2022 年 1 月~12 月 - AWS Control Tower
同時アカウント操作Account Factory のカスタマイズ (AFC)包括的なコントロールが をサポート AWS リソースのプロビジョニングと管理すべての で表示可能なコンプライアンスステータス AWS Config ルールAPI コントロール用の と新しい AWS CloudFormation リソースCfCT がスタックセットの削除をサポートカスタマイズされたログの保持ロールドリフト修復可能AWS Control Tower ランディングゾーンバージョン 3.0Organization ページは、 アカウントOUsと アカウントのビューを結合します。個々のメンバーアカウントの登録と更新が容易にAFT が共有 AWS Control Tower アカウントの自動カスタマイズをサポートすべてのオプションのコントロールの同時操作既存のセキュリティアカウントとログアカウントAWS Control Tower ランディングゾーンバージョン 2.9AWS Control Tower ランディングゾーンバージョン 2.8

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

2022 年 1 月~12 月

2022 年、AWSControl Tower は次の更新をリリースしました。

同時アカウント操作

2022 年 12 月 16 日

(AWSControl Tower ランディングゾーンの更新は必要ありません。)

AWS Control Tower が Account Factory での同時アクションをサポートするようになりました。一度に最大 5 つのアカウントを作成、更新、または登録できるようになります。最大 5 つのアクションを連続して送信し、各リクエストの完了状況を確認できます。その間、アカウントの作成はバックグラウンドで完了します。たとえば、別のアカウントを更新したり、組織単位 (OU) 全体を再登録したりする前に、各プロセスが完了するのを待つ必要がなくなります。

Account Factory のカスタマイズ (AFC)

2022 年 11 月 28 日

(AWSControl Tower ランディングゾーンの更新は必要ありません。)

Account Factory のカスタマイズでは、AWSControl Tower コンソール内から新規および既存のアカウントをカスタマイズできます。これらの新しいカスタマイズ機能により、アカウントのブループリントを柔軟に定義できます。 AWS CloudFormation 特殊な Service Catalog 製品に含まれる テンプレート。ブループリントにより、完全にカスタマイズされたリソースと構成がプロビジョニングされます。また、 によって構築および管理される定義済みのブループリントを使用することもできます。 AWS 特定のユースケースに合わせてアカウントをカスタマイズするのに役立つ パートナー。

以前は、AWSControl Tower Account Factory はコンソールでのアカウントのカスタマイズをサポートしていませんでした。Account Factory の今回の更新により、アカウント要件を事前に定義して、明確に定義されたワークフローの一部として実装できます。ブループリントを適用して新しいアカウントを作成し、他のアカウントを登録できます。 AWS アカウントを AWS Control Tower に追加し、既存の Control Tower AWS アカウントを更新します。

Account Factory でアカウントをプロビジョニング、登録、または更新するとき、デプロイするブループリントを選択します。ブループリントで指定されているリソースは、アカウントでプロビジョニングされます。アカウントの作成が完了すると、すべてのカスタム構成をすぐに使用できます。

アカウントのカスタマイズを開始するには、Service Catalog 製品で目的のユースケースに合わせてリソースを定義します。パートナー管理のソリューションを から選択することもできます。 AWS 入門ライブラリ。詳細については、「Account Factory Customization (AFC) を使用したアカウントのカスタマイズ」を参照してください。

包括的なコントロールが をサポート AWS リソースのプロビジョニングと管理

2022 年 11 月 28 日

(AWSControl Tower ランディングゾーンの更新は必要ありません。)

AWS Control Tower は、 を通じて実装される新しいオプションのプロアクティブコントロールを含む包括的なコントロール管理をサポートするようになりました。 AWS CloudFormation フック。これらのコントロールは、リソースをデプロイする前にリソースをチェックして、新しいリソースが環境内で有効になっているコントロールに準拠しているかどうかを判断するため、プロアクティブと呼ばれます。

130 を超える新しいプロアクティブコントロールは、AWSControl Tower 環境の特定のポリシー目標を達成し、業界標準のコンプライアンスフレームワークの要件を満たすとともに、他の 20 を超える で AWS Control Tower のやり取りを管理するのに役立ちます。 AWS サービス。

AWS Control Tower コントロールライブラリは、関連付けられた に従ってこれらのコントロールを分類します。 AWS サービスとリソース。詳細については、「プロアクティブコントロール」を参照してください。

このリリースでは、AWSControl Tower も と統合されています。 AWS Security Hubは、 をサポートする新しい Security Hub サービスマネージドスタンダード: AWS Control Tower によってサポートされます。 AWS Foundational Security Best Practices (FSBP) 標準。コンソールで Control Tower コントロールとともに 160 を超える Security Hub AWS コントロールを表示でき、AWSControl Tower 環境の Security Hub セキュリティスコアを取得できます。詳細については、「Security Hub コントロール」を参照してください。

すべての で表示可能なコンプライアンスステータス AWS Config ルール

2022 年 11 月 18 日

(AWSControl Tower ランディングゾーンの更新は必要ありません。)

AWS Control Tower にすべての のコンプライアンスステータスが表示されるようになりました AWS Config AWS Control Tower に登録されている組織単位にデプロイされた ルール。すべての のコンプライアンスステータスを表示できます。 AWS Config AWS Control Tower コンソールの外に移動せずに、登録済みまたは未登録の AWS Control Tower のアカウントに影響する ルール。お客様は、検出コントロールと呼ばれる Config ルールを AWS Control Tower で設定するか、 を通じて直接設定するかを選択できます。 AWS Config サービス。によってデプロイされたルール AWS Config は、AWSControl Tower によってデプロイされたルールとともに表示されます。

以前は、 AWS Config を通じてデプロイされた ルール AWS Config サービスは AWS Control Tower コンソールに表示されませんでした。顧客は に移動する必要がありました AWS Config 非準拠を識別する サービス AWS Config ルール。これで、非準拠の を特定できます。 AWS Config AWS Control Tower コンソール内の ルール。すべての Config ルールのコンプライアンスステータスを表示するには、AWSControl Tower コンソールのアカウントの詳細ページに移動します。Control Tower および AWS Control Tower の外部にデプロイされた Config ルールによって管理されるAWSコントロールのコンプライアンスステータスを示すリストが表示されます。

API コントロール用の と新しい AWS CloudFormation リソース

2022 年 9 月 1 日

(AWSControl Tower ランディングゾーンの更新は必要ありません。)

AWS Control Tower は、一連のAPI呼び出しを通じて、ガードレール とも呼ばれるコントロールのプログラムによる管理をサポートするようになりました。新しい AWS CloudFormation リソースは、 コントロールAPIの機能をサポートします。詳細については、「 AWS Control Tower でのタスクの自動化 」および「 を使用した AWS Control Tower リソースの作成 AWS CloudFormation」を参照してください。

APIs これにより、AWSControl Tower ライブラリでコントロールのアプリケーションステータスを有効、無効に、表示できます。のインAPIsクルードサポート AWS CloudFormationで を管理できます。 AWS infrastructure-as-code (IaC ) としての リソース。AWS Control Tower は、組織単位 (OU) 全体とすべての に関するポリシーの意図を表す予防コントロールと検出コントロールをオプションで提供します。 AWS OU 内の アカウント。これらのルールは、新しいアカウントを作成したり、既存のアカウントを変更したりしても、有効に存続します。

APIs このリリースに含まれる

  • EnableControl– このAPI呼び出しはコントロールをアクティブ化します。が作成する非同期オペレーションを開始します。 AWS 指定された組織単位とそれに含まれるアカウントの リソース。

  • DisableControl– このAPI呼び出しはコントロールをオフにします。削除される非同期オペレーションを開始します。 AWS 指定された組織単位とそれに含まれるアカウントの リソース。

  • GetControlOperation– 特定の EnableControlまたは DisableControlオペレーションのステータスを返します。

  • ListEnabledControls– 指定された組織単位とそれに含まれるアカウントで AWS Control Tower によって有効になっているコントロールを一覧表示します。

オプションのコントロールのコントロール名のリストを表示するには、「 Control AWS Tower ユーザーガイド」の「 APIsとコントロールのリソース識別子」を参照してください。

CfCT がスタックセットの削除をサポート

2022 年 8 月 26 日

(AWSControl Tower ランディングゾーンの更新は必要ありません。)

AWS Control Tower のカスタマイズ (CfCT ) では、 manifest.yaml ファイルで パラメータを設定することで、スタックセットの削除がサポートされるようになりました。詳細については、「スタックセットの削除」を参照してください。

重要

最初に の値を に設定するとenable_stack_set_deletiontrue、次に CfCT を呼び出すときに、キータグ が関連付けられCustomControlTower-、マニフェストファイルで宣言されていないKey:AWS_Solutions, Value: CustomControlTowerStackSetプレフィックス で始まるALLリソースが削除のためにステージングされます。

カスタマイズされたログの保持

2022 年 8 月 15 日

(AWSControl Tower ランディングゾーンの更新が必要です。 詳細については、「」を参照してくださいランディングゾーンを更新する

AWS Control Tower では、AWSControl Tower CloudTrail ログを保存する Amazon S3 バケットの保持ポリシーをカスタマイズできるようになりました。日単位または年単位で最大 15 年まで保存するという Amazon S3 ログ保持ポリシーをカスタマイズできます。

ログの保持をカスタマイズしない場合、デフォルト設定は、標準アカウントのログ記録で 1 年、アクセスログで 10 年です。

この機能は、ランディングゾーンを更新または修復するときに AWS Control Tower を通じて既存のお客様に、および Control Tower AWS のセットアッププロセスを通じて新規のお客様に利用できます。

ロールドリフト修復可能

2022 年 8 月 11 日

(AWSControl Tower ランディングゾーンの更新は必要ありません。)

AWS Control Tower でロールドリフトの修復がサポートされるようになりました。ランディングゾーンを完全に修復しなくても、必要なロールを復元できます。このタイプのドリフト修復が必要な場合、コンソールのエラーページにロールを復元する手順が示され、ランディングゾーンが再び使用可能になります。

AWS Control Tower ランディングゾーンバージョン 3.0

2022 年 7 月 29 日

(AWSControl Tower ランディングゾーンをバージョン 3.0 に更新する必要があります。 詳細については、「」を参照してくださいランディングゾーンを更新する

AWS Control Tower ランディングゾーンバージョン 3.0 には、次の更新が含まれています。

  • 組織レベルを選択するオプション AWS CloudTrail 証跡、または AWS Control Tower によって管理される CloudTrail 証跡をオプトアウトする。

  • 以下を判断するための 2 つの新しい検出コントロール AWS CloudTrail は、 アカウントのアクティビティをログに記録します。

  • 集約するオプション AWS Config ホームリージョンのグローバルリソースに関する情報のみ。

  • リージョン拒否コントロールの更新。

  • 管理ポリシー の更新AWSControlTowerServiceRolePolicy

  • 登録された各アカウントaws-controltower/CloudTrailLogsでIAMロールaws-controltower-CloudWatchLogsRoleと CloudWatch ロググループを作成しなくなりました。以前は、アカウント証跡用に各アカウントでこれらを作成していました。組織証跡では、管理アカウントに 1 つだけ作成します。

次のセクションでは、各能力タイプの詳細を示します。

AWS Control Tower の組織レベルの CloudTrail 証跡

ランディングゾーンバージョン 3.0 では、AWSControl Tower が組織レベルをサポートするようになりました AWS CloudTrail 証跡。

AWS Control Tower ランディングゾーンをバージョン 3.0 に更新する場合、組織レベルを選択することもできます。 AWS CloudTrail ログ記録設定としての 証跡、または AWS Control Tower によって管理される CloudTrail 証跡のオプトアウト。バージョン 3.0 に更新すると、AWSControl Tower は 24 時間の待機期間後に登録済みアカウントの既存のアカウントレベルの証跡を削除します。AWS Control Tower は、未登録アカウントのアカウントレベルの証跡を削除しません。万一ランディングゾーンの更新が成功せず、AWSControl Tower が組織レベルの証跡を作成した後に障害が発生した場合、更新オペレーションが正常に完了するまで、組織レベルおよびアカウントレベルの証跡に対して重複料金が発生する可能性があります。

ランディングゾーン 3.0 以降、AWSControl Tower は、 AWS が管理します。代わりに、AWSControl Tower は組織レベルの証跡を作成します。この証跡は、選択した内容に応じてアクティブまたは非アクティブになります。

注記

バージョン 3.0 以降に更新した後は、AWSControl Tower によって管理されるアカウントレベルの CloudTrail 証跡を続行することはできません。

ログは保存されている既存の Amazon S3 バケットに残っているため、集約されたアカウントログからログデータが失われることはありません。証跡のみが削除され、既存のログは削除されません。組織レベルの証跡を追加するオプションを選択すると、AWSControl Tower は Amazon S3 バケット内の新しいフォルダへの新しいパスを開き、その場所にログ情報を送信し続けます。AWS Control Tower によって管理される証跡をオプトアウトすることを選択した場合、既存のログはバケットに変更されずに残ります。

ログストレージのパス命名規則

  • アカウント証跡ログは、次の形式のパスで保存されます。/org id/AWSLogs/…

  • アカウント証跡ログは、次の形式のパスで保存されます。/org id/AWSLogs/org id/…

AWS Control Tower が組織レベルの CloudTrail 証跡用に作成するパスは、手動で作成された組織レベルの証跡のデフォルトパスとは異なります。このパスには、次の形式があります。

  • /AWSLogs/org id/…

CloudTrail パスの命名の詳細については、 CloudTrail 「ログファイルの検索」を参照してください。

ヒント

独自のアカウントレベルの証跡を作成および管理する場合は、AWSControl Tower ランディングゾーンバージョン 3.0 の更新を完了する前に新しい証跡を作成して、すぐにログ記録を開始することをお勧めします。

いつでも、新しいアカウントレベルまたは組織レベルの CloudTrail証跡を作成し、自分で管理することができます。AWS Control Tower によって管理される組織レベルの CloudTrail証跡を選択するオプションは、バージョン 3.0 以降のランディングゾーンの更新中に使用できます。ランディングゾーンを更新するたびに、組織レベルの証跡をオプトイン/オプトアウトできます。

ログがサードパーティサービスによって管理されている場合は、必ずそのサービスに新しいパス名を提供してください。

注記

バージョン 3.0 以降のランディングゾーンの場合、アカウントレベル AWS CloudTrail 証跡は Control Tower AWS ではサポートされていません。独自のアカウントレベルの証跡はいつでも作成して維持することも、AWSControl Tower によって管理される組織レベルの証跡をオプトインすることもできます。

レコード AWS Config ホームリージョンの リソースのみ

ランディングゾーンバージョン 3.0 では、AWSControl Tower は のベースライン設定を更新しました。 AWS Config ホームリージョン内のグローバルリソースのみを記録するようにします。バージョン 3.0 にアップデートした後、グローバルリソースのリソース記録がホームリージョンでのみ有効化されます。

この設定はベストプラクティスであるとみなされています。によって推奨されます AWS Security Hub また、 AWS Configと は、グローバルリソースの作成、変更、または削除時に作成される設定項目の数を減らすことでコスト削減を実現します。以前は、グローバルリソースが作成、更新、または削除されるたびに、顧客または のいずれによっても AWS サービスでは、管理対象リージョンごとに項目ごとに設定項目が作成されました。

用の 2 つの新しい検出コントロール AWS CloudTrail ログ記録

組織レベルへの変更の一環として AWS CloudTrail AWS Control Tower は、 が有効になっているかどうかを確認する 2 つの新しい検出コントロールを導入 CloudTrail しています。最初のコントロールには必須ガイダンスがあり、3.0 以降のセットアップまたはランディングゾーン更新中にセキュリティ OU で有効になります。2 番目のコントロールには強く推奨されるガイダンスがあり、必須のコントロール保護が既に適用されているセキュリティ OU OUs以外の にオプションで適用されます。

必須コントロール: セキュリティ組織単位の共有アカウントに があるかどうかを検出する AWS CloudTrail または CloudTrail Lake 有効

強く推奨されるコントロール: アカウントに があるかどうかを検出する AWS CloudTrail または CloudTrail Lake 有効

新しいコントロールの詳細については、AWS「Control Tower コントロールライブラリ」を参照してください。

リージョン拒否コントロールの更新

リージョン拒否コントロールNotActionのリストを更新して、以下に示すいくつかの追加サービスによるアクションを含めました。


            “chatbot:*”,
            "s3:GetAccountPublic",
            "s3:DeleteMultiRegionAccessPoint", 
            "s3:DescribeMultiRegionAccessPointOperation", 
            "s3:GetMultiRegionAccessPoint", 
            "s3:GetMultiRegionAccessPointPolicy", 
            "s3:GetMultiRegionAccessPointPolicyStatus",
            "s3:ListMultiRegionAccessPoints",
            "s3:GetStorageLensConfiguration", 
            “s3:GetStorageLensDashboard", 
            “s3:ListStorageLensConfigurations”
            “s3:GetAccountPublicAccessBlock“,,
            “s3:PutAccountPublic", 
            “s3:PutAccountPublicAccessBlock“,

動画チュートリアル

このビデオ (3:07) では、既存の AWS Control Tower ランディングゾーンをバージョン 3 に更新する方法について説明します。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

Organization ページは、 アカウントOUsと アカウントのビューを結合します。

2022 年 7 月 18 日

(AWSControl Tower ランディングゾーンの更新は必要ありません)

AWS Control Tower の新しい Organization ページには、すべての組織単位 (OUs) とアカウントの階層ビューが表示されます。以前から存在していた OUsおよび アカウントページの情報を組み合わせます。

新しいページでは、親OUsとネストされたアカウントOUsおよびアカウント間の関係を確認できます。リソースのグループ化に対してアクションを実行できます。ページビューを構成できます。例えば、階層ビューを展開または折りたたむ、アカウントのみを表示するようにビューをフィルタリングするOUs、登録済みアカウントと登録済み のみを表示するように選択するOUs、または関連リソースのグループを表示することができます。組織全体が適切に更新されていることを簡単に確認できます。

個々のメンバーアカウントの登録と更新が容易に

2022 年 5 月 31 日

(AWSControl Tower ランディングゾーンの更新は必要ありません)

AWS Control Tower では、メンバーアカウントを個別に更新および登録する機能が改善されました。各アカウントには更新可能な日時が表示されるため、メンバーアカウントに最新の設定が含まれていることをより簡単に確認できます。わずか数ステップの効率的な方法で、ランディングゾーンを更新したり、アカウントドリフトを修正したり、アカウントを登録済み OU に登録したりできます。

アカウントを更新するとき、各更新アクションにアカウントの組織単位 (OU) 全体を含める必要はありません。その結果、個々のアカウントの更新に必要な時間が大幅に短縮されます。

AWS Control Tower コンソールから、さらに多くのヘルプOUsを使用して、アカウントを Control Tower AWS に登録できます。AWS Control Tower に登録する既存のアカウントは、引き続きアカウントの前提条件を満たしており、AWSControlTowerExecutionロールを追加する必要があります。次に、任意の登録済みの OU を選択し、[Enroll] (登録) ボタンを選択してその OU にアカウントを登録できます。

Account Factory の [Create] (作成) アカウントのワークフローから [Enroll account] (アカウントの登録) 機能を分離して、これらの類似したプロセスをより区別し、アカウント情報を入力するときの設定エラーを回避できるようにしました。

AFT が共有 AWS Control Tower アカウントの自動カスタマイズをサポート

2022 年 5 月 27 日

(AWSControl Tower ランディングゾーンの更新は必要ありません)

Account Factory for Terraform (AFT) では、管理アカウント、監査アカウント、ログアーカイブアカウント、登録済みアカウントなど、AWSControl Tower によって管理されているすべてのアカウントをプログラムでカスタマイズおよび更新できるようになりました。アカウントのカスタマイズと更新の管理を一元化するとともに、アカウント設定のセキュリティを保護できます (この作業を実行するロールの適用範囲はユーザーが決めます)。

既存のロールは、すべてのアカウントにカスタマイズをデプロイするAWSAFTExecutionようになりました。ビジネス要件とセキュリティ要件に応じてAWSAFTExecutionロールへのアクセスを制限する境界を持つアクセスIAM許可を設定できます。また、そのロールに承認されたカスタマイズの許可を、信頼されたユーザーにプログラムで委任することもできます。ベストプラクティスとして、必要なカスタマイズをデプロイする必要があるユーザーだけに許可を制限することをお勧めします。

AFT は、共有アカウントや管理アカウントを含むすべてのマネージドアカウントにAFTリソースをデプロイする新しいAWSAFTServiceロールを作成するようになりました。リソースは、以前はAWSAFTExecutionロールによってデプロイされていました。

AWS Control Tower の共有アカウントと管理アカウントは Account Factory を通じてプロビジョニングされないため、 に対応するプロビジョニング済み製品はありません。 AWS Service Catalog。 したがって、Service Catalog で共有アカウントと管理アカウントを更新することはできません。

すべてのオプションのコントロールの同時操作

2022 年 5 月 18 日

(AWSControl Tower ランディングゾーンの更新は必要ありません)

AWS Control Tower は、予防コントロールと検出コントロールの同時オペレーションをサポートするようになりました。

この新しい機能により、すべてのオプションのコントロールを同時に適用または削除できるため、これらのコントロールの使いやすさとパフォーマンスが向上します。個々のコントロールの操作が完了するまで待たずに、複数のオプションのコントロールを有効にできます。唯一の制限時間は、AWSControl Tower がランディングゾーンのセットアップ中である場合、またはガバナンスを新しい組織に拡張する場合です。

予防コントロールでサポートされる機能は以下のとおりです。

  • 同じ OU に対して複数の異なる予防コントロールを適用または削除する。

  • 異なる に異なる予防コントロールOUsを同時に適用および削除します。

  • 複数の に同じ予防コントロールOUsを同時に適用および削除します。

  • 任意の数の予防コントロールと検出コントロールを同時に適用または削除できます。

AWS Control Tower のすべてのリリースバージョンで、これらのコントロールの同時実行性の改善を体験できます。

ネストされた に予防コントロールを適用するとOUs、それらのアカウントと が AWS Control Tower OUs に登録されていない場合でも、予防コントロールOUsはすべてのアカウントとターゲット OU の下にネストされます。予防コントロールは、 の一部であるサービスコントロールポリシー (SCPs) を使用して実装されます。 AWS Organizations。 検出コントロールは を使用して実装されます。 AWS Config ルール。ガードレールは、新しいアカウントを作成したり、既存のアカウントを変更したりしても有効です。Control Tower AWS は、各アカウントが有効なポリシーにどのように準拠しているかの概要レポートを提供します。使用可能なコントロールの完全なリストについては、AWS「Control Tower コントロールライブラリ」を参照してください。

既存のセキュリティアカウントとログアカウント

2022 年 5 月 16 日

(初期セットアップ時に使用可能)

AWS Control Tower で、既存の を指定するオプションが提供されるようになりました。 AWS 最初のランディングゾーンのセットアッププロセス中に、 アカウントを AWS Control Tower のセキュリティアカウントまたはログ記録アカウントとして使用します。このオプションを使用すると、AWSControl Tower が新しい共有アカウントを作成する必要がなくなります。セキュリティアカウント (デフォルトでは、監査アカウントと呼ばれます) は、セキュリティチームとコンプライアンスチームに対してランディングゾーンのすべてのアカウントへのアクセスを許可する制限付きアカウントです。ログアカウント (デフォルトでは、ログアーカイブアカウントと呼ばれます) は、リポジトリとして機能します。ランディングゾーン内のすべてのアカウントのAPIアクティビティとリソース設定のログが保存されます。

既存のセキュリティアカウントとログ記録アカウントを導入することで、AWSControl Tower ガバナンスを既存の組織に拡張したり、代替ランディングゾーンから AWS Control Tower に移動したりすることが容易になります。既存のアカウントを使用するオプションは、ランディングゾーンの最初のセットアップ時に表示されます。これには、セットアッププロセス中のチェックも含まれ、デプロイが正常に完了したことが確認されます。AWS Control Tower は、既存のアカウントに必要なロールとコントロールを実装します。これらのアカウントにある既存のリソースやデータは削除またはマージされません。

制限: 既存の AWS アカウントを監査およびログアーカイブアカウントとして AWS Control Tower に、それらのアカウントに既存の がある場合 AWS Config リソース、既存の を削除する必要があります AWS Config AWS Control Tower にアカウントを登録する前に、 リソースを使用します。

AWS Control Tower ランディングゾーンバージョン 2.9

2020 年 4 月 22 日

(AWSControl Tower ランディングゾーンをバージョン 2.9 に更新する必要があります。 詳細については、「」を参照してくださいランディングゾーンを更新する

AWS Control Tower ランディングゾーンバージョン 2.9 は、Python バージョン 3.9 ランタイムを使用するように通知フォワーダー Lambda を更新します。この更新プログラムは、2022 年 7 月に予定されている Python バージョン 3.6 の非推奨化に対処します。最新情報については、Python の非推奨化に関するページを参照してください。

AWS Control Tower ランディングゾーンバージョン 2.8

2022 年 2 月 10 日

(AWSControl Tower ランディングゾーンをバージョン 2.8 に更新する必要があります。 詳細については、「」を参照してくださいランディングゾーンを更新する

AWS Control Tower ランディングゾーンバージョン 2.8 では、 の最近の更新と一致する機能が追加されました。 AWS Foundational Security Best Practices

このリリースでは:

  • 既存の S3 アクセスログバケットへのアクセスを追跡するために、ログアーカイブアカウントのアクセスログバケットに対してアクセスログが設定されました。

  • ライフサイクルポリシーのサポートが追加されました。既存の S3 アクセスログバケットのアクセスログは、デフォルトの保持期間の 10 年に設定されます。

  • さらに、このリリースでは、 を使用するように AWS Control Tower が更新されます。 AWS が提供するサービスにリンクされたロール (SLR) AWS Config、すべてのマネージドアカウント (管理アカウントを除く) で、一致する Config ルールを設定および管理できます。 AWS Config ベストプラクティス。アップグレードを行わないお客様は、引き続き既存のロールを使用することになります。

  • このリリースでは、暗号化のための AWS Control Tower KMS設定プロセスが効率化されています。 AWS Config データ、および の関連ステータスメッセージングが改善されました CloudTrail。

  • このリリースには、リージョン拒否コントロールの更新が含まれており、us-west-2route53-application-recovery 機能を使用できるようになりました。

  • 更新: 2022 年 2 月 15 日に、 のデッドレターキューを削除しました AWS Lambda 関数。

その他の詳細:

  • ランディングゾーンを廃止しても、AWSControl Tower は を削除しません。 AWS Config サービスにリンクされたロール。

  • Account Factory アカウントのプロビジョニングを解除しても、AWSControl Tower は を削除しません。 AWS Config サービスにリンクされたロール。

ランディングゾーンを 2.8 に更新するには、[Landing zone settings] (ランディングゾーンの設定) ページに移動し、2.8 バージョンを選択して、[Update] (更新) を選択します。ランディングゾーンを更新したら、「」に示されているように、AWSControl Tower によって管理されているすべてのアカウントを更新する必要がありますAWS Control Tower の設定更新管理