Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
gennaio - dicembre 2022
Nel 2022, AWS Control Tower ha rilasciato i seguenti aggiornamenti:
-
I controlli completi facilitano l'approvvigionamento e AWS la gestione delle risorse
-
Lo stato di conformità è visualizzabile per tutte le AWS Config regole
-
La pagina Organizzazione combina le visualizzazioni delle unità organizzative e degli account
-
Registrazione e aggiornamento semplificati per gli account dei singoli membri
-
AFT supporta la personalizzazione automatizzata per gli account AWS Control Tower condivisi
Operazioni simultanee sull'account
16 dicembre 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora supporta azioni simultanee in Account Factory. Puoi creare, aggiornare o registrare fino a cinque (5) account alla volta. Invia fino a cinque azioni in successione e visualizza lo stato di completamento di ogni richiesta, mentre i tuoi account finiscono di crescere in background. Ad esempio, non è più necessario attendere il completamento di ogni processo prima di aggiornare un altro account o prima di registrare nuovamente un'intera unità organizzativa (OU).
Personalizzazione Account Factory (AFC)
28 novembre 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
La personalizzazione dell'account factory consente di personalizzare account nuovi ed esistenti dall'interno della console AWS Control Tower. Queste nuove funzionalità di personalizzazione offrono la flessibilità necessaria per definire i blueprint degli account, ovvero AWS CloudFormation modelli contenuti in un prodotto Service Catalog specializzato. I blueprints forniscono risorse e configurazioni completamente personalizzate. Puoi anche scegliere di utilizzare blueprint predefiniti, creati e gestiti dai AWS partner, che ti aiutano a personalizzare gli account per casi d'uso specifici.
In precedenza, AWS Control Tower Account Factory non supportava la personalizzazione degli account nella console. Con questo aggiornamento di account factory, puoi predefinire i requisiti dell'account e implementarli come parte di un flusso di lavoro ben definito. Puoi applicare progetti per creare nuovi account, registrare altri account in AWS Control Tower e aggiornare AWS gli account AWS Control Tower esistenti.
Quando esegui il provisioning, registri o aggiorni un account in Account Factory, selezionerai il blueprint da implementare. Le risorse specificate nel blueprint vengono fornite nel tuo account. Al termine della creazione dell'account, tutte le configurazioni personalizzate sono immediatamente disponibili per l'uso.
Per iniziare a personalizzare gli account, puoi definire le risorse per il caso d'uso previsto in un prodotto Service Catalog. Puoi anche selezionare soluzioni gestite dai partner dalla AWS Getting Started Library. Per ulteriori informazioni, consulta Personalizza gli account con Account Factory Customization (AFC).
I controlli completi facilitano l'approvvigionamento e AWS la gestione delle risorse
28 novembre 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora supporta una gestione completa dei controlli, inclusi nuovi controlli proattivi opzionali, implementati tramite AWS CloudFormation hook. Questi controlli vengono definiti proattivi perché controllano le risorse, prima che vengano distribuite, per determinare se le nuove risorse siano conformi ai controlli attivati nell'ambiente.
Oltre 130 nuovi controlli proattivi ti aiutano a raggiungere obiettivi di policy specifici per il tuo ambiente AWS Control Tower, a soddisfare i requisiti dei framework di conformità standard del settore e a governare le interazioni AWS Control Tower su più di venti altri servizi. AWS
La libreria di controlli AWS Control Tower classifica questi controlli in base ai AWS servizi e alle risorse associati. Per maggiori dettagli, consulta Proactive controls.
Con questa versione, AWS Control Tower è inoltre integrato con AWS Security Hub, tramite il nuovo Security Hub Service-Managed Standard: AWS Control Tower, che supporta lo standard AWS Foundational Security Best Practices (FSBP). Puoi visualizzare oltre 160 controlli Security Hub insieme ai controlli AWS Control Tower nella console e ottenere un punteggio di sicurezza Security Hub per il tuo ambiente AWS Control Tower. Per ulteriori informazioni, consulta Controlli del Security Hub.
Lo stato di conformità è visualizzabile per tutte le AWS Config regole
18 novembre 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora mostra lo stato di conformità di tutte le AWS Config regole distribuite nelle unità organizzative registrate con AWS Control Tower. Puoi visualizzare lo stato di conformità di tutte le AWS Config regole che influiscono sui tuoi account in AWS Control Tower, registrati o annullati, senza dover uscire dalla console AWS Control Tower. I clienti possono scegliere di configurare le regole di Config, chiamate controlli investigativi, in AWS Control Tower o di configurarle direttamente tramite il AWS Config servizio. AWS Config Vengono mostrate le regole distribuite da, insieme alle regole distribuite da AWS Control Tower.
In precedenza, AWS Config le regole distribuite tramite il AWS Config servizio non erano visibili nella console AWS Control Tower. I clienti dovevano accedere al AWS Config servizio per identificare le regole non conformi AWS Config . Ora puoi identificare qualsiasi AWS Config regola non conforme all'interno della console AWS Control Tower. Per visualizzare lo stato di conformità di tutte le regole di Config, accedi alla pagina dei dettagli dell'account nella console AWS Control Tower. Verrà visualizzato un elenco che mostra lo stato di conformità dei controlli gestiti dalle regole di AWS Control Tower e Config distribuite all'esterno di AWS Control Tower.
API per i controlli e una nuova risorsa AWS CloudFormation
1 settembre 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora supporta la gestione programmatica dei controlli, noti anche come guardrail, tramite una serie di chiamate API. Una nuova AWS CloudFormation risorsa supporta la funzionalità API per i controlli. Per ulteriori dettagli, consulta Automatizza le attività in AWS Control Tower e Creazione di AWS Control Tower risorse con AWS CloudFormation.
Queste API consentono di abilitare, disabilitare e visualizzare lo stato dell'applicazione dei controlli nella libreria AWS Control Tower. Le API includono il supporto per AWS CloudFormation, quindi puoi gestire AWS le risorse come infrastructure-as-code (IaC). AWS Control Tower fornisce controlli preventivi e investigativi opzionali che esprimono le intenzioni delle policy relative a un'intera unità organizzativa (OU) e a ogni AWS account all'interno dell'unità organizzativa. Queste regole rimangono in vigore quando crei nuovi account o apporti modifiche agli account esistenti.
API incluse in questa versione
-
EnableControl— Questa chiamata API attiva un controllo. Avvia un'operazione asincrona che crea AWS risorse sull'unità organizzativa specificata e sugli account in essa contenuti.
-
DisableControl— Questa chiamata API disattiva un controllo. Avvia un'operazione asincrona che elimina AWS le risorse nell'unità organizzativa specificata e gli account in essa contenuti.
-
GetControlOperation— Restituisce lo stato di un particolare o di un'operazione. EnableControlDisableControl
-
ListEnabledControls— Elenca i controlli abilitati da AWS Control Tower sull'unità organizzativa specificata e gli account in essa contenuti.
Per visualizzare un elenco di nomi di controllo per i controlli opzionali, consulta Identificatori di risorse per API e controlli, nella AWS Control Tower User Guide.
CFct supporta l'eliminazione dei set di stack
26 agosto 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
Le personalizzazioni per AWS Control Tower (cFCT) ora supportano l'eliminazione di stack set, impostando un parametro nel file. manifest.yaml Per ulteriori informazioni, consulta Eliminazione di un set di stack.
Importante
Quando imposti inizialmente il valore di enable_stack_set_deletion totrue, la prossima volta che richiami cfCT, TUTTE le risorse che iniziano con il prefissoCustomControlTower-, a cui è associato il tag key e che non sono dichiarate nel file manifestKey:AWS_Solutions, Value: CustomControlTowerStackSet, vengono eliminate.
Conservazione personalizzata dei log
15 agosto 2022
(Aggiornamento richiesto per la landing zone di AWS Control Tower. Per informazioni, consultaAggiornamento della landing zone)
AWS Control Tower ora offre la possibilità di personalizzare la politica di conservazione per i bucket Amazon S3 che archiviano i log di AWS Control Tower. CloudTrail Puoi personalizzare la tua politica di conservazione dei log di Amazon S3, in incrementi di giorni o anni, fino a un massimo di 15 anni.
Se scegli di non personalizzare la conservazione dei log, le impostazioni predefinite sono 1 anno per la registrazione standard dell'account e 10 anni per la registrazione degli accessi.
Questa funzionalità è disponibile per i clienti esistenti tramite AWS Control Tower quando aggiorni o ripari la landing zone e per i nuovi clienti tramite il processo di configurazione di AWS Control Tower.
È disponibile la riparazione della deriva dei ruoli
11 agosto 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora supporta la riparazione per la deriva dei ruoli. Puoi ripristinare un ruolo richiesto senza una riparazione completa della landing zone. Se è necessaria una riparazione del drift di questo tipo, la pagina di errore della console fornisce i passaggi per ripristinare il ruolo, in modo che la landing zone sia nuovamente disponibile.
Landing zone di AWS Control Tower versione 3.0
29 luglio 2022
(Aggiornamento richiesto per la landing zone di AWS Control Tower alla versione 3.0. Per informazioni, consultaAggiornamento della landing zone)
La versione 3.0 della landing zone di AWS Control Tower include i seguenti aggiornamenti:
-
La possibilità di scegliere percorsi a livello di organizzazione o di rinunciare ai AWS CloudTrail CloudTrail percorsi gestiti da AWS Control Tower.
-
Due nuovi controlli investigativi per determinare se AWS CloudTrail sta registrando l'attività nei tuoi account.
-
L'opzione per aggregare AWS Config informazioni sulle risorse globali solo nella tua regione d'origine.
-
Un aggiornamento alla Region Deny Control.
-
Un aggiornamento della politica gestita, AWSControlTowerServiceRolePolicy.
-
Non creiamo più il ruolo IAM
aws-controltower-CloudWatchLogsRolee il gruppo di CloudWatch logaws-controltower/CloudTrailLogsin ogni account registrato. In precedenza, li creavamo in ogni account per il relativo account trail. Con gli itinerari organizzativi, ne creiamo solo uno nell'account di gestione.
Le seguenti sezioni forniscono maggiori dettagli su ogni nuova funzionalità.
CloudTrail Percorsi a livello di organizzazione in AWS Control Tower
Con la versione 3.0 di landing zone, AWS Control Tower ora supporta percorsi a livello di organizzazione AWS CloudTrail .
Quando aggiorni la landing zone di AWS Control Tower alla versione 3.0, hai la possibilità di selezionare AWS CloudTrail percorsi a livello di organizzazione come preferenza di registrazione o di disattivare i CloudTrail percorsi gestiti da AWS Control Tower. Quando esegui l'aggiornamento alla versione 3.0, AWS Control Tower elimina gli itinerari a livello di account esistenti per gli account registrati dopo un periodo di attesa di 24 ore. AWS Control Tower non elimina gli itinerari a livello di account per gli account non registrati. Nel caso improbabile che l'aggiornamento della landing zone non vada a buon fine, ma l'errore si verifichi dopo che AWS Control Tower ha già creato il trail a livello di organizzazione, potresti incorrere in addebiti duplicati per i trail a livello di organizzazione e account, fino a quando l'operazione di aggiornamento non sarà completata correttamente.
A partire dalla landing zone 3.0, AWS Control Tower non supporta più percorsi a livello di account che AWS gestiscono. Al contrario, AWS Control Tower crea un percorso a livello di organizzazione, attivo o inattivo, in base alla selezione effettuata.
Nota
Dopo l'aggiornamento alla versione 3.0 o successiva, non hai la possibilità di continuare con CloudTrail percorsi a livello di account gestiti da AWS Control Tower.
Nessun dato di registrazione viene perso dai log aggregati degli account, poiché i log rimangono nel bucket Amazon S3 esistente in cui sono archiviati. Vengono eliminati solo i percorsi, non i log esistenti. Se selezioni l'opzione per aggiungere percorsi a livello di organizzazione, AWS Control Tower apre un nuovo percorso verso una nuova cartella all'interno del bucket Amazon S3 e continua a inviare informazioni di registrazione a quella posizione. Se scegli di disattivare i percorsi gestiti da AWS Control Tower, i log esistenti rimangono nel bucket, invariati.
Convenzioni di denominazione dei percorsi per l'archiviazione dei log
-
I registri delle tracce degli account vengono archiviati con un percorso di questo formato:
/org id/AWSLogs/… -
I log degli itinerari organizzativi vengono archiviati con un percorso in questo formato:
/org id/AWSLogs/org id/…
Il percorso creato da AWS Control Tower per gli CloudTrail itinerari a livello di organizzazione è diverso dal percorso predefinito per un itinerario a livello di organizzazione creato manualmente, che avrebbe il seguente formato:
-
/AWSLogs/org id/…
Suggerimento
Se hai intenzione di creare e gestire percorsi a livello di account, ti consigliamo di creare i nuovi trail prima di completare l'aggiornamento alla versione 3.0 di AWS Control Tower landing zone, per iniziare subito a registrare.
In qualsiasi momento, puoi scegliere di creare nuovi percorsi a livello di account o di organizzazione e gestirli autonomamente CloudTrail. L'opzione di scegliere CloudTrail percorsi a livello di organizzazione gestiti da AWS Control Tower è disponibile durante qualsiasi aggiornamento delle landing zone alla versione 3.0 o successiva. Puoi attivare e disattivare i percorsi a livello di organizzazione ogni volta che aggiorni la tua landing zone.
Se i tuoi log sono gestiti da un servizio di terze parti, assicurati di fornire il nuovo nome del percorso al servizio.
Nota
Per le zone di atterraggio nella versione 3.0 o successiva, i AWS CloudTrail trail a livello di account non sono supportati da AWS Control Tower. Puoi creare e gestire percorsi a livello di account in qualsiasi momento oppure puoi optare per percorsi a livello di organizzazione gestiti da AWS Control Tower.
Registra le AWS Config risorse solo nella regione d'origine
Nella versione 3.0 della landing zone, AWS Control Tower ha aggiornato la configurazione di base in AWS Config modo da registrare le risorse globali solo nella regione di origine. Dopo l'aggiornamento alla versione 3.0, la registrazione delle risorse per le risorse globali è abilitata solo nella tua regione d'origine.
Questa configurazione è considerata una procedura consigliata. È consigliata da AWS Security Hub e AWS Config consente di risparmiare sui costi riducendo il numero di elementi di configurazione creati quando le risorse globali vengono create, modificate o eliminate. In precedenza, ogni volta che una risorsa globale veniva creata, aggiornata o eliminata, da un cliente o da un AWS servizio, veniva creato un elemento di configurazione per ogni elemento in ogni Regione governata.
Due nuovi controlli investigativi per la AWS CloudTrail registrazione
Come parte della modifica ai AWS CloudTrail percorsi a livello di organizzazione, AWS Control Tower sta introducendo due nuovi controlli di rilevamento che verificano se CloudTrail è abilitato. Il primo controllo è dotato di Indicazioni obbligatorie ed è abilitato sulla Security OU durante la configurazione o gli aggiornamenti delle landing zone della versione 3.0 e successive. Il secondo controllo include le linee guida fortemente consigliate e, facoltativamente, viene applicato a qualsiasi unità organizzativa diversa dall'unità organizzativa di sicurezza, sulla quale è già applicata la protezione di controllo obbligatoria.
Controllo obbligatorio: rileva se gli account condivisi nell'unità organizzativa Security hanno AWS CloudTrail o CloudTrail Lake è abilitato
Controllo fortemente consigliato: rileva se un account ha AWS CloudTrail o CloudTrail Lake è abilitato
Per ulteriori informazioni sui nuovi controlli, consulta la libreria di controlli AWS Control Tower.
Un aggiornamento alla Region Deny Control
Abbiamo aggiornato l'NotActionelenco nella sezione Region Deny Control per includere le azioni di alcuni servizi aggiuntivi, elencati di seguito:
“chatbot:*”, "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", “s3:GetStorageLensDashboard", “s3:ListStorageLensConfigurations” “s3:GetAccountPublicAccessBlock“,, “s3:PutAccountPublic", “s3:PutAccountPublicAccessBlock“,
Procedura guidata: video
Questo video (3:07) descrive come aggiornare la landing zone esistente di AWS Control Tower alla versione 3. Per una migliore visualizzazione, seleziona l'icona nell'angolo in basso a destra del video per ingrandirlo a schermo intero. È disponibile la didascalia.
La pagina Organizzazione combina le visualizzazioni delle unità organizzative e degli account
18 luglio 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)
La nuova pagina Organization in AWS Control Tower mostra una visualizzazione gerarchica di tutte le unità organizzative (OU) e gli account. Combina le informazioni delle pagine delle unità organizzative e degli account, che esistevano in precedenza.
Nella nuova pagina, è possibile visualizzare le relazioni tra le unità organizzative principali e le relative unità organizzative e account annidati. È possibile intervenire sui raggruppamenti di risorse. È possibile configurare la visualizzazione della pagina. Ad esempio, è possibile espandere o comprimere la visualizzazione gerarchica, filtrare la visualizzazione per visualizzare solo gli account o le unità organizzative, scegliere di visualizzare solo gli account registrati e le unità organizzative registrate oppure è possibile visualizzare gruppi di risorse correlate. È più facile garantire che l'intera organizzazione sia aggiornata correttamente.
Registrazione e aggiornamento semplificati per gli account dei singoli membri
31 maggio 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)
AWS Control Tower ora ti offre una migliore capacità di aggiornare e registrare gli account dei membri individualmente. Ogni account mostra quando è disponibile per un aggiornamento, così puoi assicurarti più facilmente che i tuoi account membro includano la configurazione più recente. Puoi aggiornare la landing zone, porre rimedio alla deriva dell'account o registrare un account in un'unità organizzativa registrata in pochi passaggi semplificati.
Quando aggiorni un account, non è necessario includere l'intera unità organizzativa (OU) di un account in ogni azione di aggiornamento. Di conseguenza, il tempo necessario per aggiornare un singolo account si riduce notevolmente.
Puoi registrare gli account nelle unità organizzative AWS Control Tower con ulteriore assistenza dalla console AWS Control Tower. Gli account esistenti che registri in AWS Control Tower devono comunque soddisfare i prerequisiti dell'account e devi aggiungere il AWSControlTowerExecution ruolo. Quindi, puoi scegliere qualsiasi unità organizzativa registrata e registrare l'account selezionando il pulsante Registra.
Abbiamo separato la funzionalità Registra account dal flusso di lavoro Crea account in account factory, per distinguere meglio questi processi simili e aiutarti a evitare errori di configurazione quando inserisci le informazioni sull'account.
AFT supporta la personalizzazione automatizzata per gli account AWS Control Tower condivisi
27 maggio 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)
Account Factory for Terraform (AFT) ora può personalizzare e aggiornare in modo programmatico tutti gli account gestiti da AWS Control Tower, inclusi l'account di gestione, l'account di audit e l'account di archiviazione dei log, insieme agli account registrati. Puoi centralizzare la personalizzazione dell'account e la gestione degli aggiornamenti, proteggendo al contempo la sicurezza delle configurazioni degli account, poiché sei tu a definire il ruolo che svolge il lavoro.
Il AWSAFTExecutionruolo esistente ora implementa personalizzazioni in tutti gli account. Puoi configurare autorizzazioni IAM con limiti che limitano l'accesso al AWSAFTExecutionruolo in base ai tuoi requisiti aziendali e di sicurezza. Puoi anche delegare a livello di codice le autorizzazioni di personalizzazione approvate in quel ruolo, per utenti fidati. Come procedura consigliata, si consiglia di limitare le autorizzazioni a quelle necessarie per implementare le personalizzazioni richieste.
AFT ora crea il nuovo AWSAFTServiceruolo per distribuire le risorse AFT in tutti gli account gestiti, inclusi gli account condivisi e l'account di gestione. Le risorse in precedenza venivano impiegate dal ruolo. AWSAFTExecution
Il provisioning degli account condivisi e di gestione di AWS Control Tower non viene fornito tramite Account Factory, quindi non sono inclusi i prodotti forniti corrispondenti. AWS Service Catalog Pertanto, non è possibile aggiornare gli account condivisi e di gestione in Service Catalog.
Operazioni simultanee per tutti i controlli opzionali
18 maggio 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower)
AWS Control Tower ora supporta operazioni simultanee per i controlli preventivi e per i controlli investigativi.
Con questa nuova funzionalità, qualsiasi controllo opzionale ora può essere applicato o rimosso contemporaneamente, migliorando così la facilità d'uso e le prestazioni di tutti i controlli opzionali. È possibile abilitare più controlli opzionali senza attendere il completamento delle singole operazioni di controllo. Gli unici orari limitati sono quelli in cui AWS Control Tower è in fase di configurazione della landing zone o durante l'estensione della governance a una nuova organizzazione.
Funzionalità supportate per i controlli preventivi:
-
Applica e rimuovi controlli preventivi diversi sulla stessa unità organizzativa.
-
Applica e rimuovi controlli preventivi diversi su diverse unità organizzative, contemporaneamente.
-
Applica e rimuovi lo stesso controllo preventivo su più unità organizzative contemporaneamente.
-
È possibile applicare e rimuovere qualsiasi controllo preventivo e investigativo contemporaneamente.
Puoi sperimentare questi miglioramenti della concorrenza di controllo in tutte le versioni rilasciate di AWS Control Tower.
Quando si applicano controlli preventivi alle unità organizzative annidate, i controlli preventivi influiscono su tutti gli account e le unità organizzative annidate nell'unità organizzativa di destinazione, anche se tali account e unità organizzative non sono registrati presso AWS Control Tower. I controlli preventivi vengono implementati utilizzando le Service Control Policies (SCP), che fanno parte di. AWS Organizations I controlli investigativi vengono implementati utilizzando AWS Config regole. I guardrail rimangono in vigore quando crei nuovi account o apporti modifiche agli account esistenti e AWS Control Tower fornisce un rapporto riepilogativo di come ogni account è conforme alle policy abilitate. Per un elenco completo dei controlli disponibili, consulta la libreria di controlli AWS Control Tower.
Account di sicurezza e registrazione esistenti
16 maggio 2022
(Disponibile durante la configurazione iniziale).
AWS Control Tower ora offre la possibilità di specificare un AWS account esistente come account di sicurezza o di registrazione di AWS Control Tower durante il processo di configurazione iniziale della landing zone. Questa opzione elimina la necessità per AWS Control Tower di creare nuovi account condivisi. L'account di sicurezza, denominato di default account Audit, è un account con restrizioni che consente ai team di sicurezza e conformità di accedere a tutti gli account nella landing zone. L'account di registrazione, chiamato per impostazione predefinita account Log Archive, funziona come un repository. Memorizza i registri delle attività delle API e delle configurazioni delle risorse da tutti gli account nella landing zone.
Integrando gli account di sicurezza e registrazione esistenti, è più facile estendere la governance di AWS Control Tower alle organizzazioni esistenti o passare ad AWS Control Tower da una landing zone alternativa. L'opzione per utilizzare gli account esistenti viene visualizzata durante la configurazione iniziale della landing zone. Include controlli durante il processo di configurazione, che garantiscono una corretta implementazione. AWS Control Tower implementa i ruoli e i controlli necessari sugli account esistenti. Non rimuove o unisce risorse o dati esistenti in questi account.
Limitazione: se prevedi di portare AWS account esistenti in AWS Control Tower come account di audit e archiviazione dei log e se tali account dispongono di AWS Config risorse esistenti, devi eliminare le AWS Config risorse esistenti prima di poterli registrare in AWS Control Tower.
Landing zone di AWS Control Tower versione 2.9
22 aprile 2022
(Aggiornamento richiesto per la landing zone di AWS Control Tower alla versione 2.9. Per informazioni, consultaAggiornamento della landing zone)
La versione 2.9 della landing zone di AWS Control Tower aggiorna il server di inoltro di notifiche Lambda per utilizzare il runtime Python versione 3.9. Questo aggiornamento risolve il problema della deprecazione della versione 3.6 di Python, prevista per luglio 2022. Per le informazioni più recenti, consulta la pagina di deprecazione di Python.
Landing zone di AWS Control Tower versione 2.8
10 febbraio 2022
(Aggiornamento richiesto per la landing zone di AWS Control Tower alla versione 2.8. Per informazioni, consultaAggiornamento della landing zone)
La versione 2.8 della landing zone di AWS Control Tower aggiunge funzionalità in linea con i recenti aggiornamenti alle AWS Foundational Security Best Practices.
In questa versione:
-
La registrazione degli accessi è configurata per il bucket di log di accesso nell'account Log Archive, per tenere traccia dell'accesso al bucket di log di accesso S3 esistente.
-
È stato aggiunto il supporto per la politica del ciclo di vita. Il log di accesso per il bucket di log di accesso S3 esistente è impostato su un periodo di conservazione predefinito di 10 anni.
-
Inoltre, questa versione aggiorna AWS Control Tower per utilizzare il AWS Service Linked Role (SLR) fornito da AWS Config, in tutti gli account gestiti (escluso l'account di gestione), in modo da poter configurare e gestire le regole di Config in base alle migliori pratiche AWS Config . I clienti che non effettuano l'upgrade continueranno a utilizzare il ruolo esistente.
-
Questa versione semplifica il processo di configurazione di AWS Control Tower KMS per la crittografia AWS Config dei dati e migliora la relativa messaggistica di stato. CloudTrail
-
La versione include un aggiornamento alla Region Deny Control, per consentire l'utilizzo della funzionalità.
route53-application-recoveryus-west-2 -
Aggiornamento: il 15 febbraio 2022, abbiamo rimosso la coda delle lettere morte per le funzioni AWS Lambda.
Ulteriori dettagli:
-
Se disattivi una landing zone, AWS Control Tower non rimuove il ruolo collegato al AWS Config servizio.
-
Se esegui il deprovisioning di un account Account Factory, AWS Control Tower non rimuove il ruolo collegato al AWS Config servizio.
Per aggiornare la tua landing zone alla versione 2.8, vai alla pagina delle impostazioni della zona di atterraggio, seleziona la versione 2.8, quindi scegli Aggiorna. Dopo aver aggiornato la landing zone, devi aggiornare tutti gli account governati da AWS Control Tower, come indicato inGestione degli aggiornamenti di configurazione in AWS Control Tower.
