2024 年 1 月 - 現在

2024 年 1 月以降、AWS Control Tower は次の更新をリリースしました。

• AWS Control Tower は、最大 100 の同時制御オペレーションをサポートします

• AWS Control Tower が AWS カナダ西部 (カルガリー) で利用可能に

• AWS Control Tower がセルフサービスのクォータ調整をサポート

• AWS Control Tower が「 Controls Reference Guide」をリリース

• AWS Control Tower が 2 つのプロアクティブコントロールを更新および名前変更

• 非推奨のコントロールは使用できなくなりました

• AWS Control Tower は でのEnabledControlリソースのタグ付けをサポートしています AWS CloudFormation

• AWS Control Tower APIs をサポートします

AWS Control Tower は、最大 100 の同時制御オペレーションをサポートします

2024 年 5 月 20 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、同時実行数が高い複数のコントロールオペレーションをサポートするようになりました。コンソールまたは APIs を使用して、複数の組織単位 (OUs) にわたって最大 100 の AWS Control Tower コントロールオペレーションを同時に送信できます。最大 10 個の (10 個の) オペレーションを同時に実行でき、追加のオペレーションはキューに入れられます。このようにして、複数の にまたがってより標準化された設定をセットアップでき AWS アカウント、反復的な制御操作による運用上の負担はありません。

進行中のコントロールオペレーションとキューに入っているコントロールオペレーションのステータスをモニタリングするには、AWS Control Tower コンソールの新しい最近のオペレーションページに移動するか、新しい ListControlOperations API を呼び出すことができます。

AWS Control Tower ライブラリには 500 を超えるコントロールが含まれており、さまざまなコントロール目標、フレームワーク、サービスにマッピングされています。保管中のデータの暗号化 など、特定のコントロールの目的では、1 回のコントロールオペレーションで複数のコントロールを有効にして、目的を達成できます。この機能により、開発の迅速化、ベストプラクティスコントロールの迅速な導入、運用の複雑さの軽減が可能になります。

AWS Control Tower が AWS カナダ西部 (カルガリー) で利用可能に

2024 年 5 月 3 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

本日より、カナダ西部 (カルガリー) リージョンで AWS Control Tower をアクティブ化できます。AWS Control Tower をデプロイ済みで、ガバナンス機能をこのリージョンに拡張する場合は、AWS Control Tower ランディングゾーン APIs を使用してその機能を拡張できます。または、コンソールから、AWS Control Tower ダッシュボードの設定ページに移動し、リージョンを選択してから、ランディングゾーンを更新します。

カナダ西部 (カルガリー) リージョンは をサポートしていません AWS Service Catalog。このため、AWS Control Tower の一部の機能は異なります。最も顕著な機能の変更は、Account Factory が利用できないことです。ホームリージョンとしてカナダ西部 (カルガリー) を選択した場合、アカウントの更新、アカウントの自動化の設定、および Service Catalog に関連するその他のプロセスは、他のリージョンとは異なります。

アカウントのプロビジョニング

カナダ西部 (カルガリー) リージョンで新しいアカウントを作成してプロビジョニングするには、AWS Control Tower の外部でアカウントを作成し、登録済みの OU に登録することをお勧めします。詳細については、「既存のアカウントを登録する」および「アカウントを登録する手順」を参照してください。

Service Catalog APIsは、カナダ西部 (カルガリー) リージョンでは利用できません。「Service Catalog APIs」に示されているサンプルスクリプトは機能しません。

Account Factory Customizations (AFC)、Account Factory for Terraform (AFT)、および Customizations for AWS Control Tower (CfCT ) は、AWS Control Tower のその他の基盤となる依存関係がないため、カナダ西部 (カルガリー) では利用できません。ガバナンスをカナダ西部 (カルガリー) リージョンに拡張する場合、Service Catalog がホームリージョンで利用できる限り、AWS Control Tower がサポートするすべてのリージョンで AFC ブループリントを引き続き管理できます。

コントロール

AWS Security Hub サービスマネージドスタンダード: AWS Control Tower のプロアクティブコントロールとコントロールは、カナダ西部 (カルガリー) リージョンでは利用できません。予防コントロールCT.CLOUDFORMATION.PR.1は、フックベースのプロアクティブコントロールのアクティブ化にのみ必要であるため、カナダ西部 (カルガリー) では利用できません。に基づく特定の検出コントロール AWS Config は使用できません。詳細については、「コントロールの制限事項」を参照してください。

ID プロバイダー

IAM Identity Center は、カナダ西部 (カルガリー) では利用できません。ベストプラクティスとして、IAM Identity Center が利用可能なリージョンにランディングゾーンを設定することをお勧めします。または、カナダ西部 (カルガリー) で外部 ID プロバイダーを使用している場合は、アカウントアクセス設定を自己管理することもできます。

カナダ西部 (カルガリー) リージョンで Service Catalog が使用できない場合、AWS Control Tower でサポートされている他のリージョンには影響しません。これらの違いは、ホームリージョンがカナダ西部 (カルガリー) の場合にのみ適用されます。

AWS Control Tower が利用可能なリージョンの完全なリストについては、AWS 「リージョン表」を参照してください。

AWS Control Tower がセルフサービスのクォータ調整をサポート

2024 年 4 月 25 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower では、Service Quotas コンソールによるセルフサービスクォータの調整がサポートされるようになりました。詳細については、「クォータ引き上げをリクエストする」を参照してください。

AWS Control Tower が「 Controls Reference Guide」をリリース

2024 年 4 月 21 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、AWS Control Tower 環境に固有のコントロールに関する詳細情報を見つけることができる新しいドキュメントである「コントロールリファレンスガイド」をリリースしました。以前は、このマテリアルは AWS Control Tower ユーザーガイド に含まれていました。コントロールリファレンスガイドでは、拡張された形式のコントロールについて説明します。詳細については、「AWS Control Tower コントロールリファレンスガイド」を参照してください。

AWS Control Tower が 2 つのプロアクティブコントロールを更新および名前変更

2024 年 3 月 26 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、Amazon OpenSearch Service の更新に合わせて 2 つのプロアクティブコントロールの名前を変更しました。

• 〔CT.OPENSEARCH.PR.8〕 Elasticsearch Service ドメインで TLSv1.2 を使用する必要があります

• 〔CT.OPENSEARCH.PR.16 〕 Amazon OpenSearch Service ドメインは TLSv1.2 を使用する必要があります

これら 2 つのコントロールのコントロール名とアーティファクトが、Amazon OpenSearch Service からの最近のリリースに合わせて更新されました。Amazon Service では、ドメインエンドポイントセキュリティのトランスポートセキュリティオプションとして Transport Layer Security (TLS) バージョン 1.3 がサポートされるようになりました。

これらのコントロールに TLSv1.3 のサポートを追加するために、コントロールのインテントを反映するようにコントロールのアーティファクトと名前を更新しました。サービスドメインの最小 TLS バージョンを評価するようになりました。環境でこの更新を行うには、最新のアーティファクトをデプロイするためのコントロールを無効および有効にする必要があります。

この変更の影響を受けるプロアクティブコントロールは他にありません。これらのコントロールを確認して、コントロールの目的を満たしていることを確認することをお勧めします。

ご質問やご不明点については、 AWS サポートにお問い合わせください。

非推奨のコントロールは使用できなくなりました

2024 年 3 月 12 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は一部のコントロールを廃止しました。これらのコントロールは使用できなくなりました。

• CT.ATHENA.PR.1

• CT.CODEBUILD.PR.4

• CT.AUTOSCALING.PR.3

• SH.Athena.1

• SH.Codebuild.5

• SH.AutoScaling.4

• SH.SNS.1

• SH.SNS.2

AWS Control Tower は でのEnabledControlリソースのタグ付けをサポートしています AWS CloudFormation

2024 年 2 月 22 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

この AWS Control Tower リリースでは、EnabledControlリソースの動作が更新され、設定可能なコントロールとより適切に連携し、オートメーションを使用して AWS Control Tower 環境を管理する機能が向上します。このリリースでは、 テンプレートを使用して AWS CloudFormation 設定可能なEnabledControlリソースにタグを追加できます。以前は、AWS Control Tower コンソールと APIsのみタグを追加できました。

AWS Control Tower の GetEnabledControl、EnableControl、および ListTagsforResource API オペレーションは、EnabledControlリソース機能に依存するため、このリリースで更新されます。

詳細については、「 AWS CloudFormation ユーザーガイド」の「AWS Control Tower および でのEnabledControlリソースのタグ付け」を参照してください。 EnabledControl

AWS Control Tower APIs をサポートします

2024 年 2 月 14 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

これらの APIs EnableBaseline呼び出しによるプログラムによる OU 登録をサポートします。OU でベースラインを有効にすると、OU 内のメンバーアカウントが AWS Control Tower ガバナンスに登録されます。特定の注意事項が適用される場合があります。例えば、AWS Control Tower コンソールを使用した OU 登録では、オプションのコントロールと必須のコントロールが有効になります。APIs呼び出すときは、オプションのコントロールを有効にするために追加のステップを完了する必要がある場合があります。

AWS Control Tower ベースラインは、OU とメンバーアカウントの AWS Control Tower ガバナンスのベストプラクティスを具体化します。例えば、OU でベースラインを有効にすると、OU 内のメンバーアカウントは、 AWS CloudTrail、、IAM Identity Center AWS Config、必要な AWS IAM ロールなど、定義されたリソースグループを受け取ります。

特定のベースラインは、特定の AWS Control Tower ランディングゾーンバージョンと互換性があります。ランディングゾーン設定を変更すると、AWS Control Tower は最新の互換性のあるベースラインをランディングゾーンに適用できます。詳細については、「OU ベースラインとランディングゾーンバージョンの互換性」を参照してください。

このリリースには、4 つの必須 が含まれています。 ベースラインのタイプ

• AWSControlTowerBaseline

• AuditBaseline

• LogArchiveBaseline

• IdentityCenterBaseline

新しい APIs と定義済みのベースラインを使用すると、OUs を登録し、OU プロビジョニングワークフローを自動化できます。APIs は、すでに AWS Control Tower ガバナンス下にある OUs を管理することもできるため、ランディングゾーンの更新後に OUs を再登録できます。APIs には リソースのサポート AWS CloudFormation EnabledBaselineが含まれており、Infrastructure as Code (IaC) を使用して OUs を管理できます。 IaC

ベースライン APIs

• EnableBaseline、UpdateEnabledBaseline、DisableBaseline: OU のベースラインに対してアクションを実行します。

• GetEnabledBaseline、ListEnabledBaselines: 有効なベースラインの設定を検出します。

• GetBaselineOperation: 特定のベースラインオペレーションのステータスを表示します。

• ResetEnabledBaseline: ベースラインが有効になっている OU のリソースドリフト (ネストされた OUsと必須のコントロールドリフトを含む) を修正します。 landing-zone-level リージョン拒否コントロールのドリフトも修正します。

• GetBaseline、ListBaselines: AWS Control Tower ベースラインのコンテンツを検出します。

これらの APIs、AWS Control Tower ユーザーガイドの「ベースライン」および「 API リファレンス」を参照してください。新しい APIsは、 GovCloud （米国) AWS リージョン リージョンを除き、AWS Control Tower が利用可能な で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、「 AWS リージョン テーブル」を参照してください。