翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
2023 年 1 月~12 月
2023 年、AWSControl Tower は次の更新をリリースしました。
新しい への移行 AWS Service Catalog 外部製品タイプ (フェーズ 3)
2023 年 12 月 14 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、新しい の作成時に製品タイプ (ブループリント) として Terraform Open Source をサポートしなくなりました AWS アカウント。 アカウントブループリントの詳細と更新手順については、「 への移行」を参照してください。 AWS Service Catalog 外部製品タイプ 。
External 製品タイプを使用するようにアカウントブループリントを更新しない場合、Terraform オープンソースブループリントを使用してプロビジョニングしたアカウントの更新または終了のみが可能です。
AWS Control Tower ランディングゾーンバージョン 3.3
2023 年 12 月 14 日
(AWSControl Tower ランディングゾーンをバージョン 3.3 に更新する必要があります。 詳細については、「」を参照してくださいランディングゾーンを更新する)。
AWS Control Tower 監査アカウントの S3 バケットポリシーの更新
AWS Control Tower がアカウントにデプロイする Amazon S3 監査バケットポリシーを変更し、書き込みアクセス許可の条件が満たされaws:SourceOrgID
るようにしました。このリリースでは、 AWS サービスは、リクエストが組織または組織単位 (OU) から発信された場合にのみ、リソースにアクセスできます。
aws:SourceOrgID
条件キーを使用して、S3 バケットポリシーの条件要素で [組織 ID] の値を設定できます。この条件により、 は組織内のアカウントに代わって CloudTrail のみ S3 バケットにログを書き込むことができます。これにより、組織外の CloudTrail ログが AWS Control Tower S3 バケットに書き込まれなくなります。
この変更は、既存のワークロードの機能に影響を与えることなく、潜在的なセキュリティ上の脆弱性を修正するために行われました。更新されたポリシーを表示する方法については、「監査アカウントの Amazon S3 バケットポリシー」を参照してください。
新しい条件キーの詳細については、「 のスケーラブルなコントロールを使用する」というタイトルのIAMドキュメントとIAMブログ記事を参照してください。 AWS リソースにアクセスする のサービス」
のポリシーの更新 AWS Config SNS トピック
の新しいaws:SourceOrgID
条件キーを のポリシーに追加しました。 AWS Config SNS topic.To 更新されたポリシーを表示します。「」を参照してください。 AWS Config SNS トピックポリシー 。
ランディングゾーンのリージョン拒否コントロールの更新
-
discovery-marketplace:
を削除しました。このアクションはaws-marketplace:*
除外の対象となります。 -
「
quicksight:DescribeAccountSubscription
」を追加
更新 AWS CloudFormation テンプレート
を更新しました AWS CloudFormation という名前のスタックの テンプレートBASELINE-CLOUDTRAIL-MASTER
。 がドリフトを表示しない場合 AWS KMS 暗号化は使用されません。
新しい への移行 AWS Service Catalog 外部製品タイプ (フェーズ 2)
2023 年 12 月 7 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
HashiCorp は Terraform ライセンスを更新しました。その結果、 AWS Service Catalog は、Terraform Open Source 製品とプロビジョニング済み製品のサポートを External と呼ばれる新しい製品タイプに変更しました。
既存のワークロードと の中断を回避するには AWS アカウントの リソースについては、「 への移行」のAWS「Control Tower の移行ステップ」を参照してください。 AWS Service Catalog 2023 年 12 月 14 日までの外部製品タイプ。
AWS Control Tower がデジタル主権を支援するコントロールを発表
2023 年 11 月 27 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower が 65 個の新しい を発表 AWSデジタル主権要件を満たすのに役立つ マネージドコントロール。このリリースでは、Control Tower コンソールの新しいデジタル主権グループでこれらのAWSコントロールを検出できます。これらのコントロールを利用することで、データレジデンシー、きめ細かなアクセス制限、暗号化、レジリエンシー機能に関するアクションを防止したり、リソースの変更を検出したりできます。これらのコントロールは、要件に対して大規模かつ簡単に対応できるように設計されています。デジタル主権コントロールの詳細については、「デジタル主権保護を強化するコントロール」を参照してください。
例えば、 の必須など、暗号化と回復力戦略の適用に役立つコントロールを有効にすることができます。 AWS AppSync API キャッシュで転送中の暗号化を有効にするか、 が必要です AWS 複数のアベイラビリティーゾーンにデプロイする Network Firewall。AWS Control Tower リージョン拒否コントロールをカスタマイズして、独自のビジネスニーズに最適なリージョン制限を適用することもできます。
このリリースでは、AWSControl Tower リージョン拒否機能が大幅に強化されています。パラメータ化された新しいリージョン拒否コントロールを OU レベルで適用して、ガバナンスの細分性を高めながら、ランディングゾーンレベルでの追加のリージョンガバナンスを維持できます。このカスタマイズ可能なリージョン拒否コントロールにより、独自のビジネスニーズに最適なリージョン別の制限を適用できます。設定可能な新しいリージョン拒否コントロールの詳細については、「OU に適用されるリージョン拒否コントロール」を参照してください。
新しいリージョン拒否機能強化の新しいツールとして、このリリースには新しい API、 が含まれておりUpdateEnabledControl
、有効なコントロールをデフォルト設定にリセットできます。これはAPI、ドリフトを迅速に解決する必要がある場合や、コントロールがドリフト状態ではないことをプログラムで保証する必要がある場合に特に役立ちます。新しい の詳細についてはAPI、AWS「 Control Tower APIリファレンス」を参照してください。
新しいプロアクティブコントロール
-
CT.APIGATEWAY.PR.6: Amazon API Gateway RESTドメインは、.2 の最小TLSプロトコルバージョンを指定するセキュリティポリシーを使用する必要がありますTLSv1。
-
CT.APPSYNC.PR.2: が必要です AWS AppSync プライベート可視性で設定APIする GraphQL
-
CT.APPSYNC.PR.3: が必要です AWS AppSync GraphQL APIがAPIキーで認証されていない
-
CT.APPSYNC.PR.4: が必要です AWS AppSync 転送中の暗号化を有効にする GraphQL APIキャッシュ。
-
CT.APPSYNC.PR.5: が必要です AWS AppSync 保管時の暗号化を有効にする GraphQL APIキャッシュ。
-
CT.AUTOSCALING.PR.9: 保管中のデータを暗号化するには、Amazon EC2 Auto Scaling 起動設定を使用して Amazon EBSボリュームを設定する必要があります
-
CT.AUTOSCALING.PR.10: Amazon EC2 Auto Scaling グループに のみの使用を要求する AWS 起動テンプレートを上書きするときの Nitro インスタンスタイプ
-
CT.AUTOSCALING.PR.11: のみが必要 AWS 起動テンプレートを上書きするときに Amazon EC2 Auto Scaling グループに追加されるインスタンス間のネットワークトラフィックの暗号化をサポートする Nitro インスタンスタイプ
-
CT.DAX.PR.3: DynamoDB Accelerator クラスターが Transport Layer Security を使用して転送中のデータを暗号化する必要がある (TLS)
-
CT.DMS.PR.2: が必要です AWS ソースエンドポイントとターゲットエンドポイントの接続を暗号化する Database Migration Service (DMS) エンドポイント
-
CT.EC2.PR.15: Amazon EC2インスタンスで を使用する必要がある AWS
AWS::EC2::LaunchTemplate
リソースタイプから を作成するときの Nitro インスタンスタイプ -
CT.EC2.PR.16: Amazon EC2インスタンスで を使用する必要がある AWS
AWS::EC2::Instance
リソースタイプを使用して作成された場合の Nitro インスタンスタイプ -
CT.EC2.PR.17: Amazon EC2専有ホストは AWS Nitro インスタンスタイプを使用する必要があります
-
CT.EC2.PR.18: Amazon EC2フリートは、これらの起動テンプレートのみを で上書きする必要があります AWS Nitro インスタンスタイプ
-
CT.EC2.PR.19:
AWS::EC2::Instance
リソースタイプEC2を使用して作成された場合、インスタンス間の転送中の暗号化をサポートする nitro インスタンスタイプを Amazon インスタンスで使用する必要があります -
CT.EC2.PR.20: Amazon EC2フリートは、これらの起動テンプレートのみを で上書きする必要があります AWS インスタンス間の転送中の暗号化をサポートする Nitro インスタンスタイプ
-
CT.ELASTICACHE.PR.8: 以降の Redis バージョンの Amazon ElastiCache レプリケーショングループでRBAC認証を有効にする必要があります
-
CT.MQ.PR.1: Amazon MQ ActiveMQ ブローカーでは、高可用性を確保するためにアクティブ/スタンバイデプロイモードを使用する必要があります
-
CT.MQ.PR.2: Amazon MQ Rabbit MQ ブローカーでは、高可用性を確保するためにマルチ AZ クラスターモードを使用する必要があります
-
CT.MSK.PR.1: Amazon Managed Streaming for Apache Kafka (MSK) クラスターがクラスターブローカーノード間で転送中の暗号化を強制する必要がある
-
CT.MSK.PR.2: Amazon Managed Streaming for Apache Kafka (MSK) クラスターを PublicAccess 無効に設定する必要があります
-
CT.NETWORK-FIREWALL.PR.5: が必要です AWS 複数のアベイラビリティーゾーンにデプロイする Network Firewall ファイアウォール
-
CT.RDS.PR.26: Amazon RDS DB Proxy で Transport Layer Security (TLS) 接続を要求する
-
CT.RDS.PR.27: Amazon RDS DB クラスターパラメータグループで、サポートされているエンジンタイプに Transport Layer Security (TLS) 接続を要求する必要があります
-
CT.RDS.PR.28: Amazon RDS DB パラメータグループで、サポートされているエンジンタイプに Transport Layer Security (TLS) 接続を要求する必要があります
-
CT.RDS.PR.29: Amazon RDSクラスターが「」プロパティを使用してパブリックアクセス可能に設定されていないことPubliclyAccessibleを要求する
-
CT.RDS.PR.30: Amazon RDS データベースインスタンスには、サポートされているエンジンタイプに指定したKMSキーを使用するように設定された保管時の暗号化が必要です
-
CT.S3.PR.12: Amazon S3 アクセスポイントには、すべてのオプションを true に設定してパブリックアクセスブロック (BPA) 設定が必要です
新しい予防コントロール
-
CT.APPSYNC.PV.1 に を要求する AWS AppSync GraphQL APIはプライベート可視性で設定されています
-
CT.EC2.PV.1 Amazon EBSスナップショットを暗号化されたEC2ボリュームから作成する必要があります。
-
CT.EC2.PV.2 アタッチされた Amazon EBSボリュームが保管中のデータを暗号化するように設定されている必要があります
-
CT.EC2.PV.3 Amazon EBSスナップショットをパブリックに復元できないように要求する
-
CT.EC2.PV.4 Amazon EBS direct が呼び出されないように要求APIsする
-
CT.EC2.PV.5 Amazon EC2 VM のインポートとエクスポートの使用を禁止する
-
CT.EC2.PV.6 非推奨の Amazon EC2 RequestSpotFleet および RequestSpotInstances API アクションの使用を禁止する
-
CT.KMS.PV.1 を要求する AWS KMS の作成を制限するステートメントを持つ キーポリシー AWS KMS への 許可 AWS サービス
-
CT.KMS.PV.2 に を要求する AWS KMS 暗号化に使用されるキーマテリアルを持つ非対称RSAキーのキー長は 2048 ビットではありません
-
CT.KMS.PV.3 に を要求する AWS KMS キーはバイパスポリシーのロックアウト安全チェックが有効に設定されています
-
CT.KMS.PV.4 に を要求する AWS KMS カスタマーマネージドキー (CMK) は、 を起点とするキーマテリアルで設定されます。 AWS クラウドHSM
-
CT.KMS.PV.5 に を要求する AWS KMS カスタマーマネージドキー (CMK) がインポートされたキーマテリアルで設定されている
-
CT.KMS.PV.6 に を要求する AWS KMS カスタマーマネージドキー (CMK) は、外部キーストア (XKS) から発信されるキーマテリアルで設定されます。
-
CT.LAMBDA.PV.1 を要求する AWS Lambda 使用する URL 関数 AWS IAMベースの認証
-
CT.LAMBDA.PV.2 を要求する AWS Lambda 関数はURL、 内のプリンシパルによってのみアクセスするように設定されます。 AWS アカウント
-
CTMULTISERVICEPV.1: へのアクセスを拒否する AWS リクエストされた に基づく AWS リージョン 組織単位の
デジタル主権ガバナンス体制を強化する新しい継承的コントロールは、 AWS Security Hub サービスマネージド Standard AWS Control Tower。
新しい検出コントロール
-
SH.ACM.2: によって管理されるRSA証明書ACMは、少なくとも 2,048 ビットのキー長を使用する必要があります
-
SH.AppSync.5: AWS AppSync GraphQL はAPIキーで認証APIsしないでください
-
SH.CloudTrail.6: CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないことを確認します。
-
SH.DMS.9: DMSエンドポイントは を使用する必要があります SSL
-
SH.DocumentDB.3: Amazon DocumentDB 手動クラスタースナップショットは公開できません
-
SH.DynamoDB.3: DynamoDB Accelerator (DAX) クラスターは保管時に暗号化する必要があります
-
SH.EC2.23: EC2 トランジットゲートウェイはVPCアタッチメントリクエストを自動的に受け入れないでください
-
SH.EKS.1: EKSクラスターエンドポイントはパブリックにアクセスできないようにする必要があります
-
SH.ElastiCache.3: ElastiCache レプリケーショングループでは自動フェイルオーバーが有効になっている必要があります
-
SH.ElastiCache.4: ElastiCache レプリケーショングループは encryption-at-rest 有効になっている必要があります
-
SH.ElastiCache.5: ElastiCache レプリケーショングループは encryption-in-transit 有効になっている必要があります
-
SH.ElastiCache.6:以前の Redis バージョンの ElastiCache レプリケーショングループでは、Redis AUTHを有効にする必要があります
-
SH.EventBridge.3: EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされている必要があります
-
SH.KMS.4: AWS KMS キーローテーションを有効にする必要があります
-
SH.Lambda.3: Lambda 関数は に存在する必要があります VPC
-
SH.MQ.5: ActiveMQ ブローカーは、アクティブ/スタンバイデプロイモードを使用する必要があります
-
SH.MQ.6: RabbitMQ ブローカーは、クラスターデプロイモードを使用する必要があります。
-
SH.MSK.1: MSKクラスターはブローカーノード間で転送中に暗号化する必要があります
-
SH.RDS.12: IAM認証はRDSクラスター用に設定する必要があります
-
SH.RDS.15: RDS DB クラスターは複数のアベイラビリティーゾーンに設定する必要があります
-
SH.S3.17: S3 バケットは保管時に で暗号化する必要があります AWS KMS キー
に追加されたコントロールの詳細については、「」を参照してください。 AWS Security Hub サービスマネージドスタンダード AWS Control Tower については、「」の「サービスマネージドスタンダード: AWS Control Tower に適用されるコントロール」を参照してください。 AWS Security Hub ドキュメント内) を参照してください。
のリストの場合 AWS リージョン の一部である特定のコントロールをサポートしていない AWS Security Hub サービスマネージド Standard AWS Control Tower については、「サポートされていないリージョン」を参照してください。
OU レベルでのリージョン拒否用の新しい設定可能なコントロール
CTMULTISERVICEPV.1: このコントロールは、AWSControl Tower ランディングゾーン全体ではなく、OU レベルで許可される除外リージョン、IAMプリンシパル、およびアクションを指定するパラメータを受け入れます。これは予防コントロールであり、サービスコントロールポリシー () によって実装されますSCP。
詳細については、「OU に適用されるリージョン拒否コントロール」を参照してください。
は UpdateEnabledControl
API
この AWS Control Tower リリースでは、コントロールに次のAPIサポートが追加されています。
-
更新された
EnableControl
APIでは、設定可能なコントロールを設定できます。 -
更新された は、有効なコントロールに設定されているパラメータ
GetEnabledControl
APIを表示します。 -
新しい
UpdateEnabledControl
APIは、有効なコントロールのパラメータを変更できます。
詳細については、AWS「 Control Tower APIリファレンス」を参照してください。
AWS Control Tower がランディングゾーンをサポート APIs
2023 年 11 月 26 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower で、 を使用したランディングゾーンの設定と起動がサポートされるようになりましたAPIs。を使用して、ランディングゾーンを作成、更新、取得、一覧表示、リセット、削除できますAPIs。
以下APIsでは、 を使用してランディングゾーンをプログラムでセットアップおよび管理できます。 AWS CloudFormation または AWS CLI.
AWS Control Tower は、ランディングゾーンAPIsで以下をサポートしています。
-
CreateLandingZone
– このAPI呼び出しは、ランディングゾーンのバージョンとマニフェストファイルを使用してランディングゾーンを作成します。 -
GetLandingZoneOperation
– このAPI呼び出しは、指定されたランディングゾーンオペレーションのステータスを返します。 -
GetLandingZone
– このAPI呼び出しは、バージョン、マニフェストファイル、ステータスなど、指定されたランディングゾーンに関する詳細を返します。 -
UpdateLandingZone
– このAPI呼び出しは、ランディングゾーンのバージョンまたはマニフェストファイルを更新します。 -
ListLandingZone
– このAPI呼び出しは、管理アカウントで設定されたランディングゾーンに対して 1 つのランディングゾーン識別子 (ARN) を返します。 -
ResetLandingZone
– このAPI呼び出しにより、ランディングゾーンが最新の更新で指定されたパラメータにリセットされ、ドリフトを修復できます。ランディングゾーンが更新されていない場合、この呼び出しによりランディングゾーンが作成時に指定されたパラメータにリセットされます。 -
DeleteLandingZone
– このAPI呼び出しはランディングゾーンを廃止します。
ランディングゾーン の使用を開始するにはAPIs、「」を参照してくださいAPI を使用した AWS Control Tower の開始方法。
AWS Control Tower が有効なコントロールのタグ付けをサポート
2023 年 11 月 10 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、Control Tower コンソールから、または を使用して、有効なAWSコントロールのリソースタグ付けをサポートするようになりましたAPIs。有効になっているコントロールのタグを追加、削除、または一覧表示できます。
次の のリリースではAPIs、AWSControl Tower で有効にするコントロールのタグを設定できます。タグは、リソースの管理、識別、整理、検索、フィルタリングに役立ちます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。
AWS Control Tower は、コントロールのタグ付けAPIsに以下をサポートしています。
-
TagResource
– このAPI呼び出しは、AWSControl Tower で有効になっているコントロールにタグを追加します。 -
UntagResource
– このAPI呼び出しは、AWSControl Tower で有効になっているコントロールからタグを削除します。 -
ListTagsForResource
– このAPI呼び出しは、AWSControl Tower で有効になっているコントロールのタグを返します。
AWS Control Tower コントロールAPIsは で利用できます。 AWS リージョン AWS Control Tower が利用可能な 。の完全なリストについては AWS リージョン AWS Control Tower が利用可能な については、「」を参照してください。 AWS リージョンテーブル
AWS Control Tower がアジアパシフィック (メルボルン) リージョンで利用可能に
2023 年 11 月 3 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、アジアパシフィック (メルボルン) リージョンで利用できます。
既に AWS Control Tower を使用していて、そのガバナンス機能をアカウント内のこのリージョンに拡張する場合は、AWSControl Tower ダッシュボードの設定ページに移動し、リージョンを選択してから、ランディングゾーンを更新します。ランディングゾーンの更新後、AWSControl Tower によって管理されているすべてのアカウントを更新して、新しいリージョンでアカウントと をガバナンスOUs下に置く必要があります。詳細については、「更新について」を参照してください
AWS Control Tower が利用可能なリージョンの完全なリストについては、「」を参照してください。 AWS リージョン
テーブル
新しい への移行 AWS Service Catalog 外部製品タイプ (フェーズ 1)
2023 年 10 月 31 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
HashiCorp は Terraform ライセンスを更新しました。その結果、 AWS Service Catalog は、Terraform Open Source 製品とプロビジョニング済み製品のサポートを External と呼ばれる新しい製品タイプに更新しました。
AWS Control Tower は、 に依存する Account Factory のカスタマイズをサポートしていません AWS Service Catalog 外部製品タイプ 既存のワークロードと の中断を回避するには AWS アカウント内の リソースについては、2023 年 12 月 14 日までに、次の推奨順序で AWS Control Tower の移行ステップに従ってください。
-
の既存の Terraform リファレンスエンジンをアップグレードする AWS Service Catalog 外部オープンソース製品タイプと Terraform オープンソース製品タイプの両方のサポートを含めるには、 にします。Terraform リファレンスエンジンの更新手順については、「」を参照してください。 AWS Service Catalog GitHub リポジトリ
。 -
参照先 AWS Service Catalog 既存の Terraform Open Source ブループリントを複製して、新しい External 製品タイプを使用します。既存の Terraform Open Source ブループリントを削除しないでください。
-
既存の Terraform Open Source ブループリントを引き続き使用して、AWSControl Tower でアカウントを作成または更新します。
新しいコントロールAPIが利用可能に
2023 年 10 月 14 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、Control Tower AWS コントロールを大規模にデプロイおよび管理するためにAPI使用できる追加の をサポートするようになりました。AWS Control Tower コントロール の詳細についてはAPIs、「 APIリファレンス」を参照してください。
AWS Control Tower に新しいコントロール が追加されましたAPI。
-
GetEnabledControl
— API呼び出しは、有効なコントロールに関する詳細を提供します。
また、この も更新されましたAPI。
ListEnabledControls
— このAPI呼び出しは、指定された組織単位とそれに含まれるアカウントで AWS Control Tower によって有効になっているコントロールを一覧表示します。EnabledControlSummary
オブジェクトの追加情報を返すようになりました。
これらの を使用するとAPIs、いくつかの一般的なオペレーションをプログラムで実行できます。例:
-
AWS Control Tower コントロールライブラリから、有効にしたすべてのコントロールのリストを取得します。
-
有効なコントロールについては、コントロールがサポートされているリージョン、コントロールの識別子 (ARN)、コントロールのドリフトステータス、およびコントロールのステータスの概要に関する情報を取得できます。
AWS Control Tower コントロールAPIsは で利用できます。 AWS リージョン AWS Control Tower が利用可能な 。の完全なリストについては AWS リージョン AWS Control Tower が利用可能な については、「」を参照してください。 AWS リージョンテーブル
AWS Control Tower がコントロールを追加
2023 年 10 月 5 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、新しいプロアクティブコントロールと検出コントロールを発表しました。
AWS Control Tower のプロアクティブコントロールは、 によって実装されます。 AWS CloudFormation フック。 の前に非準拠リソースを識別してブロックします。 AWS CloudFormation はそれらをプロビジョニングします。プロアクティブコントロールは、AWSControl Tower の既存の予防および検出コントロール機能を補完します。
新しいプロアクティブコントロール
-
[CT.ATHENA.PR.1〕 Amazon Athena ワークグループが保管中の Athena クエリ結果を暗号化する必要がある
-
[CT.ATHENA.PR.2〕 Amazon Athena ワークグループは、保管中の Athena クエリ結果を で暗号化する必要があります AWS Key Management Service (KMS) キー
-
[CT.CLOUDTRAIL.PR.4〕 が必要です AWS CloudTrail Lake イベントデータストアで を使用した保管時の暗号化を有効にする AWS KMS キー
-
[CT.DAX.PR.2〕 Amazon DAXクラスターは、ノードを少なくとも 3 つのアベイラビリティーゾーンにデプロイする必要があります
-
[CT.EC2.PR.14〕 保管中のデータを暗号化するには、Amazon EC2起動テンプレートを使用して Amazon EBSボリュームを設定する必要があります
-
[CT.EKS.PR.2〕 Amazon EKSクラスターは、 を使用してシークレット暗号化で設定する必要があります AWS Key Management Service (KMS) キー
-
[CT.ELASTICLOADBALANCING.PR.14〕 Network Load Balancer でクロスゾーン負荷分散を有効にする必要があります
-
[CT.ELASTICLOADBALANCING.PR.15〕 Elastic Load Balancing v2 ターゲットグループがクロスゾーン負荷分散を明示的に無効にしないことを要求する
-
[CT.EMR.PR.1〕 Amazon EMR (EMR) セキュリティ設定は、Amazon S3 に保管中のデータを暗号化するように設定する必要があります
-
[CT.EMR.PR.2〕 Amazon EMR (EMR) セキュリティ設定は、Amazon S3 に保管中のデータを で暗号化するように設定する必要があります AWS KMS キー
-
[CT.EMR.PR.3〕 Amazon EMR (EMR) セキュリティ設定は、 を使用したEBSボリュームローカルディスク暗号化で設定する必要があります AWS KMS キー
-
[CT.EMR.PR.4〕 Amazon EMR (EMR) セキュリティ設定が転送中のデータを暗号化するように設定されている必要があります
-
[CT.GLUE.PR.1〕 が必要です AWS セキュリティ設定を関連付ける Glue ジョブ
-
[CT.GLUE.PR.2〕 が必要です AWS を使用して Amazon S3 ターゲット内のデータを暗号化する Glue セキュリティ設定 AWS KMS キー
-
[CT.KMS.PR.2〕 が必要です AWS KMS 暗号化に使用されるキーマテリアルを持つ非対称RSAキーのキー長が 2048 ビットを超える
-
[CT.KMS.PR.3〕 が必要です AWS KMS の作成を制限するステートメントを持つ キーポリシー AWS KMS への 許可 AWS サービス
-
[CT.LAMBDA.PR.4〕 が必要です AWS Lambda へのアクセスを許可するレイヤーアクセス許可 AWS 組織または特定の AWS アカウント
-
[CT.LAMBDA.PR.5〕 が必要です AWS Lambda 使用する URL 関数 AWS IAMベースの認証
-
[CT.LAMBDA.PR.6〕 が必要です AWS Lambda 特定のオリジンへのアクセスを制限する 関数URLCORSポリシー
-
[CT.NEPTUNE.PR.4〕 Amazon Neptune DB クラスターで監査 CloudWatch ログの Amazon ログエクスポートを有効にする必要があります
-
[CT.NEPTUNE.PR.5〕 Amazon Neptune DB クラスターは、バックアップ保持期間を 7 日以上設定する必要があります
-
[CT.REDSHIFT.PR.9〕 Amazon Redshift クラスターパラメータグループは、転送中のデータの暗号化に Secure Sockets Layer (SSL) を使用するように設定する必要があります
これらの新しいプロアクティブコントロールは、商用 で利用できます。 AWS リージョン AWS Control Tower が利用可能な 。これらのコントロールの詳細については、「プロアクティブコントロール」を参照してください。コントロールが利用可能な場所の詳細については、「コントロールの制限」を参照してください。
新しい検出コントロール
Security Hub サービスマネージドスタンダード: AWS Control Tower に新しいコントロールが追加されました。これらのコントロールは、ガバナンス体制の強化に役立ちます。これらは、特定の OU で有効にした後、Security Hub サービスマネージドスタンダード: AWS Control Tower の一部として動作します。
-
[SH.Athena.1〕 Athena ワークグループは保管時に暗号化する必要があります
-
[SH.Neptune.1〕 Neptune DB クラスターは保管時に暗号化する必要があります
-
[SH.Neptune.2〕 Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります
-
[SH.Neptune.3〕 Neptune DB クラスタースナップショットはパブリックにしないでください
-
[SH.Neptune.4〕 Neptune DB クラスターでは、削除保護を有効にする必要があります
-
[SH.Neptune.5〕 Neptune DB クラスターでは、自動バックアップを有効にする必要があります
-
[SH.Neptune.6〕 Neptune DB クラスタースナップショットは保管時に暗号化する必要があります
-
[SH.Neptune.7〕 Neptune DB クラスターでは、IAMデータベース認証を有効にする必要があります
-
[SH.Neptune.8〕 Neptune DB クラスターは、タグをスナップショットにコピーするように設定する必要があります
-
[SH.RDS.27〕 RDS DB クラスターは保管時に暗号化する必要があります
新しい AWS Security Hub 検出コントロールは、ほとんどの で使用できます。 AWS リージョン AWS Control Tower が利用可能な 。これらのコントロールの詳細については、「サービスマネージドスタンダード: Control Tower に適用されるAWSコントロール」を参照してください。コントロールが利用できる場所の詳細については、「コントロールの制限事項」を参照してください。
新しいドリフトタイプの報告: 信頼できるアクセスの無効化
2023 年 9 月 21 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower ランディングゾーンを設定したら、 で Control Tower AWS への信頼されたアクセスを無効にすることができます。 AWS Organizations。 ただし、これを行うとドリフトが発生します。
信頼されたアクセスが無効になっているドリフトタイプでは、このタイプのドリフトが発生したときに AWS Control Tower から通知されるため、AWSControl Tower のランディングゾーンを修復できます。詳細については、「ガバナンスドリフトのタイプ」を参照してください。
4 つの追加 AWS リージョン
2023 年 9 月 13 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower が、アジアパシフィック (ハイデラバード)、欧州 (スペインとチューリッヒ)、中東 () で利用可能になりましたUAE。
既に AWS Control Tower を使用していて、そのガバナンス機能をアカウント内のこのリージョンに拡張する場合は、AWSControl Tower ダッシュボードの設定ページに移動し、リージョンを選択してから、ランディングゾーンを更新します。ランディングゾーンの更新後、AWSControl Tower によって管理されているすべてのアカウントを更新して、新しいリージョンでアカウントと をガバナンスOUs下に置く必要があります。詳細については、「更新について」を参照してください
AWS Control Tower が利用可能なリージョンの完全なリストについては、「」を参照してください。 AWS リージョン
テーブル
AWS Control Tower がテルアビブリージョンで利用可能に
2023 年 8 月 28 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、イスラエル (テルアビブ) リージョンでの提供開始を発表しました。
既に AWS Control Tower を使用していて、そのガバナンス機能をアカウント内のこのリージョンに拡張する場合は、AWSControl Tower ダッシュボードの設定ページに移動し、リージョンを選択してから、ランディングゾーンを更新します。ランディングゾーンの更新後、AWSControl Tower によって管理されているすべてのアカウントを更新して、新しいリージョンでアカウントと をガバナンスOUs下に置く必要があります。詳細については、「更新について」を参照してください
AWS Control Tower が利用可能なリージョンの完全なリストについては、「」を参照してください。 AWS リージョン
テーブル
AWS Control Tower が 28 の新しいプロアクティブコントロールを起動
2023 年 7 月 24 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、 の管理に役立つ 28 の新しいプロアクティブコントロールを追加しています。 AWS 環境。
プロアクティブコントロールは、マルチアカウント全体で AWS Control Tower のガバナンス機能を強化します。 AWS 非準拠のリソースをプロビジョニングする前にブロックすることで、 環境をブロックします。これらのコントロールは の管理に役立ちます。 AWS Amazon 、Amazon Neptune CloudWatch、Amazon などの サービス Amazon Neptune ElastiCache AWS Step Functions、および Amazon DocumentDB 。新しいコントロールは、ログ記録とモニタリングの確立、保管中のデータの暗号化、耐障害性の向上などの統制目標を達成するのに役立ちます。
新しいコントロールの詳細なリストは次のとおりです。
-
[CTAPPSYNC。PR.1] が必要です AWS AppSync GraphQL APIでログ記録を有効にする
-
[CTCLOUDWATCH。PR.1] Amazon CloudWatch アラームには、アラーム状態に設定されたアクションが必要です
-
[CTCLOUDWATCH。PR.2] Amazon CloudWatch ロググループを少なくとも 1 年間保持する必要があります
-
[CTCLOUDWATCH。PR.3] Amazon CloudWatch ロググループは、保管時に で暗号化する必要があります AWS KMS キー
-
[CTCLOUDWATCH。PR.4] Amazon CloudWatch アラームアクションを有効にする必要があります
-
[CTDOCUMENTDB。PR.1] Amazon DocumentDB クラスターは保管時に暗号化する必要があります
-
[CTDOCUMENTDB。PR.2] Amazon DocumentDB クラスターで自動バックアップを有効にする必要があります
-
[CTDYNAMODB。PR.2] Amazon DynamoDB テーブルは、保管時に を使用して暗号化する必要があります AWS KMS キー
-
[CTEC2。PR.13] Amazon EC2インスタンスで詳細モニタリングを有効にする必要があります
-
[CTEKS。PR.1] Amazon EKSクラスターは、クラスター Kubernetes APIサーバーエンドポイントへのパブリックアクセスを無効にして設定する必要があります
-
[CTELASTICACHE。PR.1] Amazon ElastiCache for Redis クラスターで自動バックアップを有効にする必要があります
-
[CTELASTICACHE。PR.2] Amazon ElastiCache for Redis クラスターで自動マイナーバージョンアップグレードを有効にする必要があります
-
[CTELASTICACHE。PR.3] Amazon ElastiCache for Redis レプリケーショングループで自動フェイルオーバーを有効にする必要があります
-
[CTELASTICACHE。PR.4] Amazon ElastiCache レプリケーショングループで保管時の暗号化を有効にする必要があります
-
[CTELASTICACHE。PR.5] Amazon ElastiCache for Redis レプリケーショングループで転送中の暗号化を有効にする必要があります
-
[CTELASTICACHE。PR.6] Amazon ElastiCache キャッシュクラスターはカスタムサブネットグループを使用する必要があります
-
[CTELASTICACHE。PR.7] 以前の Redis バージョンの Amazon ElastiCache レプリケーショングループには Redis AUTH認証が必要です
-
[CTELASTICBEANSTALK。PR.3] が必要です AWS Elastic Beanstalk 環境のログ記録設定
-
[CTLAMBDA。PR.3] が必要です AWS Lambda カスタマー管理の Amazon Virtual Private Cloud にある 関数 (VPC)
-
[CTNEPTUNE。PR.1] Amazon Neptune DB クラスターには が必要です AWS Identity and Access Management (IAM) データベース認証
-
[CTNEPTUNE。PR.2] Amazon Neptune DB クラスターで削除保護を有効にする必要があります
-
[CTNEPTUNE。PR.3] Amazon Neptune DB クラスターでストレージ暗号化を有効にする必要があります
-
[CTREDSHIFT。PR.8] Amazon Redshift クラスターを暗号化する必要があります
-
[CT.S3.PR.9] Amazon S3 バケットで S3 オブジェクトロックを有効にする必要がある
-
[CT.S3.PR.10] Amazon S3 バケットでは、 を使用してサーバー側の暗号化を設定する必要があります AWS KMS キー
-
[CT.S3.PR.11] Amazon S3 バケットでバージョニングを有効にする必要がある
-
[CTSTEPFUNCTIONS。PR.1] が必要です AWS Step Functions ログ記録を有効にする ステートマシン
-
[CTSTEPFUNCTIONS。PR.2] が必要です AWS Step Functions を持つ ステートマシン AWS X-Ray トレースの有効化
AWS Control Tower のプロアクティブコントロールは、 によって実装されます。 AWS CloudFormation フック。 の前に非準拠リソースを識別してブロックします。 AWS CloudFormation はそれらをプロビジョニングします。プロアクティブコントロールは、AWSControl Tower の既存の予防および検出コントロール機能を補完します。
これらの新しいプロアクティブコントロールは、すべての で使用できます。 AWS リージョン AWS Control Tower が利用可能な 。これらのコントロールの詳細については、「プロアクティブコントロール」を参照してください。
AWS Control Tower は 2 つのコントロールを廃止
2023 年 7 月 18 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、セキュリティコントロールを定期的に見直し、それらが最新であり、まだベストプラクティスと見なされていることを確認します。次の 2 つのコントロールは 2023 年 7 月 18 日に廃止され、2023 年 8 月 18 日にコントロールライブラリから削除されます。どの組織単位でもこれらのコントロールを有効にすることはできなくなりました。削除日より前にこれらのコントロールを無効にすることもできます。
-
[SH.S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります
-
[CT.S3.PR.7] Amazon S3 バケットにサーバー側の暗号化が設定されている必要があります
廃止の理由
2023 年 1 月の時点で、Amazon S3 は、すべての新規および既存の暗号化されていないバケットにデフォルトの暗号化を設定して、これらのバケットにアップロードされた新しいオブジェクトの暗号化の基本レベルとして S3 マネージドキー (SSE-S3) を使用したサーバー側の暗号化を適用しました。で既に SSE-S3 またはサーバー側の暗号化を実行している既存のバケットのデフォルトの暗号化設定は変更されていません。 AWS Key Management Service (AWS KMS) キー (SSE-KMS) が設定されています。
AWS Control Tower ランディングゾーンバージョン 3.2
2023 年 6 月 16 日
(AWSControl Tower ランディングゾーンをバージョン 3.2 に更新する必要があります。 詳細については、「」を参照してくださいランディングゾーンを更新する)。
AWS Control Tower ランディングゾーンバージョン 3.2 では、 AWS Security Hub サービスマネージドスタンダード: AWS Control Tower から一般提供開始。AWS Control Tower コンソールで、この標準の一部であるコントロールのドリフトステータスを表示する機能が導入されました。
この更新には、 と呼ばれる新しいサービスにリンクされたロール (SLR) が含まれていますAWSServiceRoleForAWSControlTower。このロールは、AWSControlTowerManagedRule各メンバーアカウントの と呼ばれる EventBridge マネージドルールを作成することで AWS Control Tower をサポートします。このマネージドルールは、 を収集します。 AWS Security Hub AWS Control Tower を使用した からのイベントの検出により、コントロールのドリフトを判断できます。
このルールは、AWSControl Tower によって作成される最初のマネージドルールです。ルールはスタックによってデプロイされず、 から直接デプロイされます EventBridge APIs。ルールは、 EventBridge コンソールで、または を使用して表示できます EventBridge APIs。managed-by
フィールドが入力されると、AWSControl Tower サービスプリンシパルが表示されます。
以前は、AWSControl Tower はメンバーアカウントでオペレーションを実行するAWSControlTowerExecutionロールを引き受けていました。この新しいロールとルールは、マルチアカウントでオペレーションを実行するときに最小特権を許可するというベストプラクティスの原則により適しています。 AWS 環境。新しいロールは、メンバーアカウントでの マネージドルールの作成、 マネージドルールの管理、 を介したセキュリティ通知の発行SNS、ドリフトの検証を特に許可するスコープダウンアクセス許可を提供します。詳細については、「AWSServiceRoleForAWSControlTower」を参照してください。
ランディングゾーン 3.2 の更新には、サービスにリンクされたロールを最初にデプロイBP_BASELINE_SERVICE_LINKED_ROLE
する管理アカウント に新しい StackSet リソースも含まれています。
Security Hub コントロールドリフト (ランディングゾーン 3.2 以降) を報告すると、AWSControl Tower は Security Hub から毎日のステータス更新を受け取ります。コントロールはすべての管理対象リージョンでアクティブですが、AWSControl Tower は を送信します。 AWS Security Hub AWS Control Tower ホームリージョンへのイベントのみを検索します。詳細については、「Security Hub コントロールドリフトレポート」を参照してください。
リージョン拒否コントロールの更新
このランディングゾーンバージョンには、リージョン拒否コントロールの更新も含まれています。
グローバルサービスと APIs の追加
-
AWS Billing and Cost Management (
billing:*
) -
AWS CloudTrail (
cloudtrail:LookupEvents
) は、メンバーアカウントのグローバルイベントを可視化できるようにします。 -
AWS 一括請求 (
consolidatedbilling:*
) -
AWS マネジメントコンソールモバイルアプリケーション (
consoleapp:*
) -
AWS 無料利用枠 (
freetier:*
) -
AWS Invoicing (
invoicing:*
) -
AWS IQ (
iq:*
) -
AWS ユーザー通知 (
notifications:*
) -
AWS ユーザー通知連絡先 (
notifications-contacts:*
) -
Amazon Payments (
payments:*
) -
AWS 税金設定 (
tax:*
)
グローバルサービスと APIs が削除されました
-
有効なアクションではないため、
s3:GetAccountPublic
は削除されました。 -
有効なアクションではないため、
s3:PutAccountPublic
は削除されました。
AWS Control Tower が ID に基づいてアカウントを処理する
2023 年 6 月 14 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、 を追跡することで Account Factory で作成したアカウントを作成および管理できるようになりました。 AWS アカウントの E メールアドレスではなく、 アカウント ID。
アカウントをプロビジョニングする場合、アカウントのリクエスタには必ず CreateAccount
および DescribeCreateAccountStatus
アクセス許可が必要です。このアクセス許可セットは Admin ロールの一部であり、リクエスタが Admin ロールを引き受けると自動的に付与されます。アカウントをプロビジョニングするアクセス許可を委任する場合、これらのアクセス許可をアカウントリクエスタに直接追加する必要がある場合があります。
Control Tower コントロールライブラリで利用可能な追加の Security Hub AWS 検出コントロール
2023 年 6 月 12 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower が 10 個の新しい を追加 AWS Security Hub AWS Control Tower コントロールライブラリに対する検出コントロール。これらの新しいコントロールは、APIGateway、 AWS CodeBuild、Amazon Elastic Compute Cloud (EC2)、Amazon Elastic Load BalancerAmazon Redshift、Amazon SageMaker、および AWS WAF。 これらの新しいコントロールは、ログ記録とモニタリングの確立、ネットワークアクセスの制限、保管中のデータの暗号化などのコントロール目標を達成することで、ガバナンス体制を強化するのに役立ちます。
これらのコントロールは、特定の OU で有効にした後、Security Hub サービスマネージドスタンダード: AWS Control Tower の一部として機能します。
-
[SH.Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント
-
[SH.APIGateway.8] API ゲートウェイルートは認証タイプを指定する必要があります
-
[SH.APIGateway.9] アクセスログ記録はAPIゲートウェイ V2 ステージ用に設定する必要があります
-
[SH.CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります
-
[SH.EC2.25] EC2起動テンプレートは、ネットワークインターフェイスIPsにパブリックを割り当てないでください
-
[SH.ELB.1] Application Load Balancer は、すべてのHTTPリクエストを にリダイレクトするように設定する必要があります HTTPS
-
[SH.Redshift.10] Redshift クラスターは保存時に暗号化する必要があります
-
[SH.SageMaker.2] SageMaker ノートブックインスタンスはカスタム で起動する必要があります VPC
-
[SH.SageMaker.3] SageMaker ユーザーはノートブックインスタンスへのルートアクセスを許可されない
-
[SH.WAF.10] WAFV2ウェブには少なくとも 1 つのルールまたはルールグループACLが必要です
新しい AWS Security Hub 検出コントロールは、すべての で使用できます。 AWS リージョン AWS Control Tower が利用可能な 。これらのコントロールの詳細については、「サービスマネージドスタンダード: Control Tower に適用されるAWSコントロール」を参照してください。
AWS Control Tower がコントロールメタデータテーブルを発行する
2023 年 6 月 7 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、公開されたドキュメントの一部として、コントロールメタデータの完全なテーブルを提供するようになりました。コントロール を操作するときはAPIs、各コントロールの API controlIdentifierを検索できます。これは、各コントロールARNに関連付けられた一意の です。 AWS リージョン。 表には、各コントロールがカバーするフレームワークとコントロール目標が含まれています。以前は、この情報はコンソールにのみ表示されていました。
テーブルには、 の一部である Security Hub コントロールのメタデータも含まれています。 AWS Security Hub サービスマネージドスタンダード:AWS Control Tower 。詳細については、「コントロールメタデータの表」を参照してください。
コントロール識別子の省略リストと使用例については、「 APIsとコントロールのリソース識別子」を参照してください。
Account Factory のカスタマイズに対する Terraform サポート
2023 年 6 月 6 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、Account Factory Customization () を通じて Terraform の単一リージョンサポートを提供しますAFC。このリリース以降、AWSControl Tower と Service Catalog を一緒に使用して、Terraform オープンソースでAFCアカウントブループリントを定義できます。新規および既存の をカスタマイズできます。 AWS アカウント AWS Control Tower でリソースをプロビジョニングする前に、 。デフォルトでは、この機能を使用すると、AWSTerraform を使用して Control Tower ホームリージョンにアカウントをデプロイおよび更新できます。
アカウントブループリントは、 のときに必要な特定のリソースと設定を記述します。 AWS アカウント がプロビジョニングされます。ブループリントをテンプレートとして使用して、複数の AWS アカウント 大規模に。
開始するには、 で Terraform リファレンスエンジン GitHub
これらのカスタマイズを作成する方法については、Service Catalog ドキュメントの「製品の作成」と「Terraform オープンソース入門」を参照してください。この機能は、すべての で使用できます。 AWS リージョン AWS Control Tower が利用可能な 。
AWS IAM ランディングゾーンで Identity Center の自己管理が利用可能に
2023 年 6 月 6 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、セットアップまたは更新時に設定できる AWS Control Tower ランディングゾーンの ID プロバイダーのオプションの選択をサポートするようになりました。デフォルトでは、ランディングゾーンは を使用してオプトインされます。 AWS IAM Identity Center は、「 の整理」で定義されているベストプラクティスのガイダンスに沿っています。 AWS 複数のアカウント を使用する環境。これで、選択肢は次の 3 つになりました。
-
デフォルトを受け入れ、AWSControl Tower がセットアップおよび管理することを許可できます。 AWS IAM Identity Center をお試しください。
-
自己管理を選択できます AWS IAM Identity Center。特定のビジネス要件を反映します。
-
必要に応じて、Identity Center を介して接続することで、サードパーティーの IAM ID プロバイダーを任意で持ち込み、自己管理できます。規制環境で特定のプロバイダーを使用する必要がある場合、または で運用している場合は、ID プロバイダーのオプションを使用する必要があります。 AWS リージョン この場合、次のようになります。 AWS IAM Identity Center は使用できません。
詳細については、「IAM Identity Center ガイダンス」を参照してください。
アカウントレベルでの ID プロバイダーの選択はサポートされていません。この機能はランディングゾーン全体にのみ適用されます。AWS Control Tower ID プロバイダーのオプションは、すべての で使用できます。 AWS リージョン AWS Control Tower が利用可能な 。
AWS Control Tower が の混合ガバナンスに対応 OUs
2023 年 6 月 1 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
このリリースでは、AWSControl Tower は、その OU が混合ガバナンス の状態の場合、コントロールが組織単位 (OU) にデプロイされるのを防ぎます。AWS Control Tower がガバナンスを新しい に拡張した後にアカウントが更新されない場合、混合ガバナンスが OU で発生します。 AWS リージョン、、または はガバナンスを削除します。このリリースにより、その OU のメンバーアカウントを統一したコンプライアンスに維持できます。詳細については、「リージョンを設定する際は混合ガバナンスを避ける」を参照してください。
追加のプロアクティブコントロールが利用可能に
2023 年 5 月 19 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、マルチアカウント環境を管理し、保管中のデータの暗号化やネットワークアクセスの制限など、特定のコントロール目標を達成するのに役立つ 28 の新しいプロアクティブコントロールを追加しています。プロアクティブコントロールは で実装されます。 AWS CloudFormation リソースがプロビジョニングされる前にリソースをチェックする フック。新しいコントロールは、 の管理に役立ちます。 AWS Amazon OpenSearch Service、Amazon EC2 Auto Scaling、Amazon API Gateway、 SageMakerAmazon Relational Database Service () などの サービスRDS。
プロアクティブコントロールは、すべての商用 でサポートされています。 AWS リージョン AWS Control Tower が利用可能な 。
Amazon OpenSearch サービス
-
[CTOPENSEARCH。PR.1] Elasticsearch ドメインが保管中のデータを暗号化する必要がある
-
[CTOPENSEARCH。PR.2] ユーザー指定の Amazon で Elasticsearch ドメインを作成する必要があります VPC
-
[CTOPENSEARCH。PR.3] ノード間で送信されるデータを暗号化するには Elasticsearch ドメインが必要です
-
[CTOPENSEARCH。PR.4] Elasticsearch ドメインが Amazon CloudWatch Logs にエラーログを送信する必要がある
-
[CTOPENSEARCH。PR.5] 監査ログを Amazon Logs に送信するには Elasticsearch CloudWatch ドメインが必要です
-
[CTOPENSEARCH。PR.6] Elasticsearch ドメインにはゾーン認識と少なくとも 3 つのデータノードが必要です
-
[CTOPENSEARCH。PR.7] Elasticsearch ドメインには、少なくとも 3 つの専用マスターノードが必要です
-
[CTOPENSEARCH。PR.8] Elasticsearch Service ドメインは TLSv1.2 を使用する必要があります
-
[CTOPENSEARCH。PR.9] Amazon OpenSearch Service ドメインが保管中のデータを暗号化する必要がある
-
[CTOPENSEARCH。PR.10] ユーザー指定の Amazon で Amazon OpenSearch Service ドメインを作成する必要があります VPC
-
[CTOPENSEARCH。PR.11] ノード間で送信されるデータを暗号化するには Amazon OpenSearch Service ドメインが必要です
-
[CTOPENSEARCH。PR.12] Amazon OpenSearch Service ドメインが Amazon CloudWatch Logs にエラーログを送信する必要がある
-
[CTOPENSEARCH。PR.13] Amazon OpenSearch Service ドメインが監査ログを Amazon CloudWatch Logs に送信する必要がある
-
[CTOPENSEARCH。PR.14] Amazon OpenSearch Service ドメインにはゾーン認識と少なくとも 3 つのデータノードが必要です
-
[CTOPENSEARCH。PR.15] Amazon OpenSearch Service ドメインはきめ細かなアクセスコントロールを使用する必要があります
-
[CTOPENSEARCH。PR.16] Amazon OpenSearch Service ドメインは TLSv1.2 を使用する必要があります
Amazon EC2 Auto Scaling
-
[CTAUTOSCALING。PR.1] Amazon EC2 Auto Scaling グループには複数のアベイラビリティーゾーンが必要です
-
[CTAUTOSCALING。PR.2] Amazon EC2 Auto Scaling グループの起動設定で の Amazon EC2インスタンスを設定する必要があります IMDSv2
-
[CTAUTOSCALING。PR.3] Amazon EC2 Auto Scaling 起動設定には、シングルホップメタデータレスポンス制限が必要です
-
[CTAUTOSCALING。PR.4] Amazon Elastic Load Balancing (ELB) に関連付けられた Amazon EC2 Auto Scaling グループでELBヘルスチェックを有効にする必要があります Auto Scaling Elastic Load Balancing
-
[CTAUTOSCALING。PR.5] Amazon EC2 Auto Scaling グループの起動設定にパブリック IP アドレスを持つ Amazon EC2インスタンスがない必要があります
-
[CTAUTOSCALING。PR.6] すべての Amazon EC2 Auto Scaling グループで複数のインスタンスタイプを使用する必要があります
-
[CTAUTOSCALING。PR.8] Amazon EC2 Auto Scaling グループにはEC2起動テンプレートが設定されている必要があります
Amazon SageMaker
-
[CTSAGEMAKER。PR.1] Amazon SageMaker ノートブックインスタンスが直接インターネットアクセスできないようにする必要がある
-
[CTSAGEMAKER。PR.2] Amazon SageMaker ノートブックインスタンスをカスタム Amazon 内にデプロイする必要があります VPC
-
[CTSAGEMAKER。PR.3] Amazon SageMaker ノートブックインスタンスにはルートアクセスが許可されていない必要があります
Amazon API Gateway
-
[CTAPIGATEWAY。PR.5] Amazon API Gateway V2 Websocket と HTTPルートで認証タイプを指定する必要がある
Amazon Relational Database Service (RDS)
-
[CTRDS。PR.25] Amazon RDS データベースクラスターでログ記録が設定されている必要があります
詳細については、「プロアクティブコントロール」を参照してください。
Amazon EC2プロアクティブコントロールの更新
2023 年 5 月 2 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower は、次の 2 つのプロアクティブコントロールを更新しました。CT.EC2.PR.3 また、CT.EC2.PR.4.
更新された の場合 CT.EC2.PR.3 コントロール、すべて AWS CloudFormation セキュリティグループリソースのプレフィックスリストを参照する デプロイは、ポート 80 または 443 の場合を除き、デプロイからブロックされます。
更新された の場合 CT.EC2.PR.4 コントロール、すべて AWS CloudFormation セキュリティグループリソースのプレフィックスリストを参照する デプロイは、ポートが 3389、20、23、110、143、3306、8080、1433、9200、9300、25、445、135、21、1434、433、5432、5500、5601、22、3000、500、8088、8888 の場合、ブロックされます。
7 つの追加 AWS リージョン 使用可能
2023 年 4 月 19 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
AWS Control Tower が 7 つの で利用可能に AWS リージョン: 北カリフォルニア (サンフランシスコ)、アジアパシフィック (香港、ジャカルタ、大阪)、欧州 (ミラノ)、中東 (バーレーン)、アフリカ (ケープタウン)。オプトインリージョン と呼ばれる AWS Control Tower のこれらの追加リージョンは、デフォルトでアクティブになっている米国西部 (北カリフォルニア) リージョンを除いて、デフォルトではアクティブではありません。
AWS Control Tower の一部のコントロールは、これらの追加コントロールの一部では動作しません。 AWS リージョン Control Tower AWS が利用可能な 。これらのリージョンは、必要な基盤となる機能をサポートしていないためです。詳細については、「コントロールの制限事項」を参照してください。
これらの新しいリージョンのうち、CfCT は、アジアパシフィック (ジャカルタおよび大阪) ではご利用いただけません。他の での可用性 AWS リージョン は変更されません。
AWS Control Tower がリージョンとコントロールの制限を管理する方法の詳細については、「」を参照してくださいアクティブ化に関する考慮事項 AWS オプトインリージョン。
で必要なVPCeエンドポイントAFTは、中東 (バーレーン) リージョンでは使用できません。このリージョンAFTにデプロイするお客様は、パラメータ を使用してデプロイする必要がありますaft_vpc_endpoints=false
。詳細については、 README ファイル
AWS Control Tower VPCsには、Amazon の制限us-west-1
により、米国西部 (北カリフォルニア) リージョン に 2 つのアベイラビリティーゾーンがありますEC2。米国西部 (北カリフォルニア) では、6 つのサブネットが 2 つのアベイラビリティーゾーンで分割されます。詳細については、「AWS Control Tower と VPC の概要」を参照してください。
AWS Control Tower は、 によってGetRegionOptStatus
APIs実装AWSControlTowerServiceRolePolicy
された EnableRegion
、、ListRegions
および への呼び出しを AWS Control Tower に許可する新しいアクセス許可を に追加しました。 AWS アカウント管理サービス、これらを追加 AWS リージョン
は、ランディングゾーンの共有アカウント (管理アカウント、ログアーカイブアカウント、監査アカウント) と OU メンバーアカウントで使用できます。詳細については、「AWS Control Tower のマネージドポリシー」を参照してください。
Account Factory for Terraform (AFT) アカウントカスタマイズリクエストのトレース
2023 年 2 月 16 日
AFT は、アカウントカスタマイズリクエストのトレースをサポートします。アカウントカスタマイズリクエストを送信するたびに、 はAFTカスタマイズを通過する一意のトレーストークンAFTを生成します。 AWS Step Functions ステートマシン。トークンを実行の一部としてログに記録します。Amazon CloudWatch Logs Insights クエリを使用して、タイムスタンプ範囲を検索し、リクエストトークンを取得できます。その結果、トークンに付随するペイロードが表示されるため、AFTワークフロー全体でアカウントのカスタマイズリクエストを追跡できます。の詳細についてはAFT、「Overview of AWS Control Tower Account Factory for Terraform」を参照してください。 CloudWatch ログと Step Functions の詳細については、以下を参照してください。
-
Amazon CloudWatch Logs ユーザーガイドの「Amazon CloudWatch Logs とは」
-
とは AWS Step Functionsの ? AWS Step Functions デベロッパーガイド
AWS Control Tower ランディングゾーンバージョン 3.1
2023 年 2 月 9 日
(AWSControl Tower ランディングゾーンをバージョン 3.1 に更新する必要があります。 詳細については、「」を参照してくださいランディングゾーンを更新する)
AWS Control Tower ランディングゾーンバージョン 3.1 には、次の更新が含まれています。
-
このリリースでは、AWSControl Tower はアクセスログバケット の不要なアクセスログを無効にします。これは、アクセスログがログアーカイブアカウントに格納されている Amazon S3 バケットであり、S3 バケットのサーバーアクセスログ記録は引き続き有効にします。このリリースには、 リージョン拒否コントロールの更新も含まれています。これにより、 などのグローバルサービスに対する追加のアクションが可能になります。 AWS Support プランと AWS Artifact.
-
AWS Control Tower アクセスログバケットのサーバーアクセスログ記録を非アクティブ化すると、 が原因で、Security Hub はログアーカイブアカウントのアクセスログバケット の検出結果を作成します。 AWS Security Hub ルール、[S3.9] S3 バケットサーバーアクセスのログ記録を有効にする必要があります。Security Hub に従い、このルールの Security Hub の説明に記載されているように、この特定の結果を非表示にすることをお勧めします。追加情報については、「非表示の結果に関する情報」を参照してください。
-
Log Archive アカウントの (通常の) ログバケットのアクセスログは、バージョン 3.1 でも変更されていません。ベストプラクティスに従い、そのバケットのアクセスイベントは、アクセスログバケットにログエントリとして記録されます。アクセスログの詳細については、Amazon S3 ドキュメントの「サーバーアクセスログを使用したリクエストのログ記録」を参照してください。
-
リージョン拒否コントロールを更新しました。この更新により、より多くのグローバルサービスによるアクションが可能になります。この の詳細についてはSCP、「 へのアクセスを拒否する」を参照してください。 AWS リクエストされた に基づく AWS リージョン および データレジデンシー保護を強化するコントロール。
追加されたグローバルサービス:
-
AWS Account Management (
account:*
) -
AWS アクティブ化 (
activate:*
) -
AWS Artifact (
artifact:*
) -
AWS Billing Conductor (
billingconductor:*
) -
AWS Compute Optimizer (
compute-optimizer:*
) -
AWS Data Pipeline (
datapipeline:GetAccountLimits
) -
AWS Device Farm(
devicefarm:*
) -
AWS Marketplace (
discovery-marketplace:*
) -
Amazon ECR (
ecr-public:*
) -
AWS License Manager (
license-manager:ListReceivedLicenses
) -
AWS Lightsail (
lightsail:Get*
) -
AWS Resource Explorer (
resource-explorer-2:*
) -
Amazon S3 (
s3:CreateMultiRegionAccessPoint
、s3:GetBucketPolicyStatus
、s3:PutMultiRegionAccessPointPolicy
) -
AWS Savings Plans (
savingsplans:*
) -
IAM Identity Center (
sso:*
) -
AWS Support App (
supportapp:*
) -
AWS Support プラン (
supportplans:*
) -
AWS サステナビリティ (
sustainability:*
) -
AWS Resource Groups Tagging API (
tag:GetResources
) -
AWS Marketplace Vendor Insights (
vendor-insights:ListEntitledSecurityProfiles
)
-
プロアクティブコントロールの一般公開
2023 年 1 月 24 日
(AWSControl Tower ランディングゾーンの更新は必要ありません。)
以前はプレビュー版として発表されていた、オプションのプロアクティブコントロールが一般公開されました。これらのコントロールは、リソースをデプロイする前にリソースをチェックして、新しいリソースが環境内で有効になっているコントロールに準拠しているかどうかを判断するため、プロアクティブと呼ばれます。詳細については、「包括的なコントロールが をサポート AWS リソースのプロビジョニングと管理」を参照してください。