindi se la tua landing zone è già in stato di deriva, non riceverai notifiche aggiuntive a meno che non venga trovato un nuovo oggetto di deriva.

Nomi e account personalizzati OUs

16 aprile 2021

(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)

AWSControl Tower ora ti consente di personalizzare la denominazione delle landing zone. Puoi mantenere i nomi consigliati da AWS Control Tower per le unità organizzative (OUs) e gli account principali oppure puoi modificare questi nomi durante il processo di configurazione iniziale della landing zone.

I nomi predefiniti forniti da AWS Control Tower per OUs gli account principali corrispondono ai AWS linee guida sulle migliori pratiche per più account. Tuttavia, se l'azienda ha politiche di denominazione specifiche o se dispone già di un'unità organizzativa o di un account esistente con lo stesso nome consigliato, la nuova funzionalità di denominazione dell'unità organizzativa e degli account offre la flessibilità necessaria per affrontare tali vincoli.

Oltre a modificare il flusso di lavoro durante la configurazione, l'unità organizzativa precedentemente nota come unità organizzativa principale è ora denominata Security OU e l'unità organizzativa precedentemente nota come unità organizzativa personalizzata è ora denominata Sandbox OU. Abbiamo apportato questa modifica per migliorare il nostro allineamento con la situazione generale AWS linee guida sulle migliori pratiche per la denominazione.

I nuovi clienti vedranno questi nuovi nomi di unità organizzative. I clienti esistenti continueranno a vederne i nomi originaliOUs. È possibile che si verifichino alcune incongruenze nella denominazione delle unità organizzative durante l'aggiornamento della documentazione con i nuovi nomi.

Per iniziare a usare AWS Control Tower dal AWS Console di gestione, vai alla console AWS Control Tower e seleziona Configura landing zone in alto a destra. Per ulteriori informazioni, puoi leggere come pianificare la tua landing zone AWS della Control Tower.

AWSControl Tower landing zone versione 2.7

8 aprile 2021

(Aggiornamento richiesto per la landing zone di AWS Control Tower alla versione 2.7. Per informazioni, vedereAggiorna la tua landing zone)

Con la versione 2.7 di AWS Control Tower, AWS Control Tower introduce quattro nuovi controlli preventivi obbligatori di archiviazione dei log che implementano policy esclusivamente sulle risorse AWS Control Tower. Abbiamo modificato le linee guida su quattro controlli di Log Archive esistenti da obbligatori a facoltativi, poiché stabiliscono policy per le risorse esterne a AWS Control Tower. Questa modifica ed espansione del controllo offre la possibilità di separare la governance di Log Archive per le risorse all'interno di AWS Control Tower dalla governance delle risorse esterne a AWS Control Tower.

I quattro controlli modificati possono essere utilizzati insieme ai nuovi controlli obbligatori per fornire la governance a un insieme più ampio di AWS Archivi di registro. Gli ambienti AWS Control Tower esistenti manterranno questi quattro controlli modificati abilitati automaticamente, per garantire la coerenza dell'ambiente; tuttavia, questi controlli opzionali ora possono essere disabilitati. I nuovi ambienti AWS Control Tower devono abilitare tutti i controlli opzionali. Gli ambienti esistenti devono disabilitare i controlli precedentemente obbligatori prima di aggiungere la crittografia ai bucket Amazon S3 che non vengono distribuiti da Control Tower. AWS

Nuovi controlli obbligatori:

  • Impedisci modifiche alla configurazione di crittografia per i bucket S3 creati da AWS Control Tower nell'archivio dei registri

  • Impedisci modifiche alla configurazione di registrazione per i bucket S3 creati da AWS Control Tower in Log Archive

  • Impedisci modifiche alla policy sui bucket per i bucket S3 creati da AWS Control Tower in Log Archive

  • Impedisci modifiche alla configurazione del ciclo di vita per i bucket S3 creati da AWS Control Tower in Log Archive

La guida è stata modificata da obbligatoria a facoltativa:

  • Non consentire modifiche alla configurazione di crittografia per tutti i bucket Amazon S3 [in precedenza: Abilita la crittografia a riposo per l'archiviazione dei log]

  • Non consentire modifiche alla configurazione di registrazione per tutti i bucket Amazon S3 [in precedenza: Abilita la registrazione degli accessi per l'archiviazione dei log]

  • Non consentire modifiche alla policy sui bucket per tutti i bucket Amazon S3 [in precedenza: non consentire modifiche alle policy all'archivio dei log]

  • Non consentire modifiche alla configurazione del ciclo di vita per tutti i bucket Amazon S3 [In precedenza: impostare una politica di conservazione per l'archiviazione dei log]

AWSLa versione 2.7 di Control Tower include modifiche al blueprint della zona di atterraggio AWS Control Tower che possono causare incompatibilità con le versioni precedenti dopo l'aggiornamento alla 2.7.

  • In particolare, la versione 2.7 AWS di Control Tower abilita BlockPublicAccess automaticamente i bucket S3 distribuiti da Control TowerAWS. Puoi disattivare questa impostazione predefinita se il tuo carico di lavoro richiede l'accesso a più account. Per ulteriori informazioni su cosa succede con BlockPublicaccess enabled, consulta Bloccare l'accesso pubblico allo storage Amazon S3.

  • AWSLa versione 2.7 di Control Tower include un requisito perHTTPS. Tutte le richieste inviate ai bucket S3 distribuiti da AWS Control Tower devono utilizzare secure socket layer (). SSL Solo HTTPS le richieste possono essere inoltrate. Se utilizzi HTTP (withoutSSL) come endpoint per inviare le richieste, questa modifica genera un errore di accesso negato, che può potenzialmente interrompere il flusso di lavoro. Questa modifica non può essere ripristinata dopo l'aggiornamento 2.7 alla landing zone.

    Ti consigliamo di modificare le tue richieste per utilizzare TLS invece diHTTP.

Tre nuove AWS Regioni disponibili

8 aprile 2021

(Aggiornamento richiesto per la landing zone AWS del Control Tower)

AWSControl Tower è disponibile in tre versioni aggiuntive AWS Regioni: regione Asia Pacifico (Tokyo), regione Asia Pacifico (Seoul) e regione Asia Pacifico (Mumbai). È necessario un aggiornamento delle landing zone alla versione 2.7 per espandere la governance in queste regioni.

La tua landing zone non viene espansa automaticamente in queste regioni quando esegui l'aggiornamento alla versione 2.7, devi visualizzarle e selezionarle nella tabella Regioni per includerle.

Governa solo le regioni selezionate

19 febbraio 2021

(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)

AWSLa selezione della regione Control Tower offre una migliore capacità di gestire l'impronta geografica delle risorse della AWS Control Tower. Per ampliare il numero di regioni in cui offri ospitalità AWS risorse o carichi di lavoro, per motivi di conformità, normative, di costo o di altro tipo, ora puoi selezionare le regioni aggiuntive da gestire.

La selezione della regione è disponibile quando configuri una nuova landing zone o aggiorni la versione della landing zone AWS Control Tower. Quando si utilizza Account Factory per creare un nuovo account o registrare un account membro preesistente, o quando si utilizza Extend Governance per registrare gli account in un'unità organizzativa preesistente, Control Tower AWS implementa le sue funzionalità di governance di registrazione, monitoraggio e controlli centralizzati nelle Regioni prescelte negli account. Per ulteriori informazioni sulla selezione delle regioni, vedere. Configura le tue regioni AWS Control Tower

AWSControl Tower ora estende la governance all'esistenza OUs nel tuo AWS organizations

28 gennaio 2021

(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)

Estendi la governance alle unità organizzative esistenti (OUs) (quelle non presenti nella AWS Control Tower) dall'interno della console AWS Control Tower. Con questa funzionalità, puoi portare gli account di primo livello OUs e quelli inclusi sotto la governance di AWS Control Tower. Per informazioni sull'estensione della governance a un'intera unità organizzativa, consulta. Registra un'unità organizzativa esistente con AWS Control Tower

Quando si registra un'unità organizzativa, AWS Control Tower esegue una serie di controlli per garantire una corretta estensione della governance e della registrazione degli account all'interno dell'unità organizzativa. Per ulteriori informazioni sui problemi comuni associati alla registrazione iniziale di un'unità organizzativa, vedere. Cause comuni di errore durante la registrazione o la nuova registrazione

Puoi anche visitare la pagina web del prodotto AWS Control Tower o guardare questo video su come iniziare a usare AWS Control Tower per YouTube AWS Organizations.

AWSControl Tower fornisce aggiornamenti collettivi degli account

28 gennaio 2021

(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)

Con la funzionalità di aggiornamento in blocco, ora puoi aggiornare tutti gli account di un account registrato AWS Organizations unità organizzativa (OU) contenente fino a 300 account, con un solo clic, dalla dashboard AWS Control Tower. Ciò è particolarmente utile nei casi in cui si aggiorna la landing zone di AWS Control Tower e si devono aggiornare anche gli account registrati per allinearli alla versione corrente della landing zone.

Questa funzionalità consente inoltre di mantenere aggiornati gli account quando si aggiorna la landing zone di AWS Control Tower per espanderla in nuove regioni o quando si desidera registrare nuovamente un'unità organizzativa per assicurarsi che a tutti gli account in quella unità organizzativa siano applicati i controlli più recenti. L'aggiornamento in blocco dell'account elimina la necessità di aggiornare un account alla volta o di utilizzare uno script esterno per eseguire l'aggiornamento su più account.

Per informazioni sull'aggiornamento di una landing zone, vedereAggiorna la tua landing zone.

Per informazioni sulla registrazione o la nuova registrazione di un'unità organizzativa, vedere. Registra un'unità organizzativa esistente con AWS Control Tower