Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
gennaio - dicembre 2024
Nel 2024, AWS Control Tower ha rilasciato i seguenti aggiornamenti:
-
AWS Control Tower aggiunge controlli preventivi con policy dichiarative
-
AWS Control Tower aggiunge opzioni di piano di backup prescrittivo
AWS Control Tower migliora la gestione degli hook e aggiunge regioni di controllo proattivo
AWS Control Tower lancia politiche di controllo delle risorse gestite
AWS Control Tower segnala variazioni nelle policy di controllo
-
API di controllo degli aggiornamenti del catalogo GetControl
-
AWS Control Tower disponibile nella regione AWS Asia Pacifico (Malesia)
-
AWS Control Tower supporta fino a 1000 account per unità organizzativa
-
AWS Control Tower aggiunge la selezione della versione della landing zone
-
API di controllo descrittivo disponibile, accesso esteso a regioni e controlli
-
AWS Control Tower supporta fino a 100 operazioni di controllo simultanee
-
AWS Control Tower disponibile nel AWS Canada occidentale (Calgary)
-
AWS Control Tower supporta l'aggiustamento delle quote in modalità self-service
-
AWS Control Tower aggiorna e rinomina due controlli proattivi
-
AWS Control Tower supporta l'etichettatura EnabledControl delle risorse in AWS CloudFormation
AWS Control Tower cFCT supporta GitHub e RCPs
9 dicembre 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora supporta GitHub come opzione per un sistema di controllo della versione (VCS) di terze parti e fonte di configurazione per le personalizzazioni di AWS Control Tower (CFCT). Per ulteriori informazioni, consulta Configura GitHub come origine di configurazione.
AWS Control Tower ora supporta le policy di controllo delle risorse (RCPs) per le personalizzazioni di AWS Control Tower (CFCT). Per ulteriori informazioni, consulta Guida alla personalizzazione cFCT.
AWS Control Tower aggiunge controlli preventivi con policy dichiarative
1 dicembre 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora supporta i controlli preventivi implementati da AWS Organizations policy dichiarative di. Le politiche dichiarative vengono applicate direttamente a livello di servizio. Questo approccio garantisce che la configurazione specificata venga applicata, anche quando vengono introdotte nuove funzionalità o vengono introdotte dal servizio. APIs Per ulteriori informazioni, consulta Controlli implementati con politiche dichiarative.
AWS Control Tower aggiunge opzioni di piano di backup prescrittivo
25 novembre 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora supporta AWS Backup piani prescrittivi che consentono di incorporare un flusso di lavoro di backup e ripristino dei dati direttamente nella landing zone. Il piano di backup include regole predefinite, come i giorni di conservazione, la frequenza di backup e la finestra temporale durante la quale viene eseguito il backup. Queste regole definiscono come eseguire il backup AWS delle risorse su tutti gli account dei membri gestiti. Quando applichi un piano di backup alla landing zone, AWS Control Tower garantisce che il piano sia coerente per tutti gli account membri e in linea con le raccomandazioni sulle best practice di AWS Backup.
Per ulteriori informazioni, consulta AWS Backup e AWS Control Tower.
AWS Control Tower integra i AWS Config controlli
21 novembre 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ha integrato AWS Config controlli selezionati, in modo che possano essere visualizzati e gestiti da AWS Control Tower.
Per ulteriori informazioni, consulta AWS Config Controlli integrati disponibili in AWS Control Tower
AWS Control Tower migliora la gestione degli hook e aggiunge regioni di controllo proattivo
20 novembre 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
Con questa versione, gli hook distribuiti per i controlli proattivi sono gestiti da AWS Control Tower. Inoltre, i controlli proattivi sono disponibili nella regione Canada occidentale (Calgary) e nella regione Asia Pacifico (Malesia).
In precedenza, AWS Control Tower si affidava a AWS CloudFormation hook per funzionalità di controllo proattivo. Di conseguenza, gli hook distribuiti erano protetti, in modo che solo AWS Control Tower potesse modificarli. Con questa versione, gli hook distribuiti dai controlli proattivi sono gestiti dal servizio AWS Control Tower. Puoi creare i tuoi hook, pur continuando a beneficiare dei controlli proattivi di AWS Control Tower.
Se attualmente distribuisci controlli proattivi, puoi passare a questa funzionalità hook migliorata. A tale scopo, ripristina i controlli proattivi attivi su ciascuna unità organizzativa chiamando l'ResetEnabledControlAPI o aggiornando il controllo dalla console con la funzionalità Reset. Quando esegui questa attività, AWS Control Tower sposta gli hook di controllo proattivo sulla nuova funzionalità, in cui gli hook vengono gestiti direttamente da AWS Control Tower.
Inoltre, puoi rimuovere il controllo CT.CLOUDFORMATION.PR.1 dopo aver ripristinato i controlli proattivi, se non lo usi per altri scopi. Quel AWS CloudFormation controllo era necessario per proteggere i ganci.
AWS Control Tower lancia politiche di controllo delle risorse gestite
15 novembre 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower offre un nuovo tipo di controllo preventivo, implementato con policy di controllo delle risorse (RCPs). Questi controlli ti aiutano a stabilire un perimetro di dati nel tuo ambiente AWS Control Tower, per proteggere le tue risorse da accessi involontari.
Ad esempio, puoi abilitare i controlli basati su RCP per Amazon S3, AWS Security Token Service Amazon AWS Key Management Service SQS e servizi. AWS Secrets Manager Un controllo basato su RCP può imporre un requisito come «Richiedi che le risorse Amazon S3 dell'organizzazione siano accessibili solo dai responsabili IAM che appartengono all'organizzazione o tramite un AWS servizio», indipendentemente dalle autorizzazioni concesse sulle singole policy dei bucket.
Puoi configurare i nuovi controlli basati su RCP e alcuni controlli preventivi esistenti basati su SCP per specificare le esenzioni IAM per i principali e le risorse. AWS Se non desideri che un principale o una risorsa siano governati dal controllo, puoi configurare un'esenzione.
Combinando controlli preventivi, proattivi e investigativi in AWS Control Tower, puoi monitorare se il tuo AWS ambiente multi-account è sicuro e gestito secondo le migliori pratiche, come lo standard AWS Foundational Security Best Practices.
Questi nuovi controlli preventivi basati su RCP sono disponibili Regioni AWS laddove è disponibile AWS Control Tower. Per un elenco completo delle aree Regioni AWS in cui è disponibile AWS Control Tower, consulta la Regione AWS Tabella
AWS Control Tower segnala variazioni nelle policy di controllo
15 novembre 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora segnala le variazioni nelle policy di controllo, per i controlli implementati con le policy di controllo delle risorse (RCPs) e i controlli che fanno parte dello standard gestito dal Security Hub Service: AWS Control Tower. Questo tipo di deriva può essere risolto tramite la nuova API. ResetEnabledControl Per ulteriori informazioni, consulta Types of governance drift.
Nuova API ResetEnabledControl
14 novembre 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower annuncia una nuova API per aiutarti a gestire la deriva del controllo in modo programmatico. Puoi riparare la deriva del controllo e ripristinare un controllo alla configurazione prevista. L'ResetEnabledControlAPI funziona con i controlli opzionali di AWS Control Tower, inclusi i controlli Strongly recommended ed Elective.
Eccezioni di controllo
-
I controlli implementati con le policy di controllo del servizio (SCPs) non possono essere ripristinati con questa API. Per ulteriori informazioni, consulta
ResetEnabledControl. -
I controlli obbligatori non possono essere ripristinati, poiché proteggono le risorse di AWS Control Tower.
-
Il Region Deny Control per la landing zone deve essere ripristinato tramite la console.
La deriva di controllo si verifica quando un controllo AWS Control Tower viene modificato all'esterno di AWS Control Tower, ad esempio dalla AWS Organizations console. Risolvere la deriva aiuta a garantire la conformità ai requisiti di governance.
API di controllo degli aggiornamenti del catalogo GetControl
8 novembre 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora supporta un'GetControlAPI aggiornata che include due nuovi campi: Implementation tipi per tutti i controlli e Parameters per alcuni controlli che possono essere configurati.
L'GetControlAPI fa parte del controlcatalog namespace di AWS Control Tower.
Per ulteriori informazioni, consulta l'GetControlAPI nel riferimento alle API di Control Catalog.
Questa versione include le modifiche correlate mostrate nella console AWS Control Tower.
-
Il valore dei
Implementationparametri di tutti i AWS Security Hub controlli esistenti viene modificato da AWS Config regola a AWS Security Hub. Il pannello di aiuto della console corrispondente viene modificato per riflettere questa modifica. -
Il valore dei
Implementationparametri di tutti i controlli Hook esistenti viene modificato da AWS CloudFormation guard rule a AWS CloudFormation hook. Il pannello di aiuto della console corrispondente viene modificato per riflettere questa modifica.
AWS Control Tower AFT supporta GitLab
23 ottobre 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora supporta GitLab e GitLab Self-managed come opzioni per un sistema di controllo della versione (VCS) di terze parti e fonte di configurazione per Account Factory for Terraform (AFT).
AWS Control Tower disponibile nella regione AWS Asia Pacifico (Malesia)
21 ottobre 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower è disponibile nella regione AWS Asia Pacifico (Malesia).
Per un elenco completo delle regioni in cui è disponibile AWS Control Tower, consulta la tabella delle AWS regioni
AWS Control Tower supporta fino a 1000 account per unità organizzativa
30 agosto 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ha aumentato il numero massimo di account consentiti per unità organizzativa (OU) da 300 a 1000. Ora puoi iscrivere fino a 1000 Account AWS persone alla governance di AWS Control Tower contemporaneamente, senza modificare la struttura dell'unità organizzativa. I processi di registrazione e ri-registrazione delle unità organizzative sono inoltre più efficienti e richiedono molto meno tempo per distribuire le risorse di base di AWS Control Tower nei tuoi account.
Alcune limitazioni degli account sono ancora valide a causa delle limitazioni sul numero di set di AWS CloudFormation
stack disponibili. In particolare, il numero massimo di account che puoi registrare in un'unità organizzativa può variare a seconda del numero di regioni che hai sotto la governance. Per ulteriori informazioni, consulta Limitazioni basate sui AWS servizi sottostanti nella AWS Control Tower User Guide. Per un elenco completo delle aree Regioni AWS in cui è disponibile AWS Control Tower, consulta la Regione AWS Tabella
AWS Control Tower aggiunge la selezione della versione della landing zone
15 agosto 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
Se utilizzi AWS Control Tower landing zone versione 3.1 e successive, puoi aggiornare o riparare la landing zone esistente nella versione corrente oppure puoi eseguire l'upgrade a una versione a tua scelta. In precedenza, qualsiasi aggiornamento o riparazione della landing zone richiedeva l'aggiornamento alla versione più recente della landing zone.
Con la selezione della versione della landing zone, hai più flessibilità nella pianificazione degli aggiornamenti di versione mentre valuti le potenziali modifiche al tuo ambiente. Non è necessario scegliere tra riparare il drift per mantenere la conformità, aggiornare le configurazioni delle landing zone o passare alla versione più recente della landing zone. Se utilizzi la versione 3.1 o successiva della landing zone, puoi scegliere di mantenere la versione attuale o passare a una versione più recente quando aggiorni o ripristini le configurazioni della landing zone.
API di controllo descrittivo disponibile, accesso esteso a regioni e controlli
6 agosto 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ha aggiunto due nuove operazioni API che ti aiutano a trovare ulteriori informazioni sui controlli disponibili, in modo programmatico. Questa funzionalità semplifica l'implementazione dei controlli con l'automazione.
-
L'
GetControlAPI restituisce i dettagli su un controllo abilitato, tra cui l'identificatore di destinazione, un riepilogo delle informazioni di controllo, un elenco delle regioni di destinazione e lo stato di deriva. -
L'
ListControlsAPI restituisce un elenco impaginato di tutti i controlli disponibili nella libreria di controlli AWS Control Tower.
Questi APIs vengono raggiunti tramite lo spazio dei nomi AWS Control Catalog. Il AWS Control Catalog fa parte di AWS Control Tower, che include controlli che aiutano a gestire altri AWS servizi, non solo AWS Control Tower. Questo catalogo ampliato consolida i controlli di diversi AWS servizi, in modo da poter visualizzare AWS i controlli in base ad alcuni casi d'uso comuni, come: sicurezza, costi, durabilità e operazioni. Per ulteriori informazioni, consulta il riferimento all'API Control Catalog.
Disponibilità estesa della regione
A partire da questa versione, puoi estendere la governance di AWS Control Tower in aree in Regioni AWS cui alcuni dei tuoi controlli (già) abilitati non sono disponibili. Inoltre, ora puoi abilitare determinati controlli in più regioni, anche se il controllo non è supportato in tutte le regioni governate.
In precedenza, AWS Control Tower impediva di estendere la governance alle regioni o di abilitare i controlli, quando non offriva coerenza tra tutti i controlli abilitati e le regioni governate. Con questa versione, hai una maggiore flessibilità e una maggiore responsabilità nel garantire che la configurazione sia corretta per tutti i controlli abilitati e tutte le regioni governate. Il controllo AWS Control Tower APIs e il catalogo di controllo APIs possono aiutarti a ottenere informazioni sulle AWS regioni in cui sei protetto dai controlli abilitati e sulle regioni in cui possono essere implementati controlli aggiuntivi. Le informazioni sulla regione e sul controllo sono disponibili anche nella console AWS Control Tower.
AWS Control Tower supporta AFT e cFCT nelle regioni opt-in
18 luglio 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
Oggi, i framework di personalizzazione di AWS Control Tower Account Factory for Terraform (AFT) e Customizations for AWS Control Tower (cFCT) sono disponibili in cinque aree aggiuntive Regioni AWS: Asia Pacifico (Hyderabad, Giacarta e Osaka), Israele (Tel Aviv) e Medio Oriente (Emirati Arabi Uniti).
Account Factory for Terraform (AFT) configura una pipeline Terraform per aiutarti a fornire e personalizzare gli account in AWS Control Tower. Le personalizzazioni per AWS Control Tower (cFCT) ti aiutano a personalizzare la landing zone e gli account di AWS Control Tower con AWS CloudFormation modelli e policy di controllo dei servizi ()SCPs.
Per ulteriori informazioni, visita le pagine Account Factory for Terraform e Customizations for AWS Control Tower; nella AWS Control Tower User Guide. Potresti anche voler consultare le note di rilascio sulla pagina AFT Github e sulla pagina cFCT Github. AFT e cFct sono supportati in tutte AWS le regioni, con alcune eccezioni. Per informazioni specifiche, consulta Limitazioni regionali.
AWS Control Tower aggiunge l'ListLandingZoneOperationsAPI
26 giugno 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ha aggiunto un'API che consente di recuperare un elenco delle operazioni applicate di recente alla landing zone e delle operazioni attualmente in corso. L'API può restituire la cronologia delle operazioni di landing zone e i relativi identificatori per un massimo di 90 giorni. Per esempi di utilizzo, consulta Visualizzare lo stato delle operazioni sulla landing zone.
Per ulteriori informazioni sull'ListLandingZoneOperationsAPI, consulta ListLandingZoneOperationsl'articolo AWS Control Tower API Reference.
AWS Control Tower supporta fino a 100 operazioni di controllo simultanee
20 maggio 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora supporta più operazioni di controllo con una maggiore concorrenza. Puoi inviare fino a 100 operazioni di controllo di AWS Control Tower, su più unità organizzative (OUs), contemporaneamente, dalla console o con APIs. È possibile eseguire fino a dieci (10) operazioni contemporaneamente e quelle aggiuntive vengono messe in coda. In questo modo, è possibile impostare una configurazione più standardizzata su più configurazioni Account AWS, senza l'onere operativo delle operazioni di controllo ripetitive.
Per monitorare lo stato delle operazioni di controllo in corso e in coda, puoi accedere alla nuova pagina Operazioni recenti nella console AWS Control Tower oppure puoi chiamare la nuova ListControlOperationsAPI.
La libreria AWS Control Tower contiene più di 500 controlli, che si riferiscono a diversi obiettivi di controllo, framework e servizi. Per un obiettivo di controllo specifico, come Encrypt data at rest, puoi abilitare più controlli con un'unica operazione di controllo, per aiutarti a raggiungere l'obiettivo. Questa funzionalità facilita lo sviluppo accelerato, consente un'adozione più rapida dei controlli basati sulle best practice e mitiga le complessità operative.
AWS Control Tower disponibile nel AWS Canada occidentale (Calgary)
3 maggio 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
A partire da oggi, puoi attivare AWS Control Tower nella regione Canada occidentale (Calgary). Se hai già distribuito AWS Control Tower e desideri estenderne le funzionalità di governance a questa regione, puoi farlo con la landing zone APIs di AWS Control Tower. Oppure dalla console, vai alla pagina Impostazioni nella dashboard di AWS Control Tower, seleziona le regioni e aggiorna la landing zone.
La regione Canada Ovest (Calgary) non supporta AWS Service Catalog. Per questo motivo, alcune funzionalità di AWS Control Tower sono diverse. La modifica di funzionalità più importante è che Account Factory non è disponibile. Se scegli Canada occidentale (Calgary) come regione di residenza, le procedure per l'aggiornamento degli account, la configurazione delle automazioni degli account e qualsiasi altro processo che coinvolga Service Catalog sono diverse rispetto alle altre regioni.
Fornitura di account
Per creare e fornire un nuovo account nella regione Canada occidentale (Calgary), ti consigliamo di creare un account al di fuori di AWS Control Tower e quindi di registrarlo in un'unità organizzativa registrata. Per ulteriori informazioni, consulta Registrare un account esistente e Procedure per registrare un account.
Il Service Catalog APIs non è disponibile nella regione Canada occidentale (Calgary). Lo script di esempio mostrato in Automate Account Provisioning in AWS Control Tower by Service Catalog non APIs è utilizzabile.
Account Factory Customizations (AFC), Account Factory for Terraform (AFT) e Customizations for AWS Control Tower (cFCT) non sono disponibili in Canada occidentale (Calgary), a causa della mancanza di altre dipendenze sottostanti per AWS Control Tower. Se estendi la governance alla regione Canada occidentale (Calgary), puoi continuare a gestire i blueprint AFC in tutte le regioni supportate da AWS Control Tower, purché Service Catalog sia disponibile nella tua regione d'origine.
Controlli
I controlli e i controlli proattivi per il AWS Security Hub Service-Managed Standard: AWS Control Tower non sono disponibili nella regione Canada occidentale (Calgary). Il controllo preventivo non CT.CLOUDFORMATION.PR.1 è disponibile in Canada West (Calgary) perché è necessario solo per attivare i controlli proattivi basati su ganci. Alcuni controlli investigativi basati su non sono disponibili. AWS Config Per informazioni dettagliate, consultare Limitazioni di controllo.
Fornitore di identità
IAM Identity Center non è disponibile in Canada occidentale (Calgary). La migliore pratica consigliata è quella di configurare la landing zone in una regione in cui è disponibile IAM Identity Center. In alternativa, hai la possibilità di gestire automaticamente la configurazione di accesso all'account se utilizzi un provider di identità esterno in Canada occidentale (Calgary).
L'indisponibilità di Service Catalog nella regione Canada occidentale (Calgary) non ha alcun effetto sulle altre regioni supportate da AWS Control Tower. Queste differenze si applicano solo se la tua regione di residenza è Canada occidentale (Calgary).
Per un elenco completo delle regioni in cui è disponibile AWS Control Tower, consulta la tabella delle AWS regioni
AWS Control Tower supporta l'aggiustamento delle quote in modalità self-service
25 aprile 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ora supporta gli aggiustamenti delle quote in modalità self-service tramite la console Service Quotas. Per ulteriori informazioni, consulta Richiesta di un aumento della quota.
AWS Control Tower rilascia la Controls Reference Guide
21 aprile 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ha rilasciato la Controls Reference Guide, un nuovo documento in cui è possibile trovare informazioni dettagliate sui controlli specifici dell'ambiente AWS Control Tower. In precedenza, questo materiale era incluso nella AWS Control Tower User Guide. La Controls Reference Guide copre i controlli in un formato esteso. Per ulteriori informazioni, consulta la AWS Control Tower Controls Reference Guide.
AWS Control Tower aggiorna e rinomina due controlli proattivi
26 marzo 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ha rinominato due controlli proattivi per allinearli agli aggiornamenti di Amazon Service. OpenSearch
Abbiamo aggiornato i nomi dei controlli e gli artefatti per questi due controlli per allinearli alla recente versione di Amazon OpenSearch Service, che ora supporta Transport Layer Security (TLS) versione 1.3
Per aggiungere il supporto alla versione TLSv1 1.3 per questi controlli, abbiamo aggiornato l'elemento e il nome dei controlli in modo che riflettano l'intento del controllo. Ora valutano la versione TLS minima del dominio del servizio. Per effettuare questo aggiornamento nel tuo ambiente, devi disabilitare e abilitare i controlli per distribuire l'artefatto più recente.
Nessun altro controllo proattivo è interessato da questa modifica. Ti consigliamo di rivedere questi controlli per assicurarti che soddisfino i tuoi obiettivi di controllo.
Per domande o dubbi, contatta l'AWS assistenza
I controlli obsoleti non sono più disponibili
12 marzo 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
AWS Control Tower ha reso obsoleti alcuni controlli. Questi controlli non sono più disponibili.
-
CT.ATHENA.PR.1
-
CT.CODEBUILD.PR.4
-
CT.AUTOSCALING.PR.3
-
SH.Athena.1
-
SH.Codebuild.5
-
SH.AutoScaling.4
-
SH.SNS.1
-
SH.SNS.2
AWS Control Tower supporta l'etichettatura EnabledControl delle risorse in AWS CloudFormation
22 febbraio 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
Questa versione di AWS Control Tower aggiorna il comportamento della EnabledControl risorsa, per allinearla meglio ai controlli configurabili e per migliorare la capacità di gestire l'ambiente AWS Control Tower con l'automazione. Con questa versione, puoi aggiungere tag a EnabledControl risorse configurabili tramite modelli. AWS CloudFormation
In precedenza, era possibile aggiungere tag APIs solo tramite la console AWS Control Tower.
Le operazioni di AWS Control Tower GetEnabledControl e delle ListTagsforResource API vengono aggiornate con questa versione, poiché si basano sulla funzionalità EnabledControl delle risorse. EnableControl
Per ulteriori informazioni, consulta Tagging EnabledControl resources in AWS Control Tower e EnabledControlnella AWS CloudFormation User Guide.
AWS Control Tower supporta APIs la registrazione e la configurazione delle unità organizzative con linee di base
14 febbraio 2024
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).
Questi APIs supportano la registrazione programmatica delle unità organizzative durante la EnableBaseline chiamata. Quando abiliti una linea di base su un'unità organizzativa, gli account dei membri all'interno dell'unità organizzativa vengono registrati nella governance di AWS Control Tower. Potrebbero essere applicate alcune avvertenze. Ad esempio, la registrazione delle unità organizzative tramite la console AWS Control Tower abilita controlli opzionali e controlli obbligatori. Durante la chiamata APIs, potrebbe essere necessario completare un passaggio aggiuntivo per abilitare i controlli opzionali.
Una baseline di AWS Control Tower incorpora le best practice per la governance di AWS Control Tower di un'unità organizzativa e degli account dei membri. Ad esempio, quando si abilita una linea di base su un'unità organizzativa, gli account dei membri all'interno dell'unità organizzativa ricevono un gruppo definito di risorse AWS CloudTrail AWS Config, tra cui IAM Identity Center e i ruoli IAM richiesti AWS .
Linee di base specifiche sono compatibili con versioni specifiche delle landing zone di AWS Control Tower. AWS Control Tower può applicare la più recente linea di base compatibile alla tua landing zone, quando modifichi le impostazioni della landing zone. Per ulteriori informazioni, consulta Compatibilità delle versioni di base delle unità organizzative e delle landing zone.
Questa versione include quattro versioni essenziali Tipi di linee di base
-
AWSControlTowerBaseline -
AuditBaseline -
LogArchiveBaseline -
IdentityCenterBaseline
Con le nuove linee di base definite, è possibile registrare APIs OUs e automatizzare il flusso di lavoro di provisioning delle unità organizzative. APIs Inoltre, possono gestire quelli OUs che sono già sotto la governance di AWS Control Tower, in modo da poterti registrare nuovamente OUs dopo gli aggiornamenti delle landing zone. APIs Includono il supporto per una AWS CloudFormation EnabledBaseline risorsa, che consente di gestire l'infrastruttura come codice (IaC). OUs
Linea di base APIs
-
EnableBaseline, UpdateEnabledBaseline, DisableBaseline: Agisci sulla base di una linea di base per un'unità organizzativa.
-
GetEnabledBaseline, ListEnabledBaselines: Scopri le configurazioni per le tue linee di base abilitate.
-
GetBaselineOperation: Visualizza lo stato di una particolare operazione di base.
-
ResetEnabledBaseline: corregge la deriva delle risorse su un'unità organizzativa con una linea di base abilitata (inclusa la deriva di controllo annidata OUs e obbligatoria). Inoltre, corregge la tendenza alla negazione del controllo da parte della regione landing-zone-level
-
GetBaseline, ListBaselines: Scopri i contenuti delle linee di base di AWS Control Tower.
Per ulteriori informazioni APIs, consulta Baseline nella AWS Control Tower User Guide e nell'API Reference. I nuovi APIs sono disponibili Regioni AWS ovunque sia disponibile AWS Control Tower, ad eccezione delle regioni GovCloud (Stati Uniti). Per un elenco delle aree Regioni AWS in cui è disponibile AWS Control Tower, consulta la Regione AWS Tabella.
