gennaio - dicembre 2021 - AWS Control Tower
Funzionalità di negazione della regioneFunzionalità di residenza dei datiAWS Control Tower introduce il provisioning e la personalizzazione degli account TerraformNuovo evento sul ciclo di vita disponibileAWS Control Tower abilita il nested OUsDetective controlla la concorrenzaSono disponibili due nuove regioniDeselezione della regioneAWS Control Tower funziona con i sistemi di gestione delle AWS chiaviControlli rinominati, funzionalità invariataAWS Control Tower esegue scansioni SCPs giornaliere per verificare eventuali deviazioniNomi e account personalizzati OUs Landing zone di AWS Control Tower versione 2.7Tre nuove AWS regioni disponibiliGoverna solo le regioni selezionateAWS Control Tower ora estende la governance OUs alle AWS organizzazioni esistentiAWS Control Tower fornisce aggiornamenti in blocco degli account

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

gennaio - dicembre 2021

Nel 2021, AWS Control Tower ha rilasciato i seguenti aggiornamenti:

Funzionalità di negazione della regione

30 novembre 2021

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ora offre funzionalità Region Deny, che ti aiutano a limitare l'accesso ai AWS servizi e alle operazioni per gli account registrati nel tuo ambiente AWS Control Tower. La funzionalità Region Deny integra le funzionalità di selezione e deselezione della regione esistenti in AWS Control Tower. Insieme, queste funzionalità ti aiutano a risolvere i problemi di conformità e regolamentazione, bilanciando al contempo i costi associati all'espansione in altre regioni.

Ad esempio, AWS i clienti in Germania possono negare l'accesso ai servizi in regioni AWS al di fuori della regione di Francoforte. Puoi selezionare regioni con restrizioni durante il processo di configurazione di AWS Control Tower o nella pagina delle impostazioni della zona di atterraggio. La funzionalità Region Deny è disponibile quando aggiorni la versione della landing zone di AWS Control Tower. Alcuni AWS servizi sono esenti dalle funzionalità Region Deny. Per ulteriori informazioni, consulta Configurare il Region Deny Control.

Funzionalità di residenza dei dati

30 novembre 2021

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)

AWS Control Tower ora offre controlli appositamente progettati per garantire che i dati dei clienti caricati AWS sui servizi si trovino solo nelle AWS regioni specificate. Puoi selezionare la AWS regione o le regioni in cui i dati dei clienti vengono archiviati ed elaborati. Per un elenco completo delle AWS regioni in cui è disponibile AWS Control Tower, consulta la tabella delle AWS regioni.

Per un controllo granulare, puoi applicare controlli aggiuntivi, come Impedire connessioni Amazon Virtual Private Network (VPN) o Non consentire l'accesso a Internet per un'istanza Amazon VPC. Puoi visualizzare lo stato di conformità dei controlli nella console AWS Control Tower. Per un elenco completo dei controlli disponibili, consulta la libreria di controlli AWS Control Tower.

AWS Control Tower introduce il provisioning e la personalizzazione degli account Terraform

29 novembre 2021

(Aggiornamento opzionale per la landing zone di AWS Control Tower)

Ora puoi utilizzare Terraform per fornire e aggiornare account personalizzati tramite AWS Control Tower, con AWS Control Tower Account Factory for Terraform (AFT).

AFT fornisce un'unica pipeline Terraform infrastructure as code (IaC), che fornisce gli account gestiti da AWS Control Tower. Le personalizzazioni durante il provisioning aiutano a soddisfare le politiche aziendali e di sicurezza, prima di fornire gli account agli utenti finali.

La pipeline di creazione automatica degli account AFT monitora fino al completamento del provisioning dell'account, quindi continua, attivando moduli Terraform aggiuntivi che migliorano l'account con le personalizzazioni necessarie. Come parte aggiuntiva del processo di personalizzazione, puoi configurare la pipeline per installare i tuoi moduli Terraform personalizzati e puoi scegliere di aggiungere una qualsiasi delle opzioni di funzionalità AFT, fornite da per le personalizzazioni comuni. AWS

Inizia a usare AWS Control Tower Account Factory for Terraform seguendo i passaggi forniti nella Guida per l'utente di AWS Control Tower e scaricando AFT per la tua istanza Terraform. Implementa AWS Control Tower Account Factory per Terraform (AFT) AFT supporta le distribuzioni Terraform Cloud, Terraform Enterprise e Terraform Open Source.

Nuovo evento sul ciclo di vita disponibile

18 novembre 2021

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)

L'PrecheckOrganizationalUnitevento registra se alcune risorse impediscono il successo dell'attività di governance Extend, incluse le risorse in OUs nested. Per ulteriori informazioni, consulta PrecheckOrganizationalUnit.

AWS Control Tower abilita il nested OUs

16 novembre 2021

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)

AWS Control Tower ora ti consente di includere nested OUs come parte della tua landing zone.

AWS Control Tower fornisce supporto per unità organizzative annidate (OUs), che consentono di organizzare gli account in più livelli gerarchici e di applicare i controlli preventivi gerarchicamente. Puoi registrare contenuti OUs annidati OUs, creare e registrare OUs sotto parent e abilitare i controlli su qualsiasi unità organizzativa registrata OUs, indipendentemente dalla profondità. Per supportare questa funzionalità, la console mostra il numero di account gestiti e OUs.

Con nested OUs, puoi allineare la tua AWS Control Tower OUs alla strategia AWS multi-account e ridurre il tempo necessario per abilitare i controlli su più account OUs, applicando i controlli a livello di unità organizzativa principale.

Considerazioni chiave

  1. Puoi registrare un'unità organizzativa esistente a più livelli OUs con AWS Control Tower un'unità organizzativa alla volta, iniziando dall'unità organizzativa di primo livello e poi procedendo verso il basso. Per ulteriori informazioni, consulta Espandi da una struttura OU piatta a una struttura OU annidata.

  2. Gli account direttamente collegati a un'unità organizzativa registrata vengono registrati automaticamente. Gli account più in basso nell'albero possono essere registrati registrando l'unità organizzativa principale diretta.

  3. I controlli preventivi (SCPs) vengono ereditati automaticamente nella gerarchia; SCPs applicati all'elemento principale vengono ereditati da tutti gli utenti annidati. OUs

  4. I controlli Detective (regole di AWS Config) NON vengono ereditati automaticamente.

  5. La conformità ai controlli investigativi viene segnalata da ciascuna unità organizzativa.

  6. La deriva di SCP su un'unità organizzativa influisce su tutti gli OUs account e su di essa.

  7. Non è possibile crearne di nuovi OUs annidati nella Security OU (Core OU).

Detective controlla la concorrenza

5 novembre 2021

(Aggiornamento opzionale per la landing zone di AWS Control Tower)

I controlli investigativi di AWS Control Tower ora supportano operazioni simultanee per i controlli investigativi, migliorando la facilità d'uso e le prestazioni. Puoi abilitare più controlli investigativi senza attendere il completamento delle singole operazioni di controllo.

Funzionalità supportate:

  • Abilita diversi controlli di rilevamento sulla stessa unità organizzativa (ad esempio, rileva se l'MFA per l'utente root è abilitata e rileva se è consentito l'accesso pubblico in scrittura ai bucket Amazon S3).

  • Abilita diversi controlli investigativi su diversi OUs sistemi contemporaneamente.

  • La messaggistica di errore di Guardrail è stata migliorata per fornire ulteriori indicazioni per le operazioni di controllo simultaneo supportate.

Non supportato in questa versione:

  • L'attivazione dello stesso controllo investigativo su più controlli OUs simultanei non è supportata.

  • La concorrenza del controllo preventivo non è supportata.

Puoi sperimentare i miglioramenti della concorrenza del controllo investigativo in tutte le versioni di AWS Control Tower. Si consiglia ai clienti che non utilizzano attualmente la versione 2.7 di eseguire un aggiornamento della landing zone per sfruttare altre funzionalità, come la selezione e la deselezione della regione, disponibili nella versione più recente.

Sono disponibili due nuove regioni

29 luglio 2021

(Aggiornamento richiesto per la landing zone di AWS Control Tower)

AWS Control Tower è ora disponibile in due AWS regioni aggiuntive: Sud America (San Paolo) ed Europa (Parigi). Questo aggiornamento estende la disponibilità di AWS Control Tower a 15 AWS regioni.

Se non conosci AWS Control Tower, puoi avviarlo subito in una qualsiasi delle regioni supportate. Durante il lancio, puoi selezionare le regioni in cui desideri che AWS Control Tower crei e gestisca il tuo ambiente multi-account.

Se disponi già di un ambiente AWS Control Tower e desideri estendere o rimuovere le funzionalità di governance di AWS Control Tower in una o più regioni supportate, vai alla pagina delle impostazioni della Landing Zone nella dashboard di AWS Control Tower, quindi seleziona le regioni. Dopo aver aggiornato la landing zone, devi aggiornare tutti gli account governati da AWS Control Tower.

Deselezione della regione

29 luglio 2021

(Aggiornamento opzionale per la landing zone di AWS Control Tower)

La deselezione della regione AWS Control Tower migliora la capacità di gestire l'impronta geografica delle risorse AWS Control Tower. Puoi deselezionare le regioni che non desideri più siano gestite da AWS Control Tower. Questa funzionalità offre la possibilità di affrontare i problemi di conformità e regolamentazione, bilanciando al contempo i costi associati all'espansione in altre regioni.

La deselezione della regione è disponibile quando aggiorni la versione della landing zone di AWS Control Tower.

Quando usi Account Factory per creare un nuovo account o registrare un account membro preesistente, o quando selezioni Extend Governance per registrare gli account in un'unità organizzativa preesistente, AWS Control Tower implementa le sue funzionalità di governance, che includono registrazione, monitoraggio e controlli centralizzati, nelle regioni prescelte negli account. La scelta di deselezionare una regione e rimuovere la governance di AWS Control Tower da quella regione rimuove tale funzionalità di governance, ma non inibisce la capacità degli utenti di distribuire AWS risorse o carichi di lavoro in quelle regioni.

AWS Control Tower funziona con i sistemi di gestione delle AWS chiavi

28 luglio 2021

(Aggiornamento opzionale per la landing zone di AWS Control Tower)

AWS Control Tower offre la possibilità di utilizzare una AWS chiave Key Management Service (AWS KMS). Una chiave viene fornita e gestita da te per proteggere i servizi distribuiti da AWS Control Tower AWS CloudTrail AWS Config, inclusi i dati Amazon S3 associati. AWS La crittografia KMS è un livello avanzato di crittografia rispetto alla crittografia SSE-S3 che AWS Control Tower utilizza per impostazione predefinita.

L'integrazione del supporto AWS KMS in AWS Control Tower è in linea con le AWS Foundational Security Best Practices, che consigliano un ulteriore livello di sicurezza per i file di log sensibili. È necessario utilizzare chiavi AWS gestite da KMS (SSE-KMS) per la crittografia a riposo. AWS Il supporto per la crittografia KMS è disponibile quando configuri una nuova landing zone o quando aggiorni la landing zone AWS Control Tower esistente.

Per configurare questa funzionalità, puoi selezionare KMS Key Configuration durante la configurazione iniziale della landing zone. Puoi scegliere una chiave KMS esistente oppure puoi selezionare un pulsante che ti indirizza alla console AWS KMS per crearne una nuova. Hai anche la flessibilità di passare dalla crittografia predefinita a SSE-KMS o a una chiave SSE-KMS diversa.

Per una landing zone AWS Control Tower esistente, puoi eseguire un aggiornamento per iniziare a utilizzare le chiavi AWS KMS.

Controlli rinominati, funzionalità invariata

26 luglio 2021

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)

AWS Control Tower sta rivedendo alcuni nomi e descrizioni dei controlli per rispecchiare meglio le intenzioni politiche del controllo. I nomi e le descrizioni rivisti ti aiutano a comprendere in modo più intuitivo i modi in cui i controlli incorporano le politiche dei tuoi account. Ad esempio, abbiamo cambiato parte dei nomi dei controlli investigativi da «Non consentire» a «Rileva» perché il controllo investigativo di per sé non blocca un'azione specifica, rileva solo le violazioni delle norme e fornisce avvisi tramite la dashboard.

La funzionalità di controllo, le linee guida e l'implementazione rimangono invariate. Sono stati modificati solo i nomi e le descrizioni dei controlli.

AWS Control Tower esegue scansioni SCPs giornaliere per verificare eventuali deviazioni

11 maggio 2021

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)

AWS Control Tower ora esegue scansioni automatiche giornaliere dei SCPs dati gestiti per verificare che i controlli corrispondenti siano applicati correttamente e che non abbiano subito variazioni. Se una scansione rileva una deviazione, riceverai una notifica. AWS Control Tower invia una sola notifica per problema di deriva, quindi se la tua landing zone è già in stato di deriva, non riceverai notifiche aggiuntive a meno che non venga trovato un nuovo elemento di drift.

Nomi e account personalizzati OUs

16 aprile 2021

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)

AWS Control Tower ora consente di personalizzare la denominazione delle landing zone. Puoi mantenere i nomi consigliati da AWS Control Tower per le unità organizzative (OUs) e gli account principali oppure puoi modificare questi nomi durante il processo di configurazione iniziale della landing zone.

I nomi predefiniti forniti da AWS Control Tower per OUs gli account principali corrispondono alle linee guida sulle best practice per AWS più account. Tuttavia, se la tua azienda ha politiche di denominazione specifiche o se hai già un'unità organizzativa o un account esistente con lo stesso nome consigliato, la nuova funzionalità di denominazione delle unità organizzative e degli account ti offre la flessibilità necessaria per affrontare tali vincoli.

Oltre a modificare il flusso di lavoro durante la configurazione, l'unità organizzativa precedentemente nota come unità organizzativa principale è ora denominata Security OU e l'unità organizzativa precedentemente nota come unità organizzativa personalizzata è ora denominata Sandbox OU. Abbiamo apportato questa modifica per migliorare il nostro allineamento alle linee guida generali sulle migliori pratiche per la denominazione. AWS

I nuovi clienti vedranno questi nuovi nomi di unità organizzative. I clienti esistenti continueranno a vederne i nomi originali OUs. È possibile che si verifichino alcune incongruenze nella denominazione delle unità organizzative durante l'aggiornamento della documentazione con i nuovi nomi.

Per iniziare a usare AWS Control Tower dalla Console di AWS gestione, vai alla console AWS Control Tower e seleziona Configura la zona di atterraggio in alto a destra. Per ulteriori informazioni, puoi leggere come pianificare la tua landing zone di AWS Control Tower.

Landing zone di AWS Control Tower versione 2.7

8 aprile 2021

(Aggiornamento richiesto per la landing zone di AWS Control Tower alla versione 2.7. Per informazioni, consultaAggiorna la tua landing zone)

Con la versione 2.7 di AWS Control Tower, AWS Control Tower introduce quattro nuovi controlli preventivi obbligatori di Log Archive che implementano policy esclusivamente sulle risorse AWS Control Tower. Abbiamo modificato le linee guida su quattro controlli di Log Archive esistenti da obbligatori a facoltativi, poiché stabiliscono policy per le risorse esterne a AWS Control Tower. Questa modifica ed espansione del controllo offre la possibilità di separare la governance di Log Archive per le risorse all'interno di AWS Control Tower dalla governance delle risorse esterne ad AWS Control Tower.

I quattro controlli modificati possono essere utilizzati insieme ai nuovi controlli obbligatori per fornire la governance a un set più ampio di archivi di AWS log. Gli ambienti AWS Control Tower esistenti manterranno questi quattro controlli modificati abilitati automaticamente, per garantire la coerenza dell'ambiente; tuttavia, questi controlli opzionali ora possono essere disabilitati. I nuovi ambienti AWS Control Tower devono abilitare tutti i controlli opzionali. Gli ambienti esistenti devono disabilitare i controlli precedentemente obbligatori prima di aggiungere la crittografia ai bucket Amazon S3 che non sono distribuiti da AWS Control Tower.

Nuovi controlli obbligatori:

  • Impedisci modifiche alla configurazione di crittografia per i bucket S3 creati da AWS Control Tower in Log Archive

  • Impedisci modifiche alla configurazione di registrazione per i bucket S3 creati da AWS Control Tower in Log Archive

  • Impedisci modifiche alla policy sui bucket per i bucket S3 creati da AWS Control Tower in Log Archive

  • Impedisci modifiche alla configurazione del ciclo di vita per i bucket S3 creati da AWS Control Tower in Log Archive

La guida è stata modificata da obbligatoria a facoltativa:

  • Non consentire modifiche alla configurazione di crittografia per tutti i bucket Amazon S3 [in precedenza: Abilita la crittografia a riposo per l'archiviazione dei log]

  • Non consentire modifiche alla configurazione di registrazione per tutti i bucket Amazon S3 [in precedenza: Abilita la registrazione degli accessi per l'archiviazione dei log]

  • Non consentire modifiche alla policy sui bucket per tutti i bucket Amazon S3 [in precedenza: non consentire modifiche alle policy all'archivio dei log]

  • Non consentire modifiche alla configurazione del ciclo di vita per tutti i bucket Amazon S3 [In precedenza: impostare una politica di conservazione per l'archiviazione dei log]

La versione 2.7 di AWS Control Tower include modifiche al blueprint delle landing zone di AWS Control Tower che possono causare incompatibilità con le versioni precedenti dopo l'aggiornamento alla 2.7.

  • In particolare, la versione 2.7 di AWS Control Tower abilita BlockPublicAccess automaticamente i bucket S3 distribuiti da AWS Control Tower. Puoi disattivare questa impostazione predefinita se il tuo carico di lavoro richiede l'accesso a più account. Per ulteriori informazioni su cosa succede con BlockPublicaccess enabled, consulta Bloccare l'accesso pubblico allo storage Amazon S3.

  • La versione 2.7 di AWS Control Tower include un requisito per HTTPS. Tutte le richieste inviate ai bucket S3 distribuiti da AWS Control Tower devono utilizzare Secure Socket Layer (SSL). È consentito il passaggio solo delle richieste HTTPS. Se utilizzi HTTP (senza SSL) come endpoint per inviare le richieste, questa modifica genera un errore di accesso negato, che può potenzialmente interrompere il flusso di lavoro. Questa modifica non può essere ripristinata dopo l'aggiornamento 2.7 alla landing zone.

    Ti consigliamo di modificare le tue richieste per utilizzare TLS anziché HTTP.

Tre nuove AWS regioni disponibili

8 aprile 2021

(Aggiornamento richiesto per la landing zone di AWS Control Tower)

AWS Control Tower è disponibile in tre AWS regioni aggiuntive: regione Asia Pacifico (Tokyo), regione Asia Pacifico (Seoul) e regione Asia Pacifico (Mumbai). È necessario un aggiornamento delle landing zone alla versione 2.7 per espandere la governance in queste regioni.

La tua landing zone non viene espansa automaticamente in queste regioni quando esegui l'aggiornamento alla versione 2.7, devi visualizzarle e selezionarle nella tabella Regioni per includerle.

Governa solo le regioni selezionate

19 febbraio 2021

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)

La selezione della regione AWS Control Tower offre una migliore capacità di gestire l'impronta geografica delle risorse AWS Control Tower. Per ampliare il numero di regioni in cui ospitare AWS risorse o carichi di lavoro, per motivi di conformità, normative, di costo o per altri motivi, ora puoi selezionare le regioni aggiuntive da governare.

La selezione della regione è disponibile quando configuri una nuova landing zone o aggiorni la versione della landing zone di AWS Control Tower. Quando usi Account Factory per creare un nuovo account o registrare un account membro preesistente, o quando usi Extend Governance per registrare account in un'unità organizzativa preesistente, AWS Control Tower implementa le sue funzionalità di governance di registrazione, monitoraggio e controllo centralizzati nelle regioni prescelte negli account. Per ulteriori informazioni sulla selezione delle regioni, consulta. Configura le tue regioni AWS Control Tower

AWS Control Tower ora estende la governance OUs alle AWS organizzazioni esistenti

28 gennaio 2021

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)

Estendi la governance alle unità organizzative esistenti (OUs) (quelle non presenti in AWS Control Tower) dall'interno della console AWS Control Tower. Con questa funzionalità, puoi portare account di alto livello OUs e inclusi sotto la governance di AWS Control Tower. Per informazioni sull'estensione della governance a un'intera unità organizzativa, consulta. Registra un'unità organizzativa esistente con AWS Control Tower

Quando registri un'unità organizzativa, AWS Control Tower esegue una serie di controlli per garantire una corretta estensione della governance e della registrazione degli account all'interno dell'unità organizzativa. Per ulteriori informazioni sui problemi comuni associati alla registrazione iniziale di un'unità organizzativa, consulta. Cause comuni di errore durante la registrazione o la nuova registrazione

Puoi anche visitare la pagina web del prodotto AWS Control Tower o guardare questo video su come iniziare YouTube a usare AWS Control Tower for AWS Organizations.

AWS Control Tower fornisce aggiornamenti in blocco degli account

28 gennaio 2021

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)

Con la funzionalità di aggiornamento in blocco, ora puoi aggiornare tutti gli account in un'unità AWS Organizations organizzativa (OU) registrata contenente fino a 300 account, con un solo clic, dalla dashboard di AWS Control Tower. Ciò è particolarmente utile nei casi in cui si aggiorna la landing zone di AWS Control Tower e si devono aggiornare anche gli account registrati per allinearli alla versione corrente della landing zone.

Questa funzionalità ti aiuta anche a mantenere aggiornati i tuoi account quando aggiorni la landing zone di AWS Control Tower per espanderla in nuove regioni o quando desideri registrare nuovamente un'unità organizzativa per assicurarti che a tutti gli account in quell'unità organizzativa siano applicati i controlli più recenti. L'aggiornamento in blocco dell'account elimina la necessità di aggiornare un account alla volta o di utilizzare uno script esterno per eseguire l'aggiornamento su più account.

Per informazioni sull'aggiornamento di una landing zone, vedereAggiorna la tua landing zone.

Per informazioni sulla registrazione o la nuova registrazione di un'unità organizzativa, vedere. Registra un'unità organizzativa esistente con AWS Control Tower