gennaio 2025 - Presente - AWS Control Tower
AWS Control Tower supporta IPv6 gli indirizzi Account Factory per Terraform versione 1.15.0 disponibileControlli aggiornati con i tipi di istanze NitroAWS Control Tower disponibile nella regione Asia Pacifico (Taipei)AWS Control Tower supporta PrivateLinkSupport per framework di settore aggiuntivi, metadati aggiornatiControlli collegati ai servizi AWS ConfigLa visualizzazione della console dei controlli abilitati offre visibilità centralizzata Account Factory for Terraform (AFT) supporta nuove configurazioni al momento dell'implementazioneAWS Control Tower introduce la reportistica a livello di account come riferimento APIsAWS Control Tower disponibile nelle regioni di AWS Asia Pacifico (Tailandia) e Messico (Centrale)AWS Config Controlli aggiuntivi disponibiliAnnulla registrazione ed eliminazione delle azioni per OUsControl Catalog supporta gli indirizzi IPv6

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

gennaio 2025 - Presente

Da gennaio 2025, AWS Control Tower ha rilasciato i seguenti aggiornamenti:

AWS Control Tower supporta IPv6 gli indirizzi

18 agosto 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

L'API AWS Control Tower ora supporta gli indirizzi Internet Protocol versione 6 (IPv6) tramite i nostri nuovi endpoint dual-stack. Il supporto per gli endpoint esistenti IPv4 rimane disponibile per la compatibilità con le versioni precedenti. I nuovi domini dual-stack sono disponibili da Internet o all'interno di un Amazon Virtual Private Cloud (VPC) utilizzando. AWS PrivateLink

Account Factory per Terraform versione 1.15.0 disponibile

28 luglio 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

È disponibile la versione 1.15.0 di AWS Control Tower Account Factory for Terraform (AFT). Per ulteriori informazioni, consulta il repository AFT. GitHub

Controlli aggiornati con i tipi di istanze Nitro

24 luglio 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ha aggiornato gli otto controlli proattivi nel Control Catalog (precedentemente chiamato Control Library) che applicano i tipi di istanze Amazon EC2 . Questo aggiornamento consente di creare istanze di alcuni nuovi tipi di istanze Nitro e rimuove alcuni tipi di istanze obsoleti della serie u.

Controlli aggiornati
Nuovi tipi di istanze disponibili

  • c8gd

  • c8gn

  • i7i

  • m8gd

  • p6-b200

  • r8gd

Tipi di istanze rimossi

  • u-12tb1

  • u-18tb1

  • u-24tb1

  • u-9tb1

I controlli aggiornati sono disponibili Regioni AWS ovunque sia disponibile AWS Control Tower. Per un elenco delle regioni in cui è disponibile AWS Control Tower, consulta la Regione AWS tabella.

AWS Control Tower disponibile nella regione Asia Pacifico (Taipei)

23 luglio 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower è ora disponibile nella regione Asia Pacifico (Taipei):

Per un elenco completo delle regioni in cui è disponibile AWS Control Tower, consulta la tabella delle AWS regioni.

30 giugno 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ora supporta AWS PrivateLink. Puoi richiamare AWS Control Tower e Control Catalog APIs dall'interno del tuo Amazon Virtual Private Cloud (VPC) senza attraversare la rete Internet pubblica. AWS PrivateLink fornisce connettività privata tra cloud privati virtuali (VPCs), servizi e risorse supportati e reti locali. AWS PrivateLink il supporto per AWS Control Tower è disponibile Regioni AWS ovunque sia disponibile AWS Control Tower.

Support per framework di settore aggiuntivi, metadati aggiornati

12 giugno 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

Con questa versione, AWS Control Tower si espande per includere il supporto per 10 framework di settore. Per un elenco di framework, consulta Frameworks supportati.

Ad esempio, puoi iniziare accedendo alla pagina Control Catalog nella console AWS Control Tower e cercando un framework, come PCI-DSS-v4.0, per visualizzare tutti i controlli relativi a quel framework. Oppure puoi esaminare i controlli e i framework a livello di codice, chiamando la nuova API. ListControlMappings

Le definizioni dei metadati associate ai controlli stanno cambiando, per supportare meglio questi framework di settore aggiuntivi. Le modifiche ai metadati possono influire sul modo in cui si valutano i controlli per l'abilitazione. Ad esempio, i valori per i metadati NIST, PCI e CIS potrebbero essere cambiati. Ti consigliamo di rivedere le mappature per i controlli abilitati nella pagina dei dettagli del controllo nella console.

Nella console e nell'API, abbiamo introdotto 3 nuovi campi di metadati. Collettivamente, questi campi descrivono una gerarchia che aiuta a capire come classificare e abilitare i controlli. I campi sono: Dominio, Obiettivo e Controllo comune. Abbiamo ridefinito i nostri obiettivi di controllo per allinearli meglio alla più ampia gamma di framework di settore disponibili. Per ulteriori informazioni su questa gerarchia, vedere Panoramica dell'ontologia.

  • Queste modifiche ai metadati si riflettono nella console AWS Control Tower e l'esperienza della console è coerente tra la torre di controllo AWS e le AWS Config console.

  • Per visualizzare le informazioni di controllo nella console AWS Control Tower, devi aggiungere controlcatalog autorizzazioni aggiuntive alle tue policy IAM. Per ulteriori informazioni, consulta Autorizzazioni necessarie per utilizzare la console AWS Control Tower.

  • Ogni controllo ha ora un nuovo campo chiamatoGovernedResources, che mostra i tipi di risorse governati dal controllo. In alcuni casi, questo campo mostra il prefisso di servizio per le risorse e in altri casi può essere vuoto. Per ulteriori informazioni, consultare GetControl e ListControls.

Con questa versione, abbiamo rinominato Controls Library in Control Catalog, per coerenza con altri termini.

Controlli collegati ai servizi AWS Config

12 giugno 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower annuncia il supporto per i controlli investigativi di AWS Control Tower da implementare come regole collegate ai servizi AWS Config .

Con questa versione, AWS Control Tower ora distribuisce regole Config collegate ai servizi direttamente negli account registrati, sostituendo il metodo di distribuzione precedente con set di stack. AWS CloudFormation Questa modifica migliora in modo significativo la velocità di implementazione. Inoltre, queste regole di Config collegate ai servizi aiutano a garantire una governance coerente delle risorse, poiché impediscono variazioni involontarie della configurazione che potrebbero essere causate da modifiche manuali ai set di stack o alle regole di Config. AWS CloudFormation

In futuro, tutti i controlli AWS Control Tower implementati dalle AWS Config regole verranno implementati con questo meccanismo, che richiama direttamente il AWS Config APIs.

Importante

Prima di adottare regole di Config collegate ai servizi, esamina le personalizzazioni esistenti, come le correzioni, che hai apportato alle regole di Config al di fuori di AWS Control Tower, poiché queste personalizzazioni verranno rimosse durante la transizione. AWS Config APIs Non supportano l'aggiunta di configurazioni di riparazione per le regole collegate ai servizi. AWS Config Consultare PutRemediationConfigurations.

Dettagli e azioni richieste

  • Quando aggiorni o ripristini la landing zone, AWS Control Tower aggiorna i controlli obbligatori che regolano l'unità organizzativa di sicurezza. Per completare l'aggiornamento, devi anche reimpostare tutti i controlli di rilevamento implementati con le AWS Config regole o registrare nuovamente l'unità organizzativa.

  • L'intero ambito di questo aggiornamento si applica a te se la versione della landing zone di AWS Control Tower è 3.2 o successiva. Quando si applica questo aggiornamento, le AWS Config regole esistenti vengono modificate per diventare regole Config gestite dal servizio, insieme al nuovo metodo di distribuzione.

  • Se la tua landing zone è la versione 3.1 o precedente, tutte le nuove regole di Config verranno implementate con il nuovo metodo, non più con gli Stack Sets. Le regole Config esistenti NON vengono aggiornate per diventare regole di Config gestite dal servizio. Rimarranno del tipo standard.

  • È possibile identificare le regole di configurazione collegate ai servizi in base alla relativa risorsa ARN, che ha la forma:

    arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*

La funzionalità prevista dei controlli, se implementata da regole collegate ai servizi, non è AWS Config cambiata. Le regole Config investigative e collegate ai servizi di AWS Control Tower possono identificare le risorse non conformi all'interno degli account, come le violazioni delle policy, e fornire avvisi tramite la dashboard. Per mantenere la coerenza, prevenire variazioni di configurazione e semplificare l'esperienza utente complessiva, queste regole ora possono essere modificate solo tramite AWS Control Tower.

Come parte di questa versione, abbiamo aggiunto quattro nuove autorizzazioni alla policy per il ruolo collegato al servizio (SLR) AWSServiceRoleForAWSControlTower, in modo da poter abilitare e disabilitare le regole collegate ai servizi AWS Config per gli account registrati.


config:DescribeConfigRules
config:TagResource
config:PutConfigRule
config:DeleteConfigRule

La visualizzazione della console dei controlli abilitati offre visibilità centralizzata

21 maggio 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ha aggiunto una nuova pagina nella console che mostra tutti i controlli abilitati in un'unica visualizzazione centralizzata. In precedenza, i controlli erano visualizzabili solo con l'account o l'unità organizzativa su cui erano abilitati. La visualizzazione consolidata semplifica l'identificazione delle lacune nella governance del controllo, su larga scala.

Nella pagina Controlli abilitati, puoi filtrare i controlli in base al comportamento: Preventivo, Detective o Proattivo. È inoltre possibile filtrare in base all'implementazione del controllo, ad esempio SCP. Per ogni controllo, puoi vedere quanti OUs hanno questo controllo abilitato.

Per visualizzare la pagina Controlli abilitati, vai alla sezione Controlli nella console AWS Control Tower.

Account Factory for Terraform (AFT) supporta nuove configurazioni al momento dell'implementazione

13 maggio 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

Il framework di personalizzazione degli account AWS Control Tower, Account Factory for Terraform (AFT), ora supporta tre configurazioni opzionali aggiuntive al momento della distribuzione. È possibile distribuire AFT in un cloud privato virtuale (VPC) personalizzato, specificare il nome del progetto Terraform per la distribuzione AFT e contrassegnare le risorse create da AFT.

Per ulteriori informazioni, consulta Deploy AWS Control Tower Account Factory for Terraform (AFT).

AWS Control Tower introduce la reportistica a livello di account come riferimento APIs

12 maggio 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

Ora puoi visualizzare lo stato di drift e di registrazione degli account in modo programmatico per i tuoi account gestiti, chiamando la linea di base. APIs Grazie a questa funzionalità, è possibile identificare quando le configurazioni di base dell'account e dell'unità organizzativa sono diverse o non sono sincronizzate. Per visualizzare lo stato della deriva a livello di codice, puoi chiamare l'API per le linee di base abilitate. ListEnabledBaselines Per visualizzare gli stati dei singoli account in modo programmatico con l'API, usa il flag. ListEnabledBaselines includeChildren Puoi filtrare in base a questi stati e visualizzare solo gli account OUs che richiedono la tua attenzione.

AWS ControlTowerBaselineImposta le configurazioni, i controlli e le risorse ottimali necessari per la governance. Quando abiliti questa linea di base su un'unità organizzativa (OU), gli account dei membri all'interno dell'unità organizzativa vengono registrati automaticamente in AWS Control Tower. La linea di base di AWS Control Tower APIs include AWS CloudFormation il supporto, che ti consente di creare automazioni per gestire i tuoi OUs account con Infrastructure as Code (IaC).

Per ulteriori informazioni APIs, consulta Baseline nella AWS Control Tower User Guide. Le funzionalità di reporting di base APIs e appena lanciate per la deviazione e lo stato di registrazione dell'account sono disponibili ovunque sia disponibile AWS Control Regioni AWS Tower. Per un elenco delle aree Regioni AWS in cui è disponibile AWS Control Tower, consulta la Regione AWS Tabella.

AWS Control Tower disponibile nelle regioni di AWS Asia Pacifico (Tailandia) e Messico (Centrale)

9 maggio 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower è ora disponibile nelle seguenti AWS regioni:

  • Asia Pacifico (Tailandia)

  • Messico (centrale)

Per un elenco completo delle regioni in cui è disponibile AWS Control Tower, consulta la tabella delle AWS regioni.

AWS Config Controlli aggiuntivi disponibili

11 aprile 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ora supporta 223 AWS Config regole gestite aggiuntive per vari casi d'uso, come sicurezza, costi, durabilità e operazioni. Con questo lancio, ora puoi usare AWS Control Tower per cercare e scoprire le AWS Config regole necessarie per governare il tuo ambiente multi-account; quindi abilitare e gestire i controlli direttamente da AWS Control Tower.

Per iniziare dalla console AWS Control Tower, vai al Control Catalog e cerca i controlli con il filtro di implementazione AWS Config. Puoi abilitare i controlli direttamente dalla console AWS Control Tower.

Per ulteriori dettagli, consulta AWS Config Controlli integrati disponibili in AWS Control Tower.

Con questo lancio, abbiamo aggiornato la ListControls e GetControl APIs per supportare tre nuovi campi: CreateTimeSeverity e Implementation, che puoi utilizzare per cercare un controllo in Control Catalog. Ad esempio, ora puoi trovare a livello di codice AWS Config le regole ad alta severità create dopo l'ultima valutazione.

Puoi cercare le nuove AWS Config regole Regioni AWS ovunque sia disponibile AWS Control Tower. Per implementare una regola, consulta l'elenco delle regole supportate Regioni AWS per quella regola, per vedere dove può essere abilitata.

Annulla registrazione ed eliminazione delle azioni per OUs

8 aprile 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

AWS Control Tower ora supporta azioni separate da console per annullare la registrazione di un'unità organizzativa ed eliminare un'unità organizzativa. È necessario annullare la registrazione dell'unità organizzativa prima di eliminarla. Puoi rimuovere un'unità organizzativa da AWS Control Tower annullandone la registrazione.

Per ulteriori informazioni, consulta Rimuovere un'unità organizzativa.

Control Catalog supporta gli indirizzi IPv6

2 aprile 2025

(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower).

L'API AWS Control Tower Control Catalog ora supporta gli indirizzi Internet Protocol versione 6 (IPv6) tramite i nostri nuovi endpoint dual-stack. Il supporto esistente per gli endpoint Control Catalog IPv4 rimane disponibile per la compatibilità con le versioni precedenti. I nuovi domini dual-stack sono disponibili da Internet o all'interno di un Amazon Virtual Private Cloud (VPC) utilizzando. AWS PrivateLink