2023 年 1 月~現在 - AWS Control Tower
新しい AWS Service Catalog External 製品タイプへの移行 (フェーズ 3)AWS Control Tower ランディングゾーンバージョン 3.3新しい AWS Service Catalog External 製品タイプへの移行 (フェーズ 2)AWS Control Tower がデジタル主権を支援するコントロールを発表AWS Control Tower がランディングゾーン API をサポートAWS Control Tower が、有効になっているコントロールのタグ付けをサポートAWS Control Tower がアジアパシフィック (メルボルン) リージョンで利用可能に新しい AWS Service Catalog External 製品タイプへの移行 (フェーズ 1)新しいコントロール API が利用可能にAWS Control Tower が追加のコントロールをリリース新しいドリフトタイプの報告: 信頼できるアクセスの無効化4 つの追加 AWS リージョンAWS Control Tower がテルアビブリージョンで利用可能にAWS Control Tower が 28 個の新しいプロアクティブコントロールをリリースAWS Control Tower で 2 つのコントロールが廃止されますAWS Control Tower ランディングゾーンバージョン 3.2AWS Control Tower は ID に基づいてアカウントを処理しますAWS Control Tower コントロールライブラリで使用できるその他の Security Hub 検出コントロールAWS Control Tower は、コントロールメタデータテーブルを公開しますAccount Factory のカスタマイズに対する Terraform サポートAWS ランディングゾーンで利用可能な IAM Identity Center の自己管理AWS Control Tower は OU の混合ガバナンスに対応追加のプロアクティブコントロールが利用可能にAmazon EC2 プロアクティブコントロールの更新7 つの追加 AWS リージョン 利用可能 Account Factory for Terraform (AFT) アカウントのカスタマイズリクエストの追跡 AWS Control Tower ランディングゾーンバージョン 3.1プロアクティブコントロールの一般公開

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

2023 年 1 月~現在

2023 年 1 月以降、AWS Control Tower は次の更新をリリースしました。

新しい AWS Service Catalog External 製品タイプへの移行 (フェーズ 3)

2023 年 12 月 14 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、新しい を作成するときに、製品タイプ (ブループリント) として Terraform Open Source をサポートしなくなりました AWS アカウント。アカウントブループリントの更新の詳細と手順については、AWS Service Catalog 「外部製品タイプへの移行」を参照してください。

External 製品タイプを使用するようにアカウントブループリントを更新しない場合、Terraform オープンソースブループリントを使用してプロビジョニングしたアカウントの更新または終了のみが可能です。

AWS Control Tower ランディングゾーンバージョン 3.3

2023 年 12 月 14 日

(AWS Control Tower ランディングゾーンをバージョン 3.3 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください)。

AWS Control Tower 監査アカウントの S3 バケットポリシーの更新

AWS Control Tower がアカウントにデプロイする Amazon S3 監査バケットポリシーが変更されました。これにより、すべての書き込みアクセス許可のためには aws:SourceOrgID 条件を満たす必要があります。このリリースでは、リクエストが組織または組織単位 (OU) から発信された場合にのみ、 AWS サービスはリソースにアクセスできます。

aws:SourceOrgID 条件キーを使用して、S3 バケットポリシーの条件要素で [組織 ID] の値を設定できます。この条件により、 は組織内のアカウントに代わって CloudTrail のみ S3 バケットにログを書き込むことができます。これにより、組織外の CloudTrail ログが AWS Control Tower S3 バケットに書き込まれなくなります。

この変更は、既存のワークロードの機能に影響を与えることなく、潜在的なセキュリティ上の脆弱性を修正するために行われました。更新されたポリシーを表示する方法については、「監査アカウントの Amazon S3 バケットポリシー」を参照してください。

新しい条件キーの詳細については、IAM ドキュメントと「リソースにアクセスする AWS サービスにスケーラブルなコントロールを使用する」という IAM ブログ記事を参照してください。

AWS Config SNS トピックのポリシーの更新

AWS Config SNS topic.To のポリシーに新しいaws:SourceOrgID条件キーを追加しました。更新されたポリシーを表示します。AWS Config 「SNS トピックポリシー」を参照してください。

ランディングゾーンのリージョン拒否コントロールの更新

  • discovery-marketplace: を削除しました。このアクションは aws-marketplace:* 除外の対象となります。

  • quicksight:DescribeAccountSubscription」を追加

AWS CloudFormation テンプレートの更新

という名前のスタックの AWS CloudFormation テンプレートを更新BASELINE-CLOUDTRAIL-MASTERし、 AWS KMS 暗号化が使用されていない場合に にドリフトが表示されないようにしました。

新しい AWS Service Catalog External 製品タイプへの移行 (フェーズ 2)

2023 年 12 月 7 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

HashiCorp は Terraform ライセンスを更新しました。その結果、Terraform Open Source 製品とプロビジョニング済み製品のサポートが External と呼ばれる新しい製品タイプ AWS Service Catalog に変更されました。

アカウント内の既存のワークロードと AWS リソースの中断を回避するには、「2023 年 12 月 14 日までにAWS Service Catalog 外部製品タイプに移行する」の「AWS Control Tower の移行ステップ」に従ってください。

AWS Control Tower がデジタル主権を支援するコントロールを発表

2023 年 11 月 27 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、デジタル主権の要件を満たすのに役立つ 65 の新しい AWSマネージドコントロールを発表しました。このリリースでは、これらのコントロールを AWS Control Tower コンソールの新しいデジタル主権グループで確認できます。これらのコントロールを利用することで、データレジデンシー、きめ細かなアクセス制限、暗号化、レジリエンシー機能に関するアクションを防止したり、リソースの変更を検出したりできます。これらのコントロールは、要件に対して大規模かつ簡単に対応できるように設計されています。デジタル主権コントロールの詳細については、「デジタル主権保護を強化するコントロール」を参照してください。

例えば、API AWS AppSync キャッシュで転送中の暗号化を有効にする必要がある、Network Firewall を複数のアベイラビリティーゾーンにデプロイする必要があるなど、暗号化と回復戦略を適用するのに役立つコントロールを有効にすることができます。 AWS また、AWS Control Tower のリージョン拒否コントロールをカスタマイズして、独自のビジネスニーズに最適なリージョン別の制限を適用することもできます。

このリリースでは、AWS Control Tower のリージョン拒否機能が大幅に強化されています。パラメータ化された新しいリージョン拒否コントロールを OU レベルで適用して、ガバナンスの細分性を高めながら、ランディングゾーンレベルでの追加のリージョンガバナンスを維持できます。このカスタマイズ可能なリージョン拒否コントロールにより、独自のビジネスニーズに最適なリージョン別の制限を適用できます。設定可能な新しいリージョン拒否コントロールの詳細については、「OU に適用されるリージョン拒否コントロール」を参照してください。

リージョン拒否の新しい強化ツールとして、このリリースには新しい API、UpdateEnabledControl が含まれています。これにより、有効にしたコントロールをデフォルト設定にリセットできます。この API は、ドリフトを迅速に解決する必要がある場合や、コントロールがドリフト状態でないことをプログラムで確認する必要がある場合に特に役立ちます。新しい API の詳細については、「AWS Control Tower API リファレンス」を参照してください。

新しいプロアクティブコントロール

  • CT.APIGATEWAY.PR.6: Amazon API Gateway REST ドメインでは TLS プロトコルの最小バージョン TLSv1.2 を指定するセキュリティポリシーを使用する必要があります

  • CT.APPSYNC.PR.2: AWS AppSync GraphQL API をプライベート可視性で設定する必要があります

  • CT.APPSYNC.PR.3: AWS AppSync GraphQL API が API キーで認証されていない必要があります

  • CT.APPSYNC.PR.4: AWS AppSync GraphQL API キャッシュで転送中の暗号化を有効にする必要があります。

  • CT.APPSYNC.PR.5: AWS AppSync GraphQL API キャッシュで保管時の暗号化を有効にする必要があります。

  • CT.AUTOSCALING.PR.9: Amazon EC2 Auto Scaling 起動設定を使用して設定した Amazon EBS ボリュームでは、保管中のデータを暗号化する必要があります

  • CT.AUTOSCALING.PR.10: 起動テンプレートを上書きするときに、Amazon EC2 Auto Scaling グループで AWS Nitro インスタンスタイプのみを使用する必要があります

  • CT.AUTOSCALING.PR.11: 起動テンプレートを上書きするときに、インスタンス間のネットワークトラフィックの暗号化をサポートする AWS Nitro インスタンスタイプのみを Amazon EC2 Auto Scaling グループに追加する必要があります

  • CT.DAX.PR.3: DynamoDB Accelerator クラスターでは Transport Layer Security (TLS) を使用して転送中のデータを暗号化する必要があります

  • CT.DMS.PR.2: AWS Database Migration Service (DMS) エンドポイントがソースエンドポイントとターゲットエンドポイントの接続を暗号化する必要がある

  • CT.EC2.PR.15: Amazon EC2 インスタンスは、AWS::EC2::LaunchTemplate リソースタイプから作成する場合、 AWS Nitro インスタンスタイプを使用する必要があります

  • CT.EC2.PR.16: Amazon EC2 インスタンスは、AWS::EC2::Instance リソースタイプを使用して作成した場合、 AWS Nitro インスタンスタイプを使用する必要があります

  • CT.EC2.PR.17: Amazon EC2 専有ホストでは AWS Nitro インスタンスタイプを使用する必要があります

  • CT.EC2.PR.18: Amazon EC2 フリートが AWS Nitro インスタンスタイプの起動テンプレートのみを上書きするように要求する

  • CT.EC2.PR.19: Amazon EC2 インスタンスは、AWS::EC2::Instance リソースタイプを使用して作成した場合、インスタンス間の転送中の暗号化をサポートする Nitro インスタンスタイプを使用する必要があります

  • CT.EC2.PR.20: Amazon EC2 フリートは、インスタンス間の転送中の暗号化をサポートする AWS Nitro インスタンスタイプの起動テンプレートのみを上書きする必要があります

  • CT.ELASTICACHE.PR.8: 以降の Redis バージョンの Amazon ElastiCache レプリケーショングループで RBAC 認証を有効にする必要があります

  • CT.MQ.PR.1: Amazon MQ ActiveMQ ブローカーでは、高可用性を確保するためにアクティブ/スタンバイデプロイモードを使用する必要があります

  • CT.MQ.PR.2: Amazon MQ Rabbit MQ ブローカーでは、高可用性を確保するためにマルチ AZ クラスターモードを使用する必要があります

  • CT.MSK.PR.1: Amazon Managed Streaming for Apache Kafka (MSK) クラスターでは、クラスターブローカーノード間の転送中の暗号化を適用する必要があります

  • CT.MSK.PR.2: Amazon Managed Streaming for Apache Kafka (MSK) クラスターを PublicAccess 無効に設定する必要があります

  • CT.NETWORK-FIREWALL.PR.5: AWS Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります

  • CT.RDS.PR.26: Amazon RDS DB Proxy は Transport Layer Security (TLS) 接続を要求する必要があります

  • CT.RDS.PR.27: Amazon RDS DB クラスターパラメータグループは、サポートしているエンジンタイプのために Transport Layer Security (TLS) 接続を要求する必要があります

  • CT.RDS.PR.28: Amazon RDS DB パラメータグループは、サポートしているエンジンタイプのために Transport Layer Security (TLS) 接続を要求する必要があります

  • CT.RDS.PR.29: Amazon RDS クラスターが「」プロパティを使用してパブリックアクセス可能に設定されていないことPubliclyAccessibleを要求する

  • CT.RDS.PR.30: Amazon RDS データベースインスタンスでは、サポートしているエンジンタイプのために指定した KMS キーを使用するように保管中の暗号化を設定する必要があります

  • CT.S3.PR.12: Amazon S3 のアクセスポイントでは、パブリックアクセスブロック (BPA) 設定のすべてのオプションを true に設定する必要があります

新しい予防コントロール

  • CT.APPSYNC.PV.1 AWS AppSync GraphQL API にプライベート可視性が設定されている必要があります

  • CT.EC2.PV.1 Amazon EBS スナップショットは、暗号化した EC2 ボリュームから作成する必要があります

  • CT.EC2.PV.2 アタッチした Amazon EBS ボリュームは、保管中のデータを暗号化するように設定する必要があります

  • CT.EC2.PV.3 Amazon EBS スナップショットはパブリックに復元できないようにする必要があります

  • CT.EC2.PV.4 Amazon EBS direct API が呼び出されないようにする必要があります

  • CT.EC2.PV.5 Amazon EC2 VM のインポートとエクスポートの使用を禁止します

  • CT.EC2.PV.6 非推奨の Amazon EC2 RequestSpotFleet および RequestSpotInstances API アクションの使用を禁止する

  • CT.KMS.PV.1 AWS サービスへの AWS KMS 許可の作成を制限するステートメントを AWS KMS キーポリシーに要求する

  • CT.KMS.PV.2 暗号化に使用される RSA キーマテリアルを持つ AWS KMS 非対称キーのキー長が 2048 ビットでない必要があります

  • CT.KMS.PV.3 バイパスポリシーのロックアウト安全チェックを有効にして AWS KMS キーを設定する必要があります

  • CT.KMS.PV.4 AWS KMS カスタマーマネージドキー (CMK) が AWS CloudHSM から発信されるキーマテリアルで設定されている必要があります

  • CT.KMS.PV.5 AWS KMS カスタマーマネージドキー (CMK) がインポートされたキーマテリアルで設定されている必要があります

  • CT.KMS.PV.6 AWS KMS カスタマーマネージドキー (CMK) は、外部キーストア (XKS) から発信されるキーマテリアルで設定する必要があります

  • CT.LAMBDA.PV.1 AWS IAM ベースの認証を使用するには AWS Lambda 関数 URL が必要です

  • CT.LAMBDA.PV.2 AWS Lambda 関数 URL は、 内のプリンシパルのみがアクセスできるように設定する必要があります。 AWS アカウント

  • CT.MULTISERVICE.PV.1: 組織単位 AWS リージョン にリクエストされた AWS に基づいて へのアクセスを拒否する

デジタル主権ガバナンス体制を強化する新しい継承的コントロールは、 AWS Security Hub サービスマネージドスタンダード AWS Control Tower の一部です。

新しい検出コントロール

  • SH.ACM.2: ACM が管理する RSA 証明書では、少なくとも 2,048 ビットのキー長を使用する必要があります

  • SH.AppSync.5: AWS AppSync GraphQL APIsは API キーで認証しないでください

  • SH.CloudTrail.6: CloudTrail ログの保存に使用される S3 バケットがパブリックにアクセスできないことを確認します。

  • SH.DMS.9: DMS エンドポイントでは SSL を使用する必要があります

  • SH.DocumentDB.3: Amazon DocumentDB 手動クラスタースナップショットは公開できません

  • SH.DynamoDB.3: DynamoDB Accelerator (DAX) クラスターは、保管中に暗号化する必要があります

  • SH.EC2.23: EC2 Transit Gateway は VPC アタッチメントリクエストを自動的に受け入れないようにする必要があります

  • SH.EKS.1: EKS クラスターエンドポイントはパブリックアクセス可能にしない必要があります

  • SH.ElastiCache.3: ElastiCache レプリケーショングループで自動フェイルオーバーを有効にする必要があります

  • SH.ElastiCache.4: ElastiCache レプリケーショングループは encryption-at-rest 有効になっている必要があります

  • SH.ElastiCache.5: ElastiCache レプリケーショングループは encryption-in-transit 有効になっている必要があります

  • SH.ElastiCache.6:以前の Redis バージョンの ElastiCache レプリケーショングループでは、Redis AUTH が有効になっている必要があります

  • SH.EventBridge.3: EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされている必要があります

  • SH.KMS.4: AWS KMS キーローテーションを有効にする必要があります

  • SH.Lambda.3: Lambda 関数は VPC 内に存在する必要があります

  • SH.MQ.5: ActiveMQ ブローカーは、アクティブ/スタンバイデプロイモードを使用する必要があります

  • SH.MQ.6: RabbitMQ ブローカーは、クラスターデプロイモードを使用する必要があります。

  • SH.MSK.1: MSK クラスターは、ブローカーノード間で転送中に暗号化する必要があります

  • SH.RDS.12: IAM 認証は RDS クラスター用に設定する必要があります

  • SH.RDS.15: RDS DB クラスターは、複数のアベイラビリティーゾーンで設定する必要があります

  • SH.S3.17: S3 バケットは、 AWS KMS キーを使用して保管中に暗号化する必要があります

AWS Security Hub サービスマネージドスタンダード AWS Control Tower に追加されたコントロールの詳細については、 AWS Security Hub ドキュメントの「サービスマネージドスタンダード: AWS Control Tower に適用されるコントロール」を参照してください。

AWS Security Hub サービスマネージドスタンダード AWS Control Tower の一部である特定のコントロールをサポート AWS リージョン していない のリストについては、「サポートされていないリージョン」を参照してください。

OU レベルでのリージョン拒否用の新しい設定可能なコントロール

CT.MULTISERVICE.PV.1: このコントロールは、AWS Control Tower のランディングゾーン全体ではなく、OU レベルで許可される除外リージョン、IAM プリンシパル、アクションを指定するパラメータを受け入れます。これは予防コントロールであり、サービスコントロールポリシー (SCP) によって実装されます。

詳細については、「OU に適用されるリージョン拒否コントロール」を参照してください。

UpdateEnabledControl API

この AWS Control Tower リリースでは、コントロール用の次の API サポートを追加しています。

  • 更新された EnableControl API では、設定可能なコントロールを設定できます。

  • 更新された GetEnabledControl API では、有効なコントロールに設定されたパラメータが表示されます。

  • 新しい UpdateEnabledControl API では、有効なコントロールのパラメータを変更できます。

詳細については、AWS Control Tower の「API リファレンス」を参照してください。

AWS Control Tower がランディングゾーン API をサポート

2023 年 11 月 26 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、API を使用したランディングゾーンの設定と起動をサポートするようになりました。API を使用して、ランディングゾーンの作成、更新、取得、一覧表示、リセット、および削除を行うことができます。

次の APIs を使用すると、 AWS CloudFormation または を使用してランディングゾーンをプログラムでセットアップおよび管理できます AWS CLI。

AWS Control Tower では、ランディングゾーンに関する以下の API をサポートしています。

  • CreateLandingZone — この API コールは、ランディングゾーンバージョンとマニフェストファイルを使用してランディングゾーンを作成します。

  • GetLandingZoneOperation — この API コールは、指定したランディングゾーンオペレーションのステータスを返します。

  • GetLandingZone– この API コールは、バージョン、マニフェストファイル、ステータスなど、指定されたランディングゾーンに関する詳細を返します。

  • UpdateLandingZone — この API コールは、ランディングゾーンバージョンまたはマニフェストファイルを更新します。

  • ListLandingZone — この API コールは、管理アカウントのランディングゾーン設定のランディングゾーン識別子 (ARN) を 1 つ返します。

  • ResetLandingZone– この API コールは、ランディングゾーンを最新の更新で指定されたパラメータにリセットし、ドリフトを修復できます。ランディングゾーンが更新されていない場合、この呼び出しによりランディングゾーンが作成時に指定されたパラメータにリセットされます。

  • DeleteLandingZone — この API コールはランディングゾーンを廃止します。

ランディングゾーン API の使用を開始するには、「API を使用した AWS Control Tower の開始方法」を参照してください。

AWS Control Tower が、有効になっているコントロールのタグ付けをサポート

2023 年 11 月 10 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower では、AWS Control Tower コンソールから、または API により、有効になっているコントロールのリソースのタグ付けがサポートされました。有効になっているコントロールのタグを追加、削除、または一覧表示できます。

次の API のリリースにより、AWS Control Tower で有効にするコントロールのタグを設定できます。タグは、リソースの管理、識別、整理、検索、フィルタリングに役立ちます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。

AWS Control Tower では、コントロールのタグ付けのために次の API がサポートされます。

  • TagResource – この API コールは、AWS Control Tower で有効になっているコントロールにタグを追加します。

  • UntagResource – この API コールは、AWS Control Tower で有効になっているコントロールからタグを削除します。

  • ListTagsForResource – この API コールは、AWS Control Tower で有効になっているコントロールのタグを返します。

AWS Control Tower コントロール APIsは、AWS Control Tower AWS リージョン が利用可能な で使用できます。AWS Control Tower が利用可能な の完全なリストについては、 AWS リージョン AWS 「リージョン表」を参照してください。AWS Control Tower API の完全なリストについては、「API リファレンス」を参照してください。

AWS Control Tower がアジアパシフィック (メルボルン) リージョンで利用可能に

2023 年 11 月 3 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower がアジアパシフィック (メルボルン) リージョンで利用可能です。

既に AWS Control Tower を使用していて、アカウントのこのリージョンにガバナンス機能を拡張する場合は、AWS Control Tower ダッシュボードの [設定] ページに移動し、リージョンを選択してから、ランディングゾーンを更新します。ランディングゾーンの更新後、AWS Control Tower が管理するアカウントをすべて更新し、アカウントと OU を新しいリージョンの管理下に置く必要があります。詳細については、「更新について」を参照してください

AWS Control Tower を使用できるリージョンの完全なリストについては、「AWS リージョン の表」を参照してください。

新しい AWS Service Catalog External 製品タイプへの移行 (フェーズ 1)

2023 年 10 月 31 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

HashiCorp は Terraform ライセンスを更新しました。その結果、Terraform Open Source 製品とプロビジョニング済み製品のサポートが External と呼ばれる新しい製品タイプに AWS Service Catalog 更新されました。

AWS Control Tower は、 AWS Service Catalog External 製品タイプに依存する Account Factory のカスタマイズをサポートしていません。アカウント内の既存のワークロードと AWS リソースの中断を回避するには、2023 年 12 月 14 日までに、次の推奨順序で AWS Control Tower の移行手順に従ってください。

  1. の既存の Terraform リファレンスエンジンをアップグレード AWS Service Catalog して、外部製品タイプと Terraform オープンソース製品タイプの両方のサポートを含めます。Terraform リファレンスエンジンを更新する手順については、AWS Service Catalog GitHub リポジトリ を参照してください。

  2. 新しい External 製品タイプを使用するには、 に移動 AWS Service Catalog して既存の Terraform Open Source ブループリントを複製します。既存の Terraform Open Source ブループリントを削除しないでください

  3. 既存の Terraform Open Source ブループリントを引き続き使用して、AWS Control Tower のアカウントを作成または更新します。

新しいコントロール API が利用可能に

2023 年 10 月 14 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower では、AWS Control Tower のコントロールを大規模にデプロイおよび管理するために使用できる追加の API がサポートされるようになりました。AWS Control Tower API の詳細については、「API リファレンス」を参照してください。

AWS Control Tower で新しいコントロール API が追加されました。

  • GetEnabledControl – API コールは、有効になっているコントロールに関する詳細を提供します。

この API も更新されました。

ListEnabledControls – この API コールは、指定した組織単位とその組織単位内のアカウントで、AWS Control Tower によって有効化されたコントロールを一覧表示します。EnabledControlSummary オブジェクトの追加情報を返すようになりました。

これらの API を使用すると、いくつかの一般的なオペレーションをプログラムで実行できます。例:

  • AWS Control Tower コントロールライブラリから、有効にしたすべてのコントロールのリストを取得します。

  • 有効になっているコントロールについては、コントロールがサポートされているリージョン、コントロールの識別子 (ARN)、コントロールのドリフトステータス、およびコントロールのステータス概要に関する情報を取得できます。

AWS Control Tower コントロール APIsは、AWS Control Tower AWS リージョン が利用可能な で使用できます。AWS Control Tower が利用可能な の完全なリストについては、 AWS リージョン AWS 「リージョン表」を参照してください。AWS Control Tower API の完全なリストについては、「API リファレンス」を参照してください。

AWS Control Tower が追加のコントロールをリリース

2023 年 10 月 5 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、新しいプロアクティブコントロールと検出コントロールを発表しました。

AWS Control Tower のプロアクティブコントロールは、 AWS CloudFormation Hooks によって実装されます。Hooks は、非準拠のリソースを AWS CloudFormation プロビジョニングする前に識別してブロックします。プロアクティブコントロールは、AWS Control Tower の既存の予防および検出コントロール機能を補完します。

新しいプロアクティブコントロール

  • [CT.ATHENA.PR.1] Amazon Athena ワークグループは Athena クエリ結果を保管中に暗号化する必要があります

  • [CT.ATHENA.PR.2] Amazon Athena ワークグループは AWS Key Management Service (KMS) キーを使用して Athena クエリ結果を保管中に暗号化する必要があります

  • 〔CT.CLOUDTRAIL.PR.4〕 AWS CloudTrail Lake イベントデータストアで AWS KMS キーを使用した保管時の暗号化を有効にする必要があります

  • [CT.DAX.PR.2] Amazon DAX クラスターは少なくとも 3 つのアベイラビリティーゾーンにノードをデプロイする必要があります

  • [CT.EC2.PR.14] 保管中のデータを暗号化するには、Amazon EC2 起動テンプレートを使用して Amazon EBS ボリュームを設定する必要があります

  • 〔CT.EKS.PR.2〕 Amazon EKS クラスターは、 Key Management Service (KMS) AWS キーを使用したシークレット暗号化で設定する必要があります

  • [CT.ELASTICLOADBALANCING.PR.14] Network Load Balancer ではクロスゾーン負荷分散を有効にする必要があります

  • [CT.ELASTICLOADBALANCING.PR.15] Elastic Load Balancing v2 ターゲットグループはクロスゾーン負荷分散を明示的に無効にしないようにする必要があります

  • [CT.EMR.PR.1] Amazon EMR (EMR) のセキュリティ設定は、Amazon S3 に保管中のデータを暗号化するように構成する必要があります

  • 〔CT.EMR.PR.2〕 Amazon EMR (EMR) セキュリティ設定は、Amazon S3 に保管中のデータを AWS KMS キーで暗号化するように設定する必要があります

  • 〔CT.EMR.PR.3〕 Amazon EMR (EMR) セキュリティ設定は、 AWS KMS キーを使用した EBS ボリュームのローカルディスク暗号化で設定する必要があります

  • [CT.EMR.PR.4] 転送中のデータを暗号化するように Amazon EMR (EMR) のセキュリティ設定を構成する必要があります

  • [CT.GLUE.PR.1] AWS Glue ジョブには関連するセキュリティ設定が必要です

  • [CT.GLUE.PR.2] AWS Glue セキュリティ設定は、 AWS KMS キーを使用して Amazon S3 ターゲット内のデータを暗号化する必要があります

  • 〔CT.KMS.PR.2〕 暗号化に使用される RSA キーマテリアルを持つ AWS KMS 非対称キーの長さが 2048 ビットを超える必要があります

  • 〔CT.KMS.PR.3〕 AWS KMS キーポリシーには、 AWS サービスへの AWS KMS 許可の作成を制限するステートメントが必要です

  • 〔CT.LAMBDA.PR.4〕 AWS 組織または特定の AWS アカウントへのアクセスを許可するレイヤーアクセス AWS Lambda 許可が必要です

  • 〔CT.LAMBDA.PR.5〕 AWS IAM ベースの認証を使用するには AWS Lambda 関数 URL が必要です

  • 〔CT.LAMBDA.PR.6〕 特定のオリジンへのアクセスを制限するには、 AWS Lambda 関数 URL CORS ポリシーが必要です

  • 〔CT.NEPTUNE.PR.4〕 Amazon Neptune DB クラスターで監査 CloudWatch ログの Amazon ログエクスポートを有効にする必要があります

  • [CT.NEPTUNE.PR.5] Amazon Neptune DB クラスターは、バックアップ保持期間を 7 日間以上に設定する必要があります

  • [CT.REDSHIFT.PR.9] Amazon Redshift クラスターのパラメータグループは、転送中のデータの暗号化に Secure Sockets Layer (SSL) を使用するように設定する必要があります

これらの新しいプロアクティブコントロールは、AWS Control Tower AWS リージョン が利用可能な商用 で利用できます。これらのコントロールの詳細については、「プロアクティブコントロール」を参照してください。コントロールが利用可能な場所の詳細については、「コントロールの制限」を参照してください。

新しい検出コントロール

Security Hub サービスマネージド標準: AWS Control Tower に新しいコントロールが追加されました。これらのコントロールは、ガバナンス体制の強化に役立ちます。これらのコントロールは、特定の OU で有効にすると、Security Hub サービスマネージド標準: AWS Control Tower の一部として機能します。

  • [SH.Athena.1] Athena ワークグループは、保管中に暗号化する必要があります

  • [SH.Neptune.1] Neptune DB クラスターは、保管中に暗号化する必要があります

  • 〔SH.Neptune.2〕 Neptune DB クラスターは監査ログを CloudWatch Logs に発行する必要があります

  • [SH.Neptune.3] Neptune DB クラスタースナップショットをパブリックにすることはできません

  • [SH.Neptune.4] Neptune DB クラスターでは、削除保護を有効にする必要があります

  • [SH.Neptune.5] Neptune DB クラスターでは、自動バックアップを有効にする必要があります

  • [SH.Neptune.6] Neptune DB クラスタースナップショットは、保管中に暗号化する必要があります

  • [SH.Neptune.7] Neptune DB クラスターでは、IAM データベース認証を有効にする必要があります

  • [SH.Neptune.8] Neptune DB クラスターでは、タグをスナップショットにコピーするように設定する必要があります

  • [SH.RDS.27] RDS DB クラスターは保管中に暗号化する必要があります

新しい AWS Security Hub 検出コントロールは、AWS Control Tower AWS リージョン が利用可能なほとんどの で使用できます。これらのコントロールの詳細については、「サービスマネージドスタンダード: AWS Control Tower に適用されるコントロール」を参照してください。コントロールが利用できる場所の詳細については、「コントロールの制限事項」を参照してください。

新しいドリフトタイプの報告: 信頼できるアクセスの無効化

2023 年 9 月 21 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower のランディングゾーンをセットアップしたら、 AWS Organizationsで AWS Control Tower への信頼できるアクセスを無効にできます。ただし、これに伴ってドリフトが発生します。

信頼できるアクセスの無効化に伴うドリフトタイプにより、この種のドリフトが発生すると AWS Control Tower から通知が届くため、AWS Control Tower のランディングゾーンを修復できます。詳細については、「ガバナンスドリフトのタイプ」を参照してください。

4 つの追加 AWS リージョン

2023 年 9 月 13 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower が、アジアパシフィック (ハイデラバード)、欧州 (スペインおよびチューリッヒ)、中東 (アラブ首長国連邦) で利用可能になりました。

既に AWS Control Tower を使用していて、アカウントのこのリージョンにガバナンス機能を拡張する場合は、AWS Control Tower ダッシュボードの [設定] ページに移動し、リージョンを選択してから、ランディングゾーンを更新します。ランディングゾーンの更新後、AWS Control Tower が管理するアカウントをすべて更新し、アカウントと OU を新しいリージョンの管理下に置く必要があります。詳細については、「更新について」を参照してください

AWS Control Tower を使用できるリージョンの完全なリストについては、「AWS リージョン の表」を参照してください。

AWS Control Tower がテルアビブリージョンで利用可能に

2023 年 8 月 28 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower が、イスラエル (テルアビブ) で利用可能になりました。

既に AWS Control Tower を使用していて、アカウントのこのリージョンにガバナンス機能を拡張する場合は、AWS Control Tower ダッシュボードの [設定] ページに移動し、リージョンを選択してから、ランディングゾーンを更新します。ランディングゾーンの更新後、AWS Control Tower が管理するアカウントをすべて更新し、アカウントと OU を新しいリージョンの管理下に置く必要があります。詳細については、「更新について」を参照してください

AWS Control Tower を使用できるリージョンの完全なリストについては、「AWS リージョン の表」を参照してください。

AWS Control Tower が 28 個の新しいプロアクティブコントロールをリリース

2023 年 7 月 24 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、 AWS  環境の管理に役立つ 28 個の新しいプロアクティブコントロールを追加します。

プロアクティブコントロールは、プロビジョニング前に非準拠のリソースをブロックすることで、マルチアカウント AWS 環境全体で AWS Control Tower のガバナンス機能を強化します。これらのコントロールは、Amazon CloudWatch、Amazon Neptune 、Amazon 、 ElastiCache AWS Step Functions Amazon DocumentDB などの AWS サービスを管理するのに役立ちます。新しいコントロールは、ログ記録とモニタリングの確立、保管中のデータの暗号化、耐障害性の向上などの統制目標を達成するのに役立ちます。

新しいコントロールの詳細なリストは次のとおりです。

  • [CT.APPSYNC.PR.1] AppSync GraphQL API で AWS ログ記録を有効にする必要があります

  • [CT.CLOUDWATCH.PR.1] Amazon CloudWatch アラームには、アラーム状態に設定されたアクションが必要です

  • [CT.CLOUDWATCH.PR.2] Amazon CloudWatch ロググループを少なくとも 1 年間保持する必要があります

  • [CT.CLOUDWATCH.PR.3] Amazon CloudWatch ロググループは AWS KMS キーを使用して保管時に暗号化する必要があります

  • [CT.CLOUDWATCH.PR.4] Amazon CloudWatch アラームアクションを有効にする必要があります

  • [CT.DOCUMENTDB.PR.1] Amazon DocumentDB クラスターを保管中に暗号化する必要がある

  • [CT.DOCUMENTDB.PR.2] Amazon DocumentDB クラスターで自動バックアップを有効にする必要がある

  • [CT.DYNAMODB.PR.2] Amazon DynamoDB テーブルは、 AWS KMS キーを使用して保管時に暗号化する必要があります

  • [CT.EC2.PR.13] Amazon EC2 インスタンスで詳細モニタリングを有効にする必要がある

  • [CT.EKS.PR.1] クラスターの Kubernetes API サーバーエンドポイントへのパブリックアクセスを無効にして Amazon EKS クラスターを設定する必要がある

  • [CT.ELASTICACHE.PR.1] Amazon ElastiCache for Redis クラスターで自動バックアップを有効にする必要があります

  • [CT.ELASTICACHE.PR.2] Amazon ElastiCache for Redis クラスターで自動マイナーバージョンアップグレードを有効にする必要があります

  • [CT.ELASTICACHE.PR.3] Amazon ElastiCache for Redis レプリケーショングループで自動フェイルオーバーを有効にする必要があります

  • [CT.ELASTICACHE.PR.4] Amazon ElastiCache レプリケーショングループで保管時の暗号化を有効にする必要があります

  • [CT.ELASTICACHE.PR.5] Amazon ElastiCache for Redis レプリケーショングループで転送中の暗号化を有効にする必要があります

  • [CT.ELASTICACHE.PR.6] Amazon ElastiCache キャッシュクラスターはカスタムサブネットグループを使用する必要があります

  • [CT.ELASTICACHE.PR.7] 以前の Redis バージョンの Amazon ElastiCache レプリケーショングループには Redis AUTH 認証が必要です

  • [CT.ELASTICBEANSTALK.PR.3]  AWS  Elastic Beanstalk 環境にログ記録設定が必要である

  • [CT.LAMBDA.PR.3] カスタマーマネージド Amazon 仮想プライベートクラウド (VPC) に  AWS Lambda  関数を含める必要がある

  • [CT.NEPTUNE.PR.1] Amazon Neptune DB クラスターには AWS Identity and Access Management (IAM) データベース認証が必要です

  • [CT.NEPTUNE.PR.2] Amazon Neptune DB クラスターで削除保護を有効にする必要がある

  • [CT.NEPTUNE.PR.3] Amazon Neptune DB クラスターでストレージ暗号化を有効にする必要がある

  • [CT.REDSHIFT.PR.8] Amazon Redshift クラスターを暗号化する必要がある

  • [CT.S3.PR.9] Amazon S3 バケットで S3 オブジェクトロックを有効にする必要がある

  • [CT.S3.PR.10] Amazon S3 バケットでは、 AWS KMS キーを使用してサーバー側の暗号化を設定する必要があります

  • [CT.S3.PR.11] Amazon S3 バケットでバージョニングを有効にする必要がある

  • [CT.STEPFUNCTIONS.PR.1]  AWS Step Functions  ステートマシンでログ記録をアクティブにする必要がある

  • [CT.STEPFUNCTIONS.PR.2] AWS Step Functions ステートマシンで AWS X-Ray トレースを有効にする必要があります

AWS Control Tower のプロアクティブコントロールは、 AWS CloudFormation Hooks によって実装されます。Hooks は、非準拠のリソースを AWS CloudFormation プロビジョニングする前に識別してブロックします。プロアクティブコントロールは、AWS Control Tower の既存の予防および検出コントロール機能を補完します。

これらの新しいプロアクティブコントロールは、AWS Control Tower AWS リージョン が利用可能なすべての で使用できます。これらのコントロールの詳細については、「プロアクティブコントロール」を参照してください。

AWS Control Tower で 2 つのコントロールが廃止されます

2023 年 7 月 18 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower はセキュリティコントロールを定期的に見直し、最新の状態であり、引き続きベストプラクティスと見なされていることを確認します。次の 2 つのコントロールは 2023 年 7 月 18 日に廃止され、2023 年 8 月 18 日にコントロールライブラリから削除されます。どの組織単位でもこれらのコントロールを有効にすることはできなくなりました。削除日より前にこれらのコントロールを無効にすることもできます。

  • [SH.S3.4] S3 バケットでは、サーバー側の暗号化を有効にする必要があります

  • [CT.S3.PR.7] Amazon S3 バケットにサーバー側の暗号化が設定されている必要があります

廃止の理由

2023 年 1 月現在、Amazon S3 は、暗号化されていない新しいバケットと既存のバケットすべてにデフォルトの暗号化を設定して、これらのバケットにアップロードされる新しいオブジェクトの暗号化の基本レベルとして、S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) を適用します。Key Management Service (KMS) AWS キー (SSE-KMS) が設定されている SSE-S3 またはサーバー側の暗号化が既に存在する既存のバケットのデフォルトの暗号化設定は変更されていません。AWS

AWS Control Tower ランディングゾーンバージョン 3.2

2023 年 6 月 16 日

(AWS Control Tower ランディングゾーンをバージョン 3.2 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください)。

AWS Control Tower ランディングゾーンバージョン 3.2 では、 AWS Security Hub サービスマネージドスタンダード: AWS Control Tower の一部であるコントロールが一般公開されています。この標準に含まれるコントロールのドリフトステータスを AWS Control Tower コンソールで表示する機能が導入されました。

この更新には、 と呼ばれる新しいサービスにリンクされたロール (SLR) が含まれていますAWSServiceRoleForAWSControlTower。このロールは、AWSControlTowerManagedRule各メンバーアカウントの と呼ばれる EventBridge マネージドルールを作成することで、AWS Control Tower をサポートします。このマネージドルールは、AWS Control Tower AWS Security Hub を使用して から検出結果イベントを収集し、コントロールドリフトを判断できます。

このルールは、AWS Control Tower によって作成される最初のマネージドルールです。ルールはスタックによってデプロイされず、 EventBridge APIs。ルールは、 EventBridge コンソールで、または EventBridge APIsを使用して表示できます。managed-by フィールドに入力すると、AWS Control Tower のサービスプリンシパルが表示されます。

以前は、AWS Control Tower がメンバーアカウントでオペレーションを実行するAWSControlTowerExecutionロールを引き受けていました。この新しいロールとルールは、マルチアカウント AWS 環境でオペレーションを実行するときに最小特権を許可するというベストプラクティスの原則により適しています。新しいロールでは、メンバーアカウントでのマネージドルールの作成、マネージドルールの管理、SNS によるセキュリティ通知の公開、ドリフトの検証など、具体的に許可する範囲を絞ったアクセス許可が提供されます。詳細については、「AWSServiceRoleForAWSControlTower」を参照してください。

ランディングゾーン 3.2 の更新には、管理アカウント に新しい StackSet リソースも含まれています。これはBP_BASELINE_SERVICE_LINKED_ROLE、最初にサービスにリンクされたロールをデプロイします。

Security Hub のコントロールドリフト (ランディングゾーン 3.2 以降) を報告すると、AWS Control Tower は Security Hub から日次ステータス更新を受け取ります。コントロールはすべての管理対象リージョンでアクティブですが、AWS Control Tower AWS Security Hub は検出結果イベントを AWS Control Tower ホームリージョンにのみ送信します。詳細については、「Security Hub コントロールドリフトレポート」を参照してください。

リージョン拒否コントロールの更新

このランディングゾーンバージョンには、リージョン拒否コントロールの更新も含まれています。

追加されたグローバルサービスと API

  • AWS Billing and Cost Management (billing:*)

  • AWS CloudTrail (cloudtrail:LookupEvents) は、メンバーアカウントのグローバルイベントを可視化します。

  • AWS 一括請求 (consolidatedbilling:*

  • AWS マネジメントコンソールモバイルアプリケーション (consoleapp:*

  • AWS 無料利用枠 (freetier:*

  • AWS Invoicing (invoicing:*)

  • AWS IQ (iq:*

  • AWS ユーザー通知 (notifications:*

  • AWS ユーザー通知連絡先 (notifications-contacts:*

  • Amazon Payments (payments:*)

  • AWS 税金設定 (tax:*

削除されたグローバルサービスと API

  • 有効なアクションではないため、s3:GetAccountPublic は削除されました。

  • 有効なアクションではないため、s3:PutAccountPublic は削除されました。

AWS Control Tower は ID に基づいてアカウントを処理します

2023 年 6 月 14 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、アカウントの E メールアドレスではなくアカウント AWS ID を追跡することで、Account Factory で作成したアカウントを作成および管理できるようになりました。

アカウントをプロビジョニングする場合、アカウントのリクエスタには必ず CreateAccount および DescribeCreateAccountStatus アクセス許可が必要です。このアクセス許可セットは Admin ロールの一部であり、リクエスタが Admin ロールを引き受けると自動的に付与されます。アカウントをプロビジョニングするアクセス許可を委任する場合、これらのアクセス許可をアカウントリクエスタに直接追加する必要がある場合があります。

AWS Control Tower コントロールライブラリで使用できるその他の Security Hub 検出コントロール

2023 年 6 月 12 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、AWS Control Tower コントロールライブラリに 10 個の新しい AWS Security Hub 検出コントロールを追加しました。これらの新しいコントロールは、API Gateway、Amazon Elastic Compute Cloud (EC2) AWS CodeBuild、Amazon Elastic Load BalancerAmazon Redshift、Amazon 、 などのサービスをターゲットに SageMakerしています AWS WAF。これらの新しいコントロールは、ロギングと監視の確立ネットワークアクセスの制限保管中のデータの暗号化などの制御目標を達成することで、ガバナンス体制の強化に役立ちます。

これらのコントロールは、特定の OU で有効にした後、Security Hub サービスマネージドスタンダード: AWS Control Tower の一部として機能します。

  • [SH.Account.1] のセキュリティ連絡先情報を に提供する必要があります AWS アカウント

  • [SH.APIGateway.8] API Gateway ルートは承認タイプを指定する必要があります

  • [SH.APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります

  • [SH.CodeBuild.3] CodeBuild S3 ログは暗号化する必要があります

  • [SH.EC2.25] EC2 起動テンプレートでパブリック IP をネットワークインターフェイスに割り当てないでください

  • [SH.ELB.1] Application Load Balancer は、すべての HTTP リクエストを HTTPS にリダイレクトするように設定する必要があります

  • [SH.Redshift.10] Redshift クラスターは保存時に暗号化する必要があります

  • [SH.SageMaker.2] SageMaker ノートブックインスタンスはカスタム VPC で起動する必要があります

  • [SH.SageMaker.3] ユーザーには SageMaker ノートブックインスタンスへのルートアクセスを許可しないでください

  • [SH.WAF.10] WAFV2 ウェブ ACL には、1 つ以上のルールまたはルールグループが必要です

新しい AWS Security Hub 検出コントロールは、AWS Control Tower AWS リージョン が利用可能なすべての で使用できます。これらのコントロールの詳細については、「サービスマネージドスタンダード: AWS Control Tower に適用されるコントロール」を参照してください。

AWS Control Tower は、コントロールメタデータテーブルを公開します

2023 年 6 月 7 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower はで、公開されたドキュメントの一部として、コントロールメタデータの全表が提供されるようになりました。コントロール API を操作するとき、各コントロールの API controlIdentifier を検索できます。これは、各  AWS リージョン に関連付けられた一意の ARN です。表には、各コントロールの対象となるフレームワークと制御目標が含まれています。以前は、この情報はコンソールにのみ表示されていました。

テーブルには、AWS Security Hub  サービスマネージドスタンダード: AWS Control Tower の一部である Security Hub コントロールのメタデータも含まれています。詳細については、「コントロールメタデータの表」を参照してください。

コントロール識別子の省略リストと使用例については、APIs」を参照してください。

Account Factory のカスタマイズに対する Terraform サポート

2023 年 6 月 6 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower では、Account Factory のカスタマイズ (AFC) を通じて、Terraform の単一リージョンサポートを提供しています。今回のリリースから、AWS Control Tower と Service Catalog を併用して、Terraform オープンソースで AFC アカウントのブループリントを定義できるようになりました。AWS Control Tower でリソースをプロビジョニングする前に AWS アカウント、新規および既存の をカスタマイズできます。デフォルトでは、この機能により、Terraform を使用して AWS Control Tower のホームリージョンにアカウントをデプロイおよび更新できます。

アカウントブループリント AWS アカウント は、 がプロビジョニングされるときに必要な特定のリソースと設定を記述します。ブループリントをテンプレートとして使用して、複数の を大規模 AWS アカウント に作成できます。

開始するには、 で Terraform リファレンスエンジン GitHubを使用します。リファレンスエンジンは、Terraform オープンソースエンジンが Service Catalog と連携するために必要なコードとインフラストラクチャを設定します。この 1 回限りのセットアッププロセスには数分かかります。その後、Terraform でカスタムアカウントの要件を定義し、明確に定義された AWS Control Tower アカウントファクトリワークフローを使用してアカウントをデプロイできます。Terraform の使用を希望するお客様は、AWS Control Tower のアカウントを AFC で大規模にカスタマイズでき、プロビジョニング後に各アカウントにすぐにアクセスできます。

これらのカスタマイズを作成する方法については、Service Catalog ドキュメントの「製品の作成」と「Terraform オープンソース入門」を参照してください。この機能は、AWS Control Tower AWS リージョン が利用可能なすべての で使用できます。

AWS ランディングゾーンで利用可能な IAM Identity Center の自己管理

2023 年 6 月 6 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower では、セットアップまたは更新時に設定できる AWS Control Tower ランディングゾーンの ID プロバイダーをオプションで選択できるようになりました。デフォルトでは、ランディングゾーンは、「複数のアカウントを使用して AWS 環境を整理する」で定義されているベストプラクティスのガイダンスに従って、 AWS IAM Identity Center の使用をオプトインされます。これで、選択肢は次の 3 つになりました。

  • デフォルトを受け入れて、AWS Control Tower に AWS IAM Identity Center のセットアップと管理を任せることができます。

  • 特定のビジネス要件を反映するために、 AWS IAM Identity Center を自己管理することを選択できます。

  • 必要な場合は、サードパーティの ID プロバイダーを IAM Identity Center 経由で接続して、自分で管理することもできます。規制環境で特定のプロバイダーを使用する必要がある場合、または AWS IAM Identity Center AWS リージョン が利用できない で運用している場合は、ID プロバイダーのオプションを使用する必要があります。

詳細については、「IAM Identity Center のガイダンス」を参照してください。

アカウントレベルでの ID プロバイダーの選択はサポートされていません。この機能はランディングゾーン全体にのみ適用されます。AWS Control Tower ID プロバイダーのオプションは、AWS Control Tower AWS リージョン が利用可能なすべての で使用できます。

AWS Control Tower は OU の混合ガバナンスに対応

2023 年 6 月 1 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

今回のリリースでは、組織単位 (OU)  が混合ガバナンスの状態にある場合、AWS Control Tower はコントロールが OU にデプロイされないようにします。AWS Control Tower がガバナンスを新しい に拡張した後、またはガバナンスを削除した後にアカウントが更新されない場合 AWS リージョン、混合ガバナンスが OU で発生します。このリリースにより、その OU のメンバーアカウントを統一したコンプライアンスに維持できます。詳細については、「リージョンを設定する際は混合ガバナンスを避ける」を参照してください。

追加のプロアクティブコントロールが利用可能に

2023 年 5 月 19 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower では、マルチアカウント環境を管理し、保管中のデータの暗号化やネットワークアクセスの制限などの特定のコントロール目標の達成を支援するために、28 種類のプロアクティブコントロールが新たに追加されています。プロアクティブコントロールは、プロビジョニング前にリソースをチェックする AWS CloudFormation フックで実装されます。新しいコントロールは、Amazon OpenSearch Service、Amazon EC2 Auto Scaling、Amazon、Amazon API Gateway SageMaker、Amazon Relational Database Service (RDS) などの AWS サービスを管理するのに役立ちます。 Amazon API Gateway

プロアクティブコントロールは、AWS Control Tower AWS リージョン が利用可能なすべての商用 でサポートされています。

Amazon OpenSearch サービス

  • [CT.OPENSEARCH.PR.1] 保管中のデータを暗号化するには Elasticsearch ドメインが必要です

  • [CT.OPENSEARCH.PR.2] ユーザーが指定した Amazon VPC に Elasticsearch ドメインが作成されている必要があります

  • [CT.OPENSEARCH.PR.3] ノード間のデータを暗号化するには Elasticsearch ドメインが必要です

  • [CT.OPENSEARCH.PR.4] Amazon Logs にエラーログを送信するには Elasticsearch CloudWatch ドメインが必要です

  • [CT.OPENSEARCH.PR.5] 監査ログを Amazon Logs に送信するには Elasticsearch CloudWatch ドメインが必要です

  • [CT.OPENSEARCH.PR.6] Elasticsearch ドメインにはゾーン認識および少なくとも 3 つのデータノードが必要です

  • [CT.OPENSEARCH.PR.7] Elasticsearch ドメインには少なくとも 3 つの専用マスターノードが必要です

  • [CT.OPENSEARCH.PR.8] TLSv1.2 を使用するには Elasticsearch Service ドメインが必要です

  • [CT.OPENSEARCH.PR.9] Amazon OpenSearch Service ドメインが保管中のデータを暗号化する必要がある

  • [CT.OPENSEARCH.PR.10] ユーザー指定の Amazon VPC に Amazon OpenSearch Service ドメインを作成する必要があります

  • [CT.OPENSEARCH.PR.11] ノード間で送信されるデータを暗号化するには Amazon OpenSearch Service ドメインが必要です

  • [CT.OPENSEARCH.PR.12] Amazon OpenSearch サービスドメインが Amazon CloudWatch Logs にエラーログを送信する必要がある

  • [CT.OPENSEARCH.PR.13] Amazon OpenSearch Service ドメインが監査ログを Amazon CloudWatch Logs に送信する必要がある

  • [CT.OPENSEARCH.PR.14] Amazon OpenSearch Service ドメインにはゾーン認識と少なくとも 3 つのデータノードが必要です

  • [CT.OPENSEARCH.PR.15] Amazon OpenSearch Service ドメインはきめ細かなアクセスコントロールを使用する必要があります

  • [CT.OPENSEARCH.PR.16] Amazon OpenSearch Service ドメインで TLSv1.2 を使用する必要があります

Amazon EC2 Auto Scaling

  • [CT.AUTOSCALING.PR.1] Amazon EC2 Auto Scaling グループには複数のアベイラビリティーゾーンが含まれている必要があります

  • [CT.AUTOSCALING.PR.2] IMDSv2 用の Amazon EC2 インスタンスを設定するには Amazon EC2 Auto Scaling グループの起動設定が必要です

  • [CT.AUTOSCALING.PR.3] Amazon EC2 Auto Scaling の起動設定でメタデータ応答ホップ制限を 1 に設定する必要があります

  • [CT.AUTOSCALING.PR.4] ELB ヘルスチェックを有効にするには、Amazon Elastic Load Balancing (ELB) に関連付けられた Amazon EC2 Auto Scaling グループが必要です

  • [CT.AUTOSCALING.PR.5] Amazon EC2 Auto Scaling グループの起動設定にパブリック IP アドレスを持つ Amazon EC2 インスタンスが含まれていない必要があります

  • [CT.AUTOSCALING.PR.6] Amazon EC2 Auto Scaling グループでは複数のインスタンスタイプを使用する必要があります

  • [CT.AUTOSCALING.PR.8] Amazon EC2 Auto Scaling グループに EC2 起動テンプレートを設定する必要があります

Amazon SageMaker

  • [CT.SAGEMAKER.PR.1] Amazon SageMaker ノートブックインスタンスがインターネットに直接アクセスできないようにする必要がある

  • [CT.SAGEMAKER.PR.2] Amazon SageMaker ノートブックインスタンスをカスタム Amazon VPC 内にデプロイする必要があります

  • [CT.SAGEMAKER.PR.3] Amazon SageMaker ノートブックインスタンスにはルートアクセスが許可されていない必要があります

Amazon API Gateway

  • [CT.APIGATEWAY.PR.5] Amazon API Gateway V2 Websocket および HTTP ルートで権限付与タイプが指定されている必要があります

Amazon Relational Database Service (RDS)

  • [CT.RDS.PR.25] Amazon RDS データベースクラスターにロギングが設定されている必要があります

詳細については、「プロアクティブコントロール」を参照してください。

Amazon EC2 プロアクティブコントロールの更新

2023 年 5 月 2 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower で、次の 2 つのプロアクティブコントロールが更新されました: CT.EC2.PR.3 および CT.EC2.PR.4。

更新されたCT.EC2.PR.3コントロールの場合、ポート 80 または 443 の場合を除き、セキュリティグループリソースのプレフィックスリストを参照 AWS CloudFormation するデプロイはデプロイからブロックされます。

更新されたCT.EC2.PR.4コントロールの場合、ポートが 3389、20、23、110、143、3306、8080、1433、9200、9300、25、445、135、21、1434、4333、5432、5500、5601、22、3000、5000、808、8888 の場合、セキュリティグループリソースのプレフィックスリストを参照する AWS CloudFormation デプロイはブロックされます。

7 つの追加 AWS リージョン 利用可能

2023 年 4 月 19 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower が AWS リージョン、北カリフォルニア (サンフランシスコ)、アジアパシフィック (香港、ジャカルタ、大阪)、欧州 (ミラノ)、中東 (バーレーン)、アフリカ (ケープタウン) の 7 つの追加 で利用可能になりました。AWS Control Tower 用のこれらの追加リージョンは、オプトインリージョンと呼ばれ、デフォルトで有効になっている米国西部 (北カリフォルニア) リージョンを除き、デフォルトではアクティブになっていません。

AWS Control Tower のコントロールの中には、AWS Control Tower が利用できるこれらの追加 AWS リージョン で動作しないものがあります。これは、これらのリージョンが必要な基本機能をサポートしていないためです。詳細については、「コントロールの制限事項」を参照してください。

これらの新しいリージョンのうち、CfCT は、アジアパシフィック (ジャカルタおよび大阪) ではご利用いただけません。他の の可用性 AWS リージョン は変更されません。

AWS Control Tower がリージョンとコントロールの制限を管理する方法の詳細については、「AWS オプトインリージョンをアクティブ化する際の注意事項」を参照してください。

AFT で必要な vPCE エンドポイントは、中東 (バーレーン) リージョンでは利用できません。このリージョンに AFT を導入するお客様は、パラメータ aft_vpc_endpoints=false を指定して導入する必要があります。詳細については、README ファイルのパラメータを参照してください。

Amazon EC2 の制限により、AWS Control Tower VPC には 米国西部 (北カリフォルニア) と us-west-1 という 2 つのアベイラビリティーゾーンがあります。米国西部 (北カリフォルニア) では、6 つのサブネットが 2 つのアベイラビリティーゾーンで分割されます。詳細については、「AWS Control Tower と VPC の概要」を参照してください。

AWS Control Tower は、AWS Control Tower AWSControlTowerServiceRolePolicyが AWS アカウント管理サービスによって実装された EnableRegionListRegions、および GetRegionOptStatus APIs を呼び出し、ランディングゾーン (管理アカウント、ログアーカイブアカウント、監査アカウント) の共有アカウントと OU メンバーアカウントでこれらの追加 AWS リージョン を使用できるようにする新しいアクセス許可を に追加しました。詳細については、「AWS Control Tower のマネージドポリシー」を参照してください。

Account Factory for Terraform (AFT) アカウントのカスタマイズリクエストの追跡

2023 年 2 月 16 日

AFT はアカウントのカスタマイズリクエストの追跡をサポートしています。アカウントカスタマイズリクエストを送信するたびに、AFT は AFT カスタマイズ AWS Step Functions ステートマシンを通過する一意のトレーストークンを生成します。このトークンは、実行の一部としてトークンを記録します。Amazon CloudWatch Logs Insights クエリを使用して、タイムスタンプ範囲を検索し、リクエストトークンを取得できます。その結果、トークンに関連付けられたペイロードを確認し、AFT ワークフロー全体を通じてアカウントカスタマイズリクエストを追跡することができます。AFT の詳細については、「AWS Control Tower Account Factory for Terraform の概要」を参照してください。 CloudWatch ログと Step Functions の詳細については、以下を参照してください。

AWS Control Tower ランディングゾーンバージョン 3.1

2023 年 2 月 9 日

(AWS Control Tower のランディングゾーンをバージョン 3.1 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください)

AWS Control Tower ランディングゾーンバージョン 3.1 には、次の更新が含まれています。

  • 今回のリリースでは、AWS Control Tower はアクセスログバケット (アクセスログが Log Archive アカウントに保存される Amazon S3 バケット) の不要なアクセスログを無効化し、S3 バケットのサーバーアクセスログを引き続き有効にします。このリリースには、 AWS Support プランや などのグローバルサービスに追加のアクションを許可するリージョン拒否コントロールの更新も含まれています AWS Artifact。

  • AWS Control Tower アクセスログバケットのサーバーアクセスログを無効にすると、Security Hub は Log Archive アカウントのアクセスログバケットの結果を作成します。これは、[S3.9] S3 バケットのサーバーアクセスログを有効にする必要があるという AWS Security Hub ルールによるものです。Security Hub に従い、このルールの Security Hub の説明に記載されているように、この特定の結果を非表示にすることをお勧めします。追加情報については、「非表示の結果に関する情報」を参照してください。

  • Log Archive アカウントの (通常の) ログバケットのアクセスログは、バージョン 3.1 でも変更されていません。ベストプラクティスに従い、そのバケットのアクセスイベントは、アクセスログバケットにログエントリとして記録されます。アクセスログの詳細については、Amazon S3 ドキュメントの「サーバーアクセスログを使用したリクエストのログ記録」を参照してください。

  • リージョン拒否コントロールを更新しました。この更新により、より多くのグローバルサービスによるアクションが可能になります。この SCP の詳細については、「リクエストされた AWS に基づいて へのアクセスを拒否する AWS リージョン」および「データレジデンシー保護を強化するコントロール」を参照してください。

    追加されたグローバルサービス:

    • AWS Account Management (account:*)

    • AWS アクティブ化 (activate:*

    • AWS Artifact (artifact:*)

    • AWS Billing Conductor (billingconductor:*)

    • AWS Compute Optimizer (compute-optimizer:*)

    • AWS Data Pipeline (datapipeline:GetAccountLimits)

    • AWS Device Farm(devicefarm:*)

    • AWS Marketplace (discovery-marketplace:*)

    • Amazon ECR (ecr-public:*)

    • AWS License Manager (license-manager:ListReceivedLicenses)

    • AWS Lightsail (lightsail:Get*

    • AWS Resource Explorer (resource-explorer-2:*)

    • Amazon S3 (s3:CreateMultiRegionAccessPoints3:GetBucketPolicyStatuss3:PutMultiRegionAccessPointPolicy)

    • AWS Savings Plans (savingsplans:*

    • IAM Identity Center (sso:*)

    • AWS Support App (supportapp:*)

    • AWS Support プラン (supportplans:*

    • AWS サステナビリティ (sustainability:*

    • AWS Resource Groups Tagging API (tag:GetResources)

    • AWS Marketplace Vendor Insights (vendor-insights:ListEntitledSecurityProfiles

プロアクティブコントロールの一般公開

2023 年 1 月 24 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

以前はプレビュー版として発表されていた、オプションのプロアクティブコントロールが一般公開されました。これらのコントロールは、リソースをデプロイする前にリソースをチェックして、新しいリソースが環境内で有効になっているコントロールに準拠しているかどうかを判断するため、プロアクティブと呼ばれます。詳細については、「包括的なコントロールによる AWS リソースのプロビジョニングと管理のサポート」を参照してください。