Gennaio 2023 - Presente - AWS Control Tower
Transizione a un nuovo tipo di prodotto AWS Service Catalog esterno (fase 3)Landing zone di AWS Control Tower versione 3.3Transizione a un nuovo tipo di prodotto AWS Service Catalog esterno (fase 2)AWS Control Tower annuncia i controlli per favorire la sovranità digitaleAWS Control Tower supporta le API delle landing zoneAWS Control Tower supporta l'etichettatura per i controlli abilitatiAWS Control Tower disponibile nella regione Asia Pacifico (Melbourne)Transizione a un nuovo tipo di prodotto AWS Service Catalog esterno (fase 1)Nuova API di controllo disponibileAWS Control Tower aggiunge controlli aggiuntiviNuovo tipo di deriva segnalato: accesso affidabile disabilitatoQuattro aggiuntivi Regioni AWSAWS Control Tower disponibile nella regione di Tel AvivAWS Control Tower lancia 28 nuovi controlli proattiviAWS Control Tower rende obsoleti due controlliLanding zone di AWS Control Tower versione 3.2AWS Control Tower gestisce gli account in base all'IDControlli di rilevamento aggiuntivi di Security Hub disponibili nella libreria di controlli AWS Control TowerAWS Control Tower pubblica tabelle di metadati di controlloSupporto Terraform per la personalizzazione di Account FactoryAWS Autogestione dell'IAM Identity Center disponibile per la landing zoneAWS Control Tower affronta la governance mista per le unità organizzativeSono disponibili controlli proattivi aggiuntiviControlli proattivi Amazon EC2 aggiornatiRegioni AWS Ne sono disponibili sette aggiuntive Tracciamento delle richieste di personalizzazione dell'account Account Factory for Terraform (AFT) Landing zone di AWS Control Tower versione 3.1Controlli proattivi generalmente disponibili

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gennaio 2023 - Presente

Da gennaio 2023, AWS Control Tower ha rilasciato i seguenti aggiornamenti:

Transizione a un nuovo tipo di prodotto AWS Service Catalog esterno (fase 3)

14 dicembre 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower non supporta più Terraform Open Source come tipo di prodotto (blueprint) durante la creazione di nuovi. Account AWS Per ulteriori informazioni e istruzioni sull'aggiornamento dei blueprint del tuo account, consulta Transition to the AWS Service Catalog External product type.

Se non aggiorni i blueprint del tuo account per utilizzare il tipo di prodotto esterno, puoi solo aggiornare o chiudere gli account a cui hai fornito il provisioning utilizzando i blueprint Terraform Open Source.

Landing zone di AWS Control Tower versione 3.3

14 dicembre 2023

(Aggiornamento richiesto per la landing zone di AWS Control Tower alla versione 3.3. Per informazioni, consultaAggiornamento della landing zone).

Aggiornamenti alla policy sui bucket S3 nell'account AWS Control Tower Audit

Abbiamo modificato la policy dei bucket di Amazon S3 Audit che AWS Control Tower distribuisce negli account, in modo da soddisfare una aws:SourceOrgID condizione per qualsiasi autorizzazione di scrittura. Con questa versione, AWS i servizi hanno accesso alle tue risorse solo quando la richiesta proviene dalla tua organizzazione o unità organizzativa (OU).

Puoi utilizzare la chiave di aws:SourceOrgID condizione e impostare il valore dell'ID dell'organizzazione nell'elemento condition della tua policy sui bucket S3. Questa condizione garantisce che CloudTrail solo i log possano scrivere log per conto degli account all'interno dell'organizzazione nel bucket S3; impedisce ai CloudTrail log esterni all'organizzazione di scrivere nel bucket AWS Control Tower S3.

Abbiamo apportato questa modifica per porre rimedio a una potenziale vulnerabilità di sicurezza, senza influire sulla funzionalità dei carichi di lavoro esistenti. Per visualizzare la politica aggiornata, consulta. Policy sui bucket di Amazon S3 nell'account di controllo

Per ulteriori informazioni sulla nuova chiave di condizione, consulta la documentazione IAM e il post sul blog IAM intitolato "Use scalable controls for AWS services access your resources».

Aggiornamenti alla policy nell'argomento AWS Config SNS

Abbiamo aggiunto la nuova chiave di aws:SourceOrgID condizione alla politica per l'argomento AWS Config SNS. Per visualizzare la politica aggiornata, consulta La politica sull'argomento SNS. AWS Config

Aggiornamenti alla landing zone Region Deny control

  • Rimosso. discovery-marketplace: Questa azione è coperta dall'aws-marketplace:*esenzione.

  • Aggiunto quicksight:DescribeAccountSubscription

Modello aggiornato AWS CloudFormation

Abbiamo aggiornato il AWS CloudFormation modello per lo stack denominato BASELINE-CLOUDTRAIL-MASTER in modo che non mostri variazioni quando non viene utilizzata AWS KMS la crittografia.

Transizione a un nuovo tipo di prodotto AWS Service Catalog esterno (fase 2)

7 dicembre 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

HashiCorp ha aggiornato le licenze Terraform. Di conseguenza, AWS Service Catalog ha modificato il supporto per i prodotti Terraform Open Source e ha fornito i prodotti a un nuovo tipo di prodotto, chiamato External.

Per evitare interruzioni dei carichi di lavoro e AWS delle risorse esistenti nei tuoi account, segui le fasi di transizione di AWS Control Tower in Transition to the AWS Service Catalog External di tipo di prodotto entro il 14 dicembre 2023.

AWS Control Tower annuncia i controlli per favorire la sovranità digitale

27 novembre 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower annuncia 65 nuovi controlli AWS gestiti, per aiutarti a soddisfare i tuoi requisiti di sovranità digitale. Con questa versione, puoi scoprire questi controlli sotto un nuovo gruppo di sovranità digitale nella console AWS Control Tower. Puoi utilizzare questi controlli per prevenire azioni e rilevare cambiamenti nelle risorse per quanto riguarda la residenza dei dati, la restrizione granulare dell'accesso, la crittografia e le capacità di resilienza. Questi controlli sono progettati per semplificare la gestione dei requisiti su larga scala. Per ulteriori informazioni sui controlli della sovranità digitale, consulta Controlli che migliorano la protezione della sovranità digitale.

Ad esempio, puoi scegliere di abilitare i controlli che aiutano a far rispettare le tue strategie di crittografia e resilienza, come Richiedi una cache AWS AppSync API per abilitare la crittografia in transito o Richiedi l'implementazione di un AWS Network Firewall su più zone di disponibilità. Puoi anche personalizzare la regione AWS Control Tower Deny Control per applicare restrizioni regionali che meglio si adattano alle tue esigenze aziendali specifiche.

Questa versione offre funzionalità di negazione ben avanzate di AWS Control Tower Region. Puoi applicare un nuovo Region deny control parametrizzato a livello di unità organizzativa, per una maggiore granularità della governance, mantenendo al contempo una governance aggiuntiva della regione a livello di landing zone. Questo Region Deny Control personalizzabile consente di applicare le restrizioni regionali più adatte alle esigenze aziendali specifiche. Per ulteriori informazioni sul nuovo Region deny control configurabile, vedere Region deny control applicato all'unità organizzativa.

Come nuovo strumento per il nuovo miglioramento Region deny, questa versione include una nuova APIUpdateEnabledControl, che consente di ripristinare i controlli abilitati alle impostazioni predefinite. Questa API è particolarmente utile nei casi d'uso in cui è necessario risolvere rapidamente la deriva o garantire a livello di codice che un controllo non si trovi in uno stato di deriva. Per ulteriori informazioni sulla nuova API, consulta l'AWS Control Tower API Reference

Nuovi controlli proattivi

  • CT.APIGATEWAY.PR.6: Richiedi un dominio REST di Amazon API Gateway per utilizzare una policy di sicurezza che specifichi una versione minima del protocollo TLS di TLSv1.2

  • CT.APPSYNC.PR.2: Richiede la configurazione di un'API AWS AppSync GraphQL con visibilità privata

  • CT.APPSYNC.PR.3: Richiede che un'API AWS AppSync GraphQL non sia autenticata con chiavi API

  • CT.APPSYNC.PR.4: richiede una cache dell'API AWS AppSync GraphQL per abilitare la crittografia in transito.

  • CT.APPSYNC.PR.5: richiede una cache dell'API AWS AppSync GraphQL per abilitare la crittografia a riposo.

  • CT.AUTOSCALING.PR.9: Richiede un volume Amazon EBS configurato tramite una configurazione di avvio di Amazon EC2 Auto Scaling per crittografare i dati inattivi

  • CT.AUTOSCALING.PR.10: Richiedi a un gruppo Amazon EC2 Auto Scaling di utilizzare AWS solo i tipi di istanze Nitro quando sovrascrivi un modello di lancio

  • CT.AUTOSCALING.PR.11: richiede che solo i tipi di istanze AWS Nitro che supportano la crittografia del traffico di rete tra le istanze vengano aggiunti a un gruppo Amazon EC2 Auto Scaling, quando sovrascrivi un modello di avvio

  • CT.DAX.PR.3: Richiede un cluster DynamoDB Accelerator per crittografare i dati in transito con Transport Layer Security (TLS)

  • CT.DMS.PR.2: richiede un endpoint AWS Database Migration Service (DMS) per crittografare le connessioni per gli endpoint di origine e di destinazione

  • CT.EC2.PR.15: Richiedi a un'istanza Amazon EC2 di utilizzare un tipo di istanza AWS Nitro durante la creazione dal tipo di risorsa AWS::EC2::LaunchTemplate

  • CT.EC2.PR.16: Richiedi a un'istanza Amazon EC2 di utilizzare un tipo di istanza AWS Nitro quando viene creata utilizzando il tipo di risorsa AWS::EC2::Instance

  • CT.EC2.PR.17: Richiede un host dedicato Amazon EC2 per utilizzare un tipo di istanza AWS Nitro

  • CT.EC2.PR.18: Richiedi una flotta Amazon EC2 per sostituire solo i modelli di lancio con AWS tipi di istanze Nitro

  • CT.EC2.PR.19: Richiedi a un'istanza Amazon EC2 di utilizzare un tipo di istanza nitro che supporti la crittografia in transito tra istanze quando viene creata utilizzando il tipo di risorsa AWS::EC2::Instance

  • CT.EC2.PR.20: Richiedi una flotta Amazon EC2 per sovrascrivere solo i modelli di lancio con tipi di istanze AWS Nitro che supportano la crittografia in transito tra le istanze

  • CT.ELASTICACHE.PR.8: Richiedi un gruppo di ElastiCache replica Amazon di versioni Redis successive per attivare l'autenticazione RBAC

  • CT.MQ.PR.1: Richiedi un broker Amazon MQ ActiveMQ per utilizzare la modalità di distribuzione attiva/standby per un'elevata disponibilità

  • CT.MQ.PR.2: Richiedi un broker Amazon MQ Rabbit MQ per utilizzare la modalità cluster Multi-AZ per un'elevata disponibilità

  • CT.MSK.PR.1: Richiedi un cluster Amazon Managed Streaming for Apache Kafka (MSK) per applicare la crittografia in transito tra i nodi del broker del cluster

  • CT.MSK.PR.2: richiede che un cluster Amazon Managed Streaming for Apache Kafka (MSK) sia configurato come disattivato PublicAccess

  • CT.NETWORK-FIREWALL.PR.5: Richiede l'implementazione di un firewall AWS Network Firewall su più zone di disponibilità

  • CT.RDS.PR.26: Richiede un proxy Amazon RDS DB per richiedere connessioni Transport Layer Security (TLS)

  • CT.RDS.PR.27: richiede un gruppo di parametri del cluster Amazon RDS DB per richiedere connessioni Transport Layer Security (TLS) per i tipi di motore supportati

  • CT.RDS.PR.28: richiede un gruppo di parametri Amazon RDS DB per richiedere connessioni Transport Layer Security (TLS) per i tipi di motore supportati

  • CT.RDS.PR.29: Richiedi che un cluster Amazon RDS non sia configurato per essere accessibile al pubblico tramite la proprietà 'PubliclyAccessible'

  • CT.RDS.PR.30: Richiedi che un'istanza di database Amazon RDS abbia la crittografia a riposo configurata per utilizzare una chiave KMS specificata per i tipi di motore supportati

  • CT.S3.PR.12: Richiedi che un punto di accesso Amazon S3 disponga di una configurazione Block Public Access (BPA) con tutte le opzioni impostate su true

Nuovi controlli preventivi

  • CT.APPSYNC.PV.1Richiedi che un'API AWS AppSync GraphQL sia configurata con visibilità privata

  • CT.EC2.PV.1Richiedi la creazione di uno snapshot Amazon EBS da un volume EC2 crittografato

  • CT.EC2.PV.2Richiedi che un volume Amazon EBS collegato sia configurato per crittografare i dati inattivi

  • CT.EC2.PV.3Richiedi che uno snapshot di Amazon EBS non possa essere ripristinato pubblicamente

  • CT.EC2.PV.4Richiedi che le API dirette di Amazon EBS non vengano chiamate

  • CT.EC2.PV.5Impedisci l'uso dell'importazione e dell'esportazione di macchine virtuali Amazon EC2

  • CT.EC2.PV.6Impedisci l'uso di azioni Amazon EC2 e API obsolete RequestSpotFleet RequestSpotInstances

  • CT.KMS.PV.1È necessario che una policy AWS KMS chiave contenga una dichiarazione che limiti la concessione di sovvenzioni ai servizi AWS KMS AWS

  • CT.KMS.PV.2Richiede che una chiave AWS KMS asimmetrica con materiale chiave RSA utilizzato per la crittografia non abbia una lunghezza di 2048 bit

  • CT.KMS.PV.3Richiede che una AWS KMS chiave sia configurata con il controllo di sicurezza del blocco della politica di bypass abilitato

  • CT.KMS.PV.4Richiedi che una chiave AWS KMS gestita dal cliente (CMK) sia configurata con materiale chiave proveniente da CloudHSM AWS

  • CT.KMS.PV.5Richiedi che una chiave AWS KMS gestita dal cliente (CMK) sia configurata con materiale chiave importato

  • CT.KMS.PV.6Richiede che una chiave AWS KMS gestita dal cliente (CMK) sia configurata con materiale chiave proveniente da un archivio di chiavi esterno (XKS)

  • CT.LAMBDA.PV.1Richiedi un URL di AWS Lambda funzione per utilizzare l'autenticazione basata su IAM AWS

  • CT.LAMBDA.PV.2Richiedi che l'URL di una AWS Lambda funzione sia configurato per l'accesso solo ai responsabili interni al tuo Account AWS

  • CT.MULTISERVICE.PV.1: nega l'accesso a in base alla richiesta per un'unità organizzativa AWS Regione AWS

I nuovi controlli investigativi che migliorano la tua posizione di governance della sovranità digitale fanno parte del Service-Managed AWS Security Hub Standard AWS Control Tower.

Nuovi controlli investigativi

  • SH.ACM.2: i certificati RSA gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit

  • SH.AppSync.5: Le API AWS AppSync GraphQL non devono essere autenticate con chiavi API

  • SH.CloudTrail.6: Assicurati che il bucket S3 utilizzato per archiviare i CloudTrail log non sia accessibile pubblicamente:

  • SH.DMS.9: gli endpoint DMS devono utilizzare SSL

  • SH.DocumentDB.3: le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

  • SH.DynamoDB.3: I cluster DynamoDB Accelerator (DAX) devono essere crittografati quando sono inattivi

  • SH.EC2.23: I gateway di transito EC2 non devono accettare automaticamente le richieste di allegati VPC

  • SH.EKS.1: Gli endpoint del cluster EKS non devono essere accessibili al pubblico

  • SH.ElastiCache.3: i gruppi di ElastiCache replica devono avere il failover automatico abilitato

  • SH.ElastiCache.4: i gruppi di ElastiCache replica avrebbero dovuto essere abilitati encryption-at-rest

  • SH.ElastiCache.5: i gruppi di ElastiCache replica avrebbero dovuto essere abilitati encryption-in-transit

  • SH.ElastiCache.6: i gruppi di ElastiCache replica delle versioni precedenti di Redis dovrebbero avere Redis AUTH abilitato

  • SH.EventBridge.3: i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

  • SH.KMS.4: la rotazione dei AWS KMS tasti deve essere abilitata

  • SH.Lambda.3: Le funzioni Lambda devono trovarsi in un VPC

  • SH.MQ.5: i broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby

  • SH.MQ.6: I broker RabbitMQ devono utilizzare la modalità di distribuzione cluster

  • SH.MSK.1: I cluster MSK devono essere crittografati durante il transito tra i nodi broker

  • SH.RDS.12: l'autenticazione IAM deve essere configurata per i cluster RDS

  • SH.RDS.15: i cluster RDS DB devono essere configurati per più zone di disponibilità

  • SH.S3.17: I bucket S3 devono essere crittografati quando sono inattivi con chiavi AWS KMS

Per ulteriori informazioni sui controlli aggiunti al AWS Security Hub Service-Managed Standard AWS Control Tower, consulta Controlli che si applicano a Service-Managed Standard: AWS Control Tower nella documentazione. AWS Security Hub

Per un elenco di quelli Regioni AWS che non supportano determinati controlli che fanno parte del AWS Security Hub Service-Managed Standard AWS Control Tower, consulta Regioni non supportate.

Nuovo controllo configurabile per Region Deny a livello di unità organizzativa

CT.MULTISERVICE.PV.1: questo controllo accetta parametri per specificare le regioni esentate, i principali IAM e le azioni consentite, a livello di unità organizzativa, anziché per l'intera landing zone di AWS Control Tower. È un controllo preventivo, implementato dalla Service Control Policy (SCP).

Per ulteriori informazioni, vedere Region Deny Control applicato all'unità organizzativa.

L'API UpdateEnabledControl

Questa versione di AWS Control Tower aggiunge il seguente supporto API per i controlli:

  • L'EnableControlAPI aggiornata può configurare controlli configurabili.

  • L'GetEnabledControlAPI aggiornata mostra i parametri configurati su un controllo abilitato.

  • La nuova UpdateEnabledControl API può modificare i parametri su un controllo abilitato.

Per ulteriori informazioni, consulta l'AWS Control Tower API Reference.

AWS Control Tower supporta le API delle landing zone

26 novembre 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ora supporta la configurazione e il lancio delle landing zone tramite API. Puoi creare, aggiornare, ottenere, elencare, reimpostare ed eliminare le zone di atterraggio utilizzando le API.

Le seguenti API ti consentono di configurare e gestire la tua landing zone in modo programmatico utilizzando AWS CloudFormation o il. AWS CLI

AWS Control Tower supporta le seguenti API per le zone di atterraggio:

  • CreateLandingZone—Questa chiamata API crea una landing zone utilizzando una versione di landing zone e un file manifest.

  • GetLandingZoneOperation—Questa chiamata API restituisce lo stato di un'operazione di landing zone specificata.

  • GetLandingZone—Questa chiamata API restituisce dettagli sulla landing zone specificata, tra cui la versione, il file manifest e lo stato.

  • UpdateLandingZone—Questa chiamata API aggiorna la versione della landing zone o il file manifest.

  • ListLandingZone—Questa chiamata API restituisce un landing zone identifier (ARN) per la configurazione di una landing zone nell'account di gestione.

  • ResetLandingZone—Questa chiamata API reimposta la landing zone ai parametri specificati nell'ultimo aggiornamento, che può riparare la deriva. Se la landing zone non è stata aggiornata, questa chiamata reimposta la landing zone ai parametri specificati al momento della creazione.

  • DeleteLandingZone—Questa chiamata API disattiva la landing zone.

Per iniziare a usare le API delle landing zone, consultaGuida introduttiva a AWS Control Tower con le API.

AWS Control Tower supporta l'etichettatura per i controlli abilitati

10 novembre 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ora supporta il tagging delle risorse per i controlli abilitati, dalla console AWS Control Tower o tramite API. Puoi aggiungere, rimuovere o elencare i tag per i controlli abilitati.

Con il rilascio delle seguenti API, puoi configurare i tag per i controlli che abiliti in AWS Control Tower. I tag ti aiutano a gestire, identificare, organizzare, cercare e filtrare le risorse. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri.

AWS Control Tower supporta le seguenti API per il tagging di controllo:

  • TagResource—Questa chiamata API aggiunge tag ai controlli abilitati in AWS Control Tower.

  • UntagResource—Questa chiamata API rimuove i tag dai controlli abilitati in AWS Control Tower.

  • ListTagsForResource—Questa chiamata API restituisce i tag per i controlli abilitati in AWS Control Tower.

Le API di controllo di AWS Control Tower sono disponibili Regioni AWS dove è disponibile AWS Control Tower. Per un elenco completo delle aree Regioni AWS in cui è disponibile AWS Control Tower, consulta la tabella delle AWS regioni. Per un elenco completo delle API AWS Control Tower, consulta l'API Reference.

AWS Control Tower disponibile nella regione Asia Pacifico (Melbourne)

3 novembre 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower è disponibile nella regione Asia Pacifico (Melbourne).

Se utilizzi già AWS Control Tower e desideri estenderne le funzionalità di governance a questa regione nei tuoi account, vai alla pagina Impostazioni nella dashboard di AWS Control Tower, seleziona la regione e quindi aggiorna la tua landing zone. Dopo un aggiornamento della landing zone, devi aggiornare tutti gli account governati da AWS Control Tower, per portare i tuoi account e le unità organizzative sotto la governance nella nuova regione. Per ulteriori informazioni, consulta About Updates.

Per un elenco completo delle regioni in cui è disponibile AWS Control Tower, consulta la Regione AWS tabella.

Transizione a un nuovo tipo di prodotto AWS Service Catalog esterno (fase 1)

31 ottobre 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

HashiCorp ha aggiornato le licenze Terraform. Di conseguenza, AWS Service Catalog ha aggiornato il supporto per i prodotti Terraform Open Source e ha fornito i prodotti a un nuovo tipo di prodotto, chiamato External.

AWS Control Tower non supporta le personalizzazioni di Account Factory basate sul tipo di prodotto AWS Service Catalog esterno. Per evitare interruzioni dei carichi di lavoro e AWS delle risorse esistenti nei tuoi account, segui i passaggi di transizione ad AWS Control Tower in questo ordine suggerito, entro il 14 dicembre 2023:

  1. Aggiorna il tuo Terraform Reference Engine esistente per AWS Service Catalog includere il supporto per i tipi di prodotto External e Terraform Open Source. Per istruzioni sull'aggiornamento del motore di riferimento Terraform, consulta il Repository.AWS Service Catalog GitHub

  2. Vai a AWS Service Catalog e duplica qualsiasi progetto Terraform Open Source esistente per utilizzare il nuovo tipo di prodotto esterno. Non terminate i progetti Terraform Open Source esistenti.

  3. Continua a utilizzare i tuoi blueprint open source Terraform esistenti per creare o aggiornare account in AWS Control Tower.

Nuova API di controllo disponibile

14 ottobre 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ora supporta un'API aggiuntiva che puoi utilizzare per distribuire e gestire i controlli AWS Control Tower, su larga scala. Per ulteriori informazioni sulle API di controllo di AWS Control Tower, consulta l'API Reference.

AWS Control Tower ha aggiunto una nuova API di controllo.

  • GetEnabledControl—La chiamata API fornisce dettagli su un controllo abilitato.

Abbiamo anche aggiornato questa API:

ListEnabledControls—Questa chiamata API elenca i controlli abilitati da AWS Control Tower sull'unità organizzativa specificata e gli account in essa contenuti. Ora restituisce informazioni aggiuntive in un EnabledControlSummary oggetto.

Con queste API, è possibile eseguire diverse operazioni comuni a livello di codice. Per esempio:

  • Ottieni un elenco di tutti i controlli che hai abilitato dalla libreria di controlli AWS Control Tower.

  • Per ogni controllo abilitato, è possibile ottenere informazioni sulle regioni in cui il controllo è supportato, sull'identificatore del controllo (ARN), sullo stato di deriva del controllo e sul riepilogo dello stato del controllo.

Le API di controllo di AWS Control Tower sono disponibili Regioni AWS dove è disponibile AWS Control Tower. Per un elenco completo delle aree Regioni AWS in cui è disponibile AWS Control Tower, consulta la tabella delle AWS regioni. Per un elenco completo delle API AWS Control Tower, consulta l'API Reference.

AWS Control Tower aggiunge controlli aggiuntivi

5 ottobre 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower annuncia nuovi controlli proattivi e investigativi.

I controlli proattivi in AWS Control Tower sono implementati tramite AWS CloudFormation Hooks, che identificano e bloccano le risorse non conformi prima di effettuare il provisioning. AWS CloudFormation I controlli proattivi completano le funzionalità di controllo preventivo e investigativo esistenti in AWS Control Tower.

Nuovi controlli proattivi

  • [CT.ATHENA.PR.1] Richiede un gruppo di lavoro Amazon Athena per crittografare i risultati delle query Athena a riposo

  • [CT.ATHENA.PR.2] Richiedi a un gruppo di lavoro Amazon Athena di crittografare i risultati delle query Athena inattivi con una chiave (KMS) AWS Key Management Service

  • [CT.CLOUDTRAIL.PR.4] Richiedi un data store di eventi AWS CloudTrail Lake per abilitare la crittografia inattiva con una chiave AWS KMS

  • [CT.DAX.PR.2] Richiede un cluster Amazon DAX per distribuire i nodi in almeno tre zone di disponibilità

  • [CT.EC2.PR.14] Richiedi un volume Amazon EBS configurato tramite un modello di lancio di Amazon EC2 per crittografare i dati inattivi

  • [CT.EKS.PR.2] Richiedi la configurazione di un cluster Amazon EKS con crittografia segreta utilizzando AWS chiavi Key Management Service (KMS)

  • [CT.ELASTICLOADBALANCING.PR.14] Richiede un Network Load Balancer per attivare il bilanciamento del carico tra zone

  • [CT.ELASTICLOADBALANCING.PR.15] Richiede che un gruppo target Elastic Load Balancing v2 non disabiliti esplicitamente il bilanciamento del carico tra zone

  • [CT.EMR.PR.1] Richiede che una configurazione di sicurezza di Amazon EMR (EMR) sia configurata per crittografare i dati inattivi in Amazon S3

  • [CT.EMR.PR.2] Richiede che una configurazione di sicurezza di Amazon EMR (EMR) sia configurata per crittografare i dati inattivi in Amazon S3 con una chiave AWS KMS

  • [CT.EMR.PR.3] Richiede che una configurazione di sicurezza di Amazon EMR (EMR) sia configurata con la crittografia del disco locale del volume EBS utilizzando una chiave AWS KMS

  • [CT.EMR.PR.4] Richiede che una configurazione di sicurezza di Amazon EMR (EMR) sia configurata per crittografare i dati in transito

  • [CT.GLUE.PR.1] Richiede un lavoro AWS Glue per avere una configurazione di sicurezza associata

  • [CT.GLUE.PR.2] Richiede una configurazione di sicurezza AWS Glue per crittografare i dati nelle destinazioni AWS Amazon S3 utilizzando le chiavi KMS

  • [CT.KMS.PR.2] Richiede che una chiave AWS KMS asimmetrica con materiale chiave RSA utilizzato per la crittografia abbia una lunghezza della chiave superiore a 2048 bit

  • [CT.KMS.PR.3] Richiede una politica AWS KMS chiave che preveda una dichiarazione che limiti la creazione di sovvenzioni ai servizi AWS KMS AWS

  • [CT.LAMBDA.PR.4] Richiedi l'autorizzazione di un AWS Lambda livello per concedere l'accesso a un' AWS organizzazione o a un account specifico AWS

  • [CT.LAMBDA.PR.5] Richiedi un URL di AWS Lambda funzione per utilizzare l'autenticazione AWS basata su IAM

  • [CT.LAMBDA.PR.6] Richiede una policy CORS URL della AWS Lambda funzione per limitare l'accesso a origini specifiche

  • [CT.NEPTUNE.PR.4] Richiede un cluster Amazon Neptune DB per abilitare l'esportazione dei log di CloudWatch Amazon per i log di controllo

  • [CT.NEPTUNE.PR.5] Richiedi un cluster Amazon Neptune DB per impostare un periodo di conservazione dei backup maggiore o uguale a sette giorni

  • [CT.REDSHIFT.PR.9] Richiede che un gruppo di parametri del cluster Amazon Redshift sia configurato per utilizzare Secure Sockets Layer (SSL) per la crittografia dei dati in transito

Questi nuovi controlli proattivi sono disponibili nei negozi in Regioni AWS cui è disponibile AWS Control Tower. Per maggiori dettagli su questi controlli, consulta Proactive controls. Per maggiori dettagli su dove sono disponibili i controlli, consulta Limitazioni dei controlli.

Nuovi controlli investigativi

Sono stati aggiunti nuovi controlli al Security Hub Service-Managed Standard: AWS Control Tower. Questi controlli ti aiutano a migliorare la tua posizione di governance. Fanno parte del Security Hub Service-Managed Standard: AWS Control Tower, dopo averli abilitati su una specifica unità organizzativa.

  • [SH.Athena.1] I gruppi di lavoro Athena devono essere crittografati quando sono inattivi

  • [SH.Neptune.1] I cluster Neptune DB devono essere crittografati quando sono inattivi

  • [SH.Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

  • [SH.Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

  • [SH.Neptune.4] I cluster Neptune DB dovrebbero avere la protezione da eliminazione abilitata

  • [SH.Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati

  • [SH.Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate quando sono inattive

  • [SH.Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database IAM abilitata

  • [SH.Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

  • [SH.RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi

I nuovi controlli AWS Security Hub investigativi sono disponibili nella maggior parte dei paesi in Regioni AWS cui è disponibile AWS Control Tower. Per ulteriori dettagli su questi controlli, consulta Controlli che si applicano a Service-Managed Standard: AWS Control Tower. Per ulteriori dettagli su dove sono disponibili i controlli, consulta. Limitazioni di controllo

Nuovo tipo di deriva segnalato: accesso affidabile disabilitato

21 settembre 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

Dopo aver configurato la landing zone di AWS Control Tower, puoi disabilitare l'accesso affidabile ad AWS Control Tower in AWS Organizations. Tuttavia, così facendo si provoca una deriva.

Con il tipo di deriva affidabile ad accesso disabilitato, AWS Control Tower ti avvisa quando si verifica questo tipo di deriva, in modo che tu possa riparare la tua landing zone di AWS Control Tower. Per ulteriori informazioni, consulta Types of governance drift.

Quattro aggiuntivi Regioni AWS

13 settembre 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower è ora disponibile in Asia Pacifico (Hyderabad), Europa (Spagna e Zurigo) e Medio Oriente (Emirati Arabi Uniti).

Se utilizzi già AWS Control Tower e desideri estenderne le funzionalità di governance a questa regione nei tuoi account, vai alla pagina Impostazioni nella dashboard di AWS Control Tower, seleziona la regione e quindi aggiorna la tua landing zone. Dopo un aggiornamento della landing zone, devi aggiornare tutti gli account governati da AWS Control Tower, per portare i tuoi account e le unità organizzative sotto la governance nella nuova regione. Per ulteriori informazioni, consulta About Updates.

Per un elenco completo delle regioni in cui è disponibile AWS Control Tower, consulta la Regione AWS tabella.

AWS Control Tower disponibile nella regione di Tel Aviv

28 agosto 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower annuncia la disponibilità nella regione di Israele (Tel Aviv).

Se utilizzi già AWS Control Tower e desideri estenderne le funzionalità di governance a questa regione nei tuoi account, vai alla pagina Impostazioni nella dashboard di AWS Control Tower, seleziona la regione e quindi aggiorna la tua landing zone. Dopo un aggiornamento della landing zone, devi aggiornare tutti gli account governati da AWS Control Tower, per portare i tuoi account e le unità organizzative sotto la governance nella nuova regione. Per ulteriori informazioni, consulta About Updates.

Per un elenco completo delle regioni in cui è disponibile AWS Control Tower, consulta la Regione AWS tabella.

AWS Control Tower lancia 28 nuovi controlli proattivi

24 luglio 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower aggiunge 28 nuovi controlli proattivi, per aiutarti a gestire il tuo AWS ambiente.

I controlli proattivi migliorano le capacità di governance di AWS Control Tower AWS negli ambienti multi-account, bloccando le risorse non conformi prima che vengano fornite. Questi controlli aiutano a gestire AWS servizi come Amazon CloudWatch, Amazon Neptune, Amazon e ElastiCache AWS Step Functions Amazon DocumentDB. I nuovi controlli ti aiutano a raggiungere obiettivi di controllo come stabilire la registrazione e il monitoraggio, crittografare i dati inattivi o migliorare la resilienza.

Ecco un elenco completo dei nuovi controlli:

  • [CT.APPSYNC.PR.1] Richiede un' AWS AppSync API GraphQL per abilitare la registrazione

  • [CT.CLOUDWATCH.PR.1] Richiedi un allarme CloudWatch Amazon per configurare un'azione per lo stato di allarme

  • [CT.CLOUDWATCH.PR.2] Richiedi la conservazione di un gruppo di log CloudWatch Amazon per almeno un anno

  • [CT.CLOUDWATCH.PR.3] Richiedi che un gruppo di log CloudWatch Amazon sia crittografato a riposo con una chiave KMS AWS

  • [CT.CLOUDWATCH.PR.4] Richiedi l'attivazione di un'azione di allarme Amazon CloudWatch

  • [CT.DOCUMENTDB.PR.1] Richiede che un cluster Amazon DocumentDB sia crittografato a riposo

  • [CT.DOCUMENTDB.PR.2] Richiedi un cluster Amazon DocumentDB per abilitare i backup automatici

  • [CT.DYNAMODB.PR.2] Richiede che una tabella Amazon DynamoDB sia crittografata a riposo utilizzando le chiavi AWS KMS

  • [CT.EC2.PR.13] Richiedi un'istanza Amazon EC2 per abilitare il monitoraggio dettagliato

  • [CT.EKS.PR.1] Richiedi la configurazione di un cluster Amazon EKS con accesso pubblico disabilitato all'endpoint del server API Kubernetes del cluster

  • [CT.ELASTICACHE.PR.1] Richiedi che un cluster ElastiCache Amazon for Redis abbia i backup automatici attivati

  • [CT.ELASTICACHE.PR.2] Richiedi a un cluster ElastiCache Amazon for Redis di attivare gli aggiornamenti automatici delle versioni secondarie

  • [CT.ELASTICACHE.PR.3] Richiedi l'attivazione del failover automatico di un gruppo di replica ElastiCache Amazon for Redis

  • [CT.ELASTICACHE.PR.4] Richiedi che un gruppo di replica ElastiCache Amazon abbia attivato la crittografia a riposo

  • [CT.ELASTICACHE.PR.5] Richiedi che un gruppo di replica ElastiCache Amazon for Redis abbia attivato la crittografia in transito

  • [CT.ELASTICACHE.PR.6] Richiedi un cluster di cache ElastiCache Amazon per utilizzare un gruppo di sottoreti personalizzato

  • [CT.ELASTICACHE.PR.7] Richiedi che un gruppo di replica ElastiCache Amazon di versioni Redis precedenti disponga dell'autenticazione Redis AUTH

  • [CT.ELASTICBEANSTALK.PR.3] Richiede un ambiente Elastic Beanstalk per avere una configurazione di registrazione AWS

  • [CT.LAMBDA.PR.3] Richiedi che una AWS Lambda funzione si trovi in un Amazon Virtual Private Cloud (VPC) gestito dal cliente

  • [CT.NEPTUNE.PR.1] Richiedi l'autenticazione del database (IAM) a un cluster Amazon Neptune DB AWS Identity and Access Management

  • [CT.NEPTUNE.PR.2] Richiedi che un cluster Amazon Neptune DB abbia la protezione da eliminazione abilitata

  • [CT.NEPTUNE.PR.3] Richiedi un cluster Amazon Neptune DB per abilitare la crittografia dello storage

  • [CT.REDSHIFT.PR.8] Richiedi la crittografia di un cluster Amazon Redshift

  • [CT.S3.PR.9] Richiede che un bucket Amazon S3 abbia S3 Object Lock attivato

  • [CT.S3.PR.10] Richiede un bucket Amazon S3 per configurare la crittografia lato server tramite chiavi AWS KMS

  • [CT.S3.PR.11] Richiede un bucket Amazon S3 per abilitare il controllo delle versioni

  • [CT.STEPFUNCTIONS.PR.1] Richiede che una macchina a stati abbia la registrazione attivata AWS Step Functions

  • [CT.STEPFUNCTIONS.PR.2] Richiede che una macchina a stati abbia la funzione di tracciamento attivata AWS Step Functions AWS X-Ray

I controlli proattivi in AWS Control Tower sono implementati tramite AWS CloudFormation Hooks, che identificano e bloccano le risorse non conformi prima di effettuare il provisioning. AWS CloudFormation I controlli proattivi completano le funzionalità di controllo preventivo e investigativo esistenti in AWS Control Tower.

Questi nuovi controlli proattivi sono disponibili Regioni AWS ovunque sia disponibile AWS Control Tower. Per maggiori dettagli su questi controlli, consulta Proactive controls.

AWS Control Tower rende obsoleti due controlli

18 luglio 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower effettua revisioni periodiche dei propri controlli di sicurezza per garantire che siano aggiornati e siano ancora considerati best practice. I due controlli seguenti sono diventati obsoleti a partire dal 18 luglio 2023 e verranno rimossi dalla libreria dei controlli a partire dal 18 agosto 2023. Non è più possibile abilitare questi controlli su nessuna unità organizzativa. Puoi scegliere di disattivare questi controlli prima della data di rimozione.

  • [SH.S3.4] I bucket S3 devono avere la crittografia lato server abilitata

  • [CT.S3.PR.7] Richiede un bucket Amazon S3 per configurare la crittografia lato server

Motivo della deprecazione

A partire da gennaio 2023, Amazon S3 ha configurato la crittografia predefinita su tutti i bucket non crittografati nuovi ed esistenti per applicare la crittografia lato server con chiavi gestite S3 (SSE-S3) come livello base di crittografia per i nuovi oggetti caricati in questi bucket. Non sono state apportate modifiche alla configurazione di crittografia predefinita per un bucket esistente che aveva già la crittografia SSE-S3 o lato server con le AWS chiavi del servizio di gestione delle chiavi (AWS KMS) (SSE-KMS) configurate.

Landing zone di AWS Control Tower versione 3.2

16 giugno 2023

(Aggiornamento richiesto per la landing zone di AWS Control Tower alla versione 3.2. Per informazioni, consultaAggiornamento della landing zone).

La versione 3.2 della landing zone di AWS Control Tower porta i controlli che fanno parte del AWS Security Hub Service-Managed Standard: AWS Control Tower alla disponibilità generale. Introduce la possibilità di visualizzare lo stato di deriva dei controlli che fanno parte di questo standard nella console AWS Control Tower.

Questo aggiornamento include un nuovo ruolo collegato ai servizi (SLR), chiamato. AWSServiceRoleForAWSControlTower Questo ruolo assiste AWS Control Tower creando una EventBridge Managed Rule, denominata AWSControlTowerManagedRulein ogni account membro. Questa regola gestita raccoglie gli eventi di AWS Security Hub Finding, che con AWS Control Tower possono determinare la deriva del controllo.

Questa regola è la prima regola gestita creata da AWS Control Tower. La regola non viene distribuita da uno stack; viene distribuita direttamente dalle API. EventBridge Puoi visualizzare la regola nella EventBridge console o tramite le API. EventBridge Se il managed-by campo è compilato, mostrerà il principale del servizio AWS Control Tower.

In precedenza, AWS Control Tower si AWSControlTowerExecutionoccupava di eseguire operazioni negli account dei membri. Questo nuovo ruolo e questa nuova regola si allineano meglio con il principio delle migliori pratiche di concedere il minimo privilegio quando si eseguono operazioni in un ambiente con più AWS account. Il nuovo ruolo fornisce autorizzazioni ridotte che consentono in particolare: creare la regola gestita negli account dei membri, mantenere la regola gestita, pubblicare notifiche di sicurezza tramite SNS e verificare la deriva. Per ulteriori informazioni, consulta AWSServiceRoleForAWSControlTower.

L'aggiornamento landing zone 3.2 include anche una nuova StackSet risorsa nell'account di gestioneBP_BASELINE_SERVICE_LINKED_ROLE, che inizialmente implementa il ruolo collegato ai servizi.

Quando segnala una deriva di controllo del Security Hub (nella landing zone 3.2 e successive), AWS Control Tower riceve un aggiornamento giornaliero dello stato da Security Hub. Sebbene i controlli siano attivi in ogni regione governata, AWS Control Tower invia gli eventi AWS Security Hub Finding solo alla regione principale di AWS Control Tower. Per ulteriori informazioni, consulta Security Hub control drift reporting.

Aggiorna il controllo Region Deny

Questa versione della landing zone include anche un aggiornamento del Region Deny control.

Sono stati aggiunti servizi e API globali

  • AWS Billing and Cost Management (billing:*)

  • AWS CloudTrail (cloudtrail:LookupEvents) per consentire la visibilità degli eventi globali negli account dei membri.

  • AWS Fatturazione consolidata () consolidatedbilling:*

  • AWS Applicazione mobile per la console di gestione (consoleapp:*)

  • AWS Livello gratuito (freetier:*)

  • Fatturazione AWS (invoicing:*)

  • AWS IQ () iq:*

  • AWS Notifiche utente () notifications:*

  • AWS Contatti per le notifiche utente (notifications-contacts:*)

  • Amazon Payments (payments:*)

  • AWS Impostazioni fiscali (tax:*)

Servizi e API globali rimossi

  • Rimossa s3:GetAccountPublic perché non è un'azione valida.

  • Rimossa s3:PutAccountPublic perché non è un'azione valida.

AWS Control Tower gestisce gli account in base all'ID

14 giugno 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ora crea e gestisce gli account creati in Account Factory tracciando l' AWS ID dell'account, anziché l'indirizzo e-mail dell'account.

Quando si effettua il provisioning di un account, il richiedente deve sempre disporre delle autorizzazioni CreateAccount e delle DescribeCreateAccountStatus autorizzazioni. Questo set di autorizzazioni fa parte del ruolo di amministratore e viene fornito automaticamente quando un richiedente assume il ruolo di amministratore. Se deleghi l'autorizzazione a fornire account, potrebbe essere necessario aggiungere queste autorizzazioni direttamente per i richiedenti dell'account.

Controlli di rilevamento aggiuntivi di Security Hub disponibili nella libreria di controlli AWS Control Tower

12 giugno 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ha aggiunto dieci nuovi controlli AWS Security Hub investigativi alla libreria di controlli AWS Control Tower. Questi nuovi controlli riguardano servizi come API Gateway AWS CodeBuild, Amazon Elastic Compute Cloud (EC2), Amazon Elastic Load Balancer, Amazon Redshift, Amazon e. SageMaker AWS WAFQuesti nuovi controlli ti aiutano a migliorare la tua posizione di governance soddisfacendo obiettivi di controllo, come stabilire la registrazione e il monitoraggio, limitare l'accesso alla rete e crittografare i dati inattivi.

Questi controlli fanno parte del Security Hub Service-Managed Standard: AWS Control Tower, dopo averli abilitati su una specifica unità organizzativa.

  • [sh.Account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS

  • [sh.ApiGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione

  • [sh.ApiGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

  • [SH. CodeBuild.3] I log di CodeBuild S3 devono essere crittografati

  • [SH.EC2.25] I modelli di avvio di EC2 non devono assegnare IP pubblici alle interfacce di rete

  • [SH.ELB.1] Application Load Balancer deve essere configurato per reindirizzare tutte le richieste HTTP a HTTPS

  • [sh.redshift.10] I cluster Redshift devono essere crittografati a riposo

  • [SH. SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in un VPC personalizzato

  • [SH. SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook

  • [SH.WAF.10] Un ACL web WAFV2 deve avere almeno una regola o un gruppo di regole

I nuovi controlli AWS Security Hub investigativi sono disponibili Regioni AWS ovunque sia disponibile AWS Control Tower. Per ulteriori dettagli su questi controlli, consulta Controlli che si applicano a Service-Managed Standard: AWS Control Tower.

AWS Control Tower pubblica tabelle di metadati di controllo

7 giugno 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ora fornisce tabelle complete di metadati di controllo come parte della documentazione pubblicata. Quando lavori con le API di controllo, puoi cercare l'API ControlIdentifier di ciascun controllo, che è un ARN univoco associato a ciascuna di esse. Regione AWS Le tabelle includono i framework e gli obiettivi di controllo coperti da ciascun controllo. In precedenza, queste informazioni erano disponibili solo nella console.

Le tabelle includono anche i metadati per i controlli Security Hub che fanno parte del AWS Security Hub Service-Managed Standard:AWS Control Tower. Per tutti i dettagli, consulta Tabelle dei metadati di controllo.

Per un elenco abbreviato di identificatori di controllo e alcuni esempi di utilizzo, consulta Identificatori di risorse per API e controlli.

Supporto Terraform per la personalizzazione di Account Factory

6 giugno 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower offre supporto per una singola regione per Terraform tramite Account Factory Customization (AFC). A partire da questa versione, puoi utilizzare AWS Control Tower e Service Catalog insieme, per definire progetti di account AFC, in Terraform open source. Puoi personalizzare le tue risorse nuove ed esistenti Account AWS prima di effettuare il provisioning delle risorse in AWS Control Tower. Per impostazione predefinita, questa funzionalità ti consente di distribuire e aggiornare gli account, con Terraform, nella tua regione di origine di AWS Control Tower.

Un modello di account descrive le risorse e le configurazioni specifiche richieste quando viene fornito un account. Account AWS È possibile utilizzare il blueprint come modello per crearne di multipli su larga scala. Account AWS

Per iniziare, usa il Terraform Reference Engine su. GitHub Il Reference Engine configura il codice e l'infrastruttura necessari affinché il motore open source Terraform funzioni con Service Catalog. Questa procedura di configurazione unica richiede alcuni minuti. Successivamente, puoi definire i requisiti del tuo account personalizzato in Terraform e quindi distribuire i tuoi account con il flusso di lavoro di fabbrica degli account AWS Control Tower ben definito. I clienti che preferiscono lavorare con Terraform possono utilizzare la personalizzazione dell'account AWS Control Tower su larga scala con AFC e ottenere l'accesso immediato a ciascun account dopo il provisioning.

Per informazioni su come creare queste personalizzazioni, consulta Creazione di prodotti e Introduzione all'open source Terraform nella documentazione del Service Catalog. Questa funzionalità è disponibile Regioni AWS ovunque sia disponibile AWS Control Tower.

AWS Autogestione dell'IAM Identity Center disponibile per la landing zone

6 giugno 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ora supporta una scelta opzionale di provider di identità per una landing zone di AWS Control Tower, che puoi configurare durante la configurazione o l'aggiornamento. Per impostazione predefinita, la landing zone è abilitata all'utilizzo di AWS IAM Identity Center, in linea con le linee guida sulle migliori pratiche definite in Organizing Your AWS Environment Using Multiple Accounts. Ora hai tre alternative:

  • Puoi accettare l'impostazione predefinita e consentire ad AWS Control Tower di configurare e gestire AWS IAM Identity Center per te.

  • Puoi scegliere di gestire autonomamente AWS IAM Identity Center, in base ai tuoi requisiti aziendali specifici.

  • Facoltativamente, puoi utilizzare e gestire autonomamente un provider di identità di terze parti, collegandolo tramite IAM Identity Center, se necessario. È consigliabile utilizzare l'opzione del provider di identità se l'ambiente normativo richiede l'utilizzo di un provider specifico o se si opera in aree in Regioni AWS cui AWS IAM Identity Center non è disponibile.

Per ulteriori informazioni, consulta Linee guida per IAM Identity Center.

La selezione di provider di identità a livello di account non è supportata. Questa funzione si applica solo alla landing zone nel suo insieme. L'opzione del provider di identità AWS Control Tower è disponibile Regioni AWS ovunque sia disponibile AWS Control Tower.

AWS Control Tower affronta la governance mista per le unità organizzative

1 giugno 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

Con questa versione, AWS Control Tower impedisce l'implementazione dei controlli su un'unità organizzativa (OU), se tale unità organizzativa si trova in uno stato di governance mista. La governance mista si verifica in un'unità organizzativa se gli account non vengono aggiornati dopo che AWS Control Tower estende la governance a una nuova Regione AWS o la rimuove. Questa versione consente di mantenere la conformità uniforme degli account dei membri di quell'unità organizzativa. Per ulteriori informazioni, consulta Evita una governance mista durante la configurazione delle regioni.

Sono disponibili controlli proattivi aggiuntivi

19 maggio 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower aggiunge 28 nuovi controlli proattivi per aiutarti a governare il tuo ambiente multi-account e a soddisfare obiettivi di controllo specifici, come la crittografia dei dati inattivi o la limitazione dell'accesso alla rete. I controlli proattivi sono implementati con AWS CloudFormation ganci che controllano le risorse prima che vengano fornite. I nuovi controlli possono aiutare a gestire AWS servizi come Amazon OpenSearch Service, Amazon EC2 Auto Scaling, Amazon, Amazon SageMaker API Gateway e Amazon Relational Database Service (RDS).

I controlli proattivi sono supportati in tutte le attività commerciali in Regioni AWS cui è disponibile AWS Control Tower.

OpenSearch Servizio Amazon

  • [CT.OPENSEARCH.PR.1] Richiede un dominio Elasticsearch per crittografare i dati inattivi

  • [CT.OPENSEARCH.PR.2] Richiede la creazione di un dominio Elasticsearch in un Amazon VPC specificato dall'utente

  • [CT.OPENSEARCH.PR.3] Richiede un dominio Elasticsearch per crittografare i dati inviati tra i nodi

  • [CT.OPENSEARCH.PR.4] Richiedi un dominio Elasticsearch per inviare i log degli errori ad Amazon Logs CloudWatch

  • [CT.OPENSEARCH.PR.5] Richiedi un dominio Elasticsearch per inviare i log di controllo ad Amazon Logs CloudWatch

  • [CT.OPENSEARCH.PR.6] Richiede un dominio Elasticsearch per avere una conoscenza delle zone e almeno tre nodi di dati

  • [CT.OPENSEARCH.PR.7] Richiedi che un dominio Elasticsearch abbia almeno tre nodi master dedicati

  • [CT.OPENSEARCH.PR.8] Richiedi un dominio Elasticsearch Service per utilizzare TLSv1.2

  • [CT.OPENSEARCH.PR.9] Richiedi un dominio OpenSearch Amazon Service per crittografare i dati inattivi

  • [CT.OPENSEARCH.PR.10] Richiedi la creazione di un dominio Amazon Service in un OpenSearch Amazon VPC specificato dall'utente

  • [CT.OPENSEARCH.PR.11] Richiedi un dominio OpenSearch Amazon Service per crittografare i dati inviati tra i nodi

  • [CT.OPENSEARCH.PR.12] Richiedi un dominio Amazon Service per inviare i log degli errori ad OpenSearch Amazon Logs CloudWatch

  • [CT.OPENSEARCH.PR.13] Richiedi un dominio Amazon Service per inviare i log di controllo ad OpenSearch Amazon Logs CloudWatch

  • [CT.OPENSEARCH.PR.14] Richiedi che un dominio OpenSearch Amazon Service abbia il riconoscimento delle zone e almeno tre nodi dati

  • [CT.OPENSEARCH.PR.15] Richiedi un dominio OpenSearch Amazon Service per utilizzare un controllo degli accessi granulare

  • [CT.OPENSEARCH.PR.16] Richiedi un dominio Amazon Service per utilizzare TLSv1.2 OpenSearch

Dimensionamento automatico Amazon EC2

  • [CT.AUTOSCALING.PR.1] Richiedi che un gruppo Amazon EC2 Auto Scaling abbia più zone di disponibilità

  • [CT.AUTOSCALING.PR.2] Richiede una configurazione di avvio del gruppo Amazon EC2 Auto Scaling per configurare le istanze Amazon EC2 per IMDSv2

  • [CT.AUTOSCALING.PR.3] Richiede una configurazione di avvio di Amazon EC2 Auto Scaling per avere un limite di risposta ai metadati a singolo hop

  • [CT.AUTOSCALING.PR.4] Richiedi un gruppo Amazon EC2 Auto Scaling associato a un Amazon Elastic Load Balancing (ELB) per attivare i controlli dello stato dell'ELB

  • [CT.AUTOSCALING.PR.5] Richiede che una configurazione di avvio del gruppo Amazon EC2 Auto Scaling non contenga istanze Amazon EC2 con indirizzi IP pubblici

  • [CT.AUTOSCALING.PR.6] Richiede a qualsiasi gruppo Amazon EC2 Auto Scaling di utilizzare più tipi di istanze

  • [CT.AUTOSCALING.PR.8] Richiede un gruppo Amazon EC2 Auto Scaling per configurare i modelli di avvio EC2

Amazon SageMaker

  • [CT.SAGEMAKER.PR.1] Richiede un'istanza Amazon SageMaker Notebook per impedire l'accesso diretto a Internet

  • [CT.SAGEMAKER.PR.2] Richiede la distribuzione delle istanze di notebook Amazon all'interno di un SageMaker Amazon VPC personalizzato

  • [CT.SAGEMAKER.PR.3] Richiedi che alle istanze di notebook Amazon SageMaker non sia consentito l'accesso root

Amazon API Gateway

  • [CT.APIGATEWAY.PR.5] Richiedi percorsi Websocket e HTTP di Amazon API Gateway V2 per specificare un tipo di autorizzazione

Amazon Relational Database Service (RDS)

  • [CT.RDS.PR.25] Richiede un cluster di database Amazon RDS per configurare la registrazione

Per ulteriori informazioni, consulta Proactive controls.

Controlli proattivi Amazon EC2 aggiornati

2 maggio 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ha aggiornato due controlli proattivi: CT.EC2.PR.3 eCT.EC2.PR.4.

Per quanto riguarda il CT.EC2.PR.3 controllo aggiornato, viene bloccata la AWS CloudFormation distribuzione di qualsiasi distribuzione che faccia riferimento a un elenco di prefissi per una risorsa del gruppo di sicurezza, a meno che non sia per la porta 80 o 443.

Per il CT.EC2.PR.4 controllo aggiornato, qualsiasi AWS CloudFormation distribuzione che fa riferimento a un elenco di prefissi per una risorsa del gruppo di sicurezza viene bloccata se la porta è 3389, 20, 23, 110, 143, 3306, 8080, 1433, 9200, 9300, 25, 445, 135, 21, 1434, 4333, 5432, 5500, 5601, 22, 3000, 5000, 8088, 8888.

Regioni AWS Ne sono disponibili sette aggiuntive

19 aprile 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower è ora disponibile in sette paesi aggiuntivi Regioni AWS: California settentrionale (San Francisco), Asia Pacifico (Hong Kong, Giacarta e Osaka), Europa (Milano), Medio Oriente (Bahrein) e Africa (Città del Capo). Queste regioni aggiuntive per AWS Control Tower, chiamate regioni opt-in, non sono attive per impostazione predefinita, ad eccezione della regione Stati Uniti occidentali (California settentrionale), che è attiva per impostazione predefinita.

Alcuni controlli in AWS Control Tower non funzionano in alcuni di questi controlli aggiuntivi in Regioni AWS cui è disponibile AWS Control Tower, perché tali regioni non supportano le funzionalità sottostanti richieste. Per informazioni dettagliate, vedi Limitazioni di controllo.

Tra queste nuove regioni, cFCT non è disponibile in Asia Pacifico (Giacarta e Osaka). La disponibilità in altre Regioni AWS lingue è invariata.

Per ulteriori informazioni su come AWS Control Tower gestisce i limiti delle regioni e dei controlli, consultaConsiderazioni sull'attivazione delle regioni opt-in AWS.

Gli endpoint vPCE richiesti da AFT non sono disponibili nella regione del Medio Oriente (Bahrain). I clienti che implementano AFT in questa regione devono implementare con parametri. aft_vpc_endpoints=false Per ulteriori informazioni, consultate il parametro nel file README.

I VPC AWS Control Tower hanno due zone di disponibilità nella regione Stati Uniti occidentali (California settentrionale)us-west-1, a causa di una limitazione in Amazon EC2. Negli Stati Uniti occidentali (California settentrionale), sei sottoreti sono suddivise in due zone di disponibilità. Per ulteriori informazioni, consulta Panoramica di AWS Control Tower e VPC.

AWS Control Tower ha aggiunto nuove autorizzazioni AWSControlTowerServiceRolePolicy che consentono ad AWS Control Tower di effettuare chiamate verso e alle GetRegionOptStatus API implementate dal servizio AWS Account Management, per renderle Regioni AWS disponibili aggiuntive per gli account condivisi nella landing zone (account di gestione, account di archivio dei log, account di audit) e per gli account membri dell'unità organizzativa. EnableRegion ListRegions Per ulteriori informazioni, consulta Policy gestite per AWS Control Tower.

Tracciamento delle richieste di personalizzazione dell'account Account Factory for Terraform (AFT)

16 febbraio 2023

AFT supporta il tracciamento delle richieste di personalizzazione dell'account. Ogni volta che si invia una richiesta di personalizzazione dell'account, AFT genera un token di tracciamento univoco che passa attraverso una macchina a AWS Step Functions stati di personalizzazione AFT, che registra il token come parte della sua esecuzione. Puoi utilizzare le query di Amazon CloudWatch Logs Insights per cercare intervalli di timestamp e recuperare il token di richiesta. Di conseguenza, puoi vedere i payload associati al token, in modo da poter tracciare la richiesta di personalizzazione dell'account durante l'intero flusso di lavoro AFT. Per ulteriori informazioni su AFT, consulta Panoramica di AWS Control Tower Account Factory for Terraform. Per informazioni su CloudWatch Logs and Step Functions, vedere quanto segue:

Landing zone di AWS Control Tower versione 3.1

9 febbraio 2023

(Aggiornamento richiesto per la landing zone di AWS Control Tower alla versione 3.1. Per informazioni, consultaAggiornamento della landing zone)

La versione 3.1 della landing zone di AWS Control Tower include i seguenti aggiornamenti:

  • Con questa versione, AWS Control Tower disattiva la registrazione degli accessi non necessaria per il bucket di registrazione degli accessi, che è il bucket Amazon S3 in cui i log di accesso sono archiviati nell'account Log Archive, continuando ad abilitare la registrazione degli accessi al server per i bucket S3. Questa versione include anche aggiornamenti al controllo Region Deny che consentono azioni aggiuntive per i servizi globali, come Piani e. AWS Support AWS Artifact

  • La disattivazione della registrazione degli accessi al server per il bucket di registrazione degli accessi di AWS Control Tower fa sì che Security Hub crei un risultato per il bucket di registrazione degli accessi dell'account Log Archive, a causa di una AWS Security Hub regola, la registrazione degli accessi al server del bucket S3 dovrebbe essere abilitata. In linea con Security Hub, ti consigliamo di eliminare questo particolare risultato, come indicato nella descrizione di questa regola da parte del Security Hub. Per ulteriori informazioni, consulta le informazioni sui risultati soppressi.

  • La registrazione degli accessi per il (normale) bucket di registrazione nell'account Log Archive è rimasta invariata nella versione 3.1. In linea con le migliori pratiche, gli eventi di accesso per quel bucket vengono registrati come voci di registro nel bucket di registrazione degli accessi. Per ulteriori informazioni sulla registrazione degli accessi, consulta Registrazione delle richieste utilizzando la registrazione degli accessi al server nella documentazione di Amazon S3.

  • Abbiamo aggiornato il controllo Region Deny. Questo aggiornamento consente azioni da parte di più servizi globali. Per i dettagli su questo SCP, consulta Negare l'accesso a in AWS base alla richiesta Regione AWS e Controlli che migliorano la protezione della residenza dei dati.

    Servizi globali aggiunti:

    • AWS Account Management (account:*)

    • AWS Attiva (activate:*)

    • AWS Artifact (artifact:*)

    • AWS Billing Conductor (billingconductor:*)

    • AWS Compute Optimizer (compute-optimizer:*)

    • AWS Data Pipeline (datapipeline:GetAccountLimits)

    • AWS Device Farm(devicefarm:*)

    • Marketplace AWS (discovery-marketplace:*)

    • Amazon ECR () ecr-public:*

    • AWS License Manager (license-manager:ListReceivedLicenses)

    • AWS Lightsail () lightsail:Get*

    • Esploratore di risorse AWS (resource-explorer-2:*)

    • Amazon S3 (s3:CreateMultiRegionAccessPoint,,s3:GetBucketPolicyStatus) s3:PutMultiRegionAccessPointPolicy

    • AWS Savings Plans (savingsplans:*)

    • IAM Identity Center (sso:*)

    • AWS Support App (supportapp:*)

    • AWS Support Piani (supportplans:*)

    • AWS Sostenibilità (sustainability:*)

    • AWS Resource Groups Tagging API (tag:GetResources)

    • Marketplace AWS Informazioni sui fornitori () vendor-insights:ListEntitledSecurityProfiles

Controlli proattivi generalmente disponibili

24 gennaio 2023

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

I controlli proattivi opzionali, precedentemente annunciati in anteprima, sono ora disponibili a tutti. Questi controlli vengono definiti proattivi perché controllano le risorse, prima che le risorse vengano distribuite, per determinare se le nuove risorse sono conformi ai controlli attivati nell'ambiente. Per ulteriori informazioni, consulta I controlli completi facilitano l'approvvigionamento e AWS la gestione delle risorse.