2023년 1월 - 현재 - AWS Control Tower
새 AWS Service Catalog 외부 제품 유형으로의 전환 (3단계)AWS 컨트롤 타워 랜딩 존 버전 3.3새 AWS Service Catalog 외부 제품 유형으로 전환 (2단계)AWS Control Tower, 디지털 주권을 지원하는 규제 항목 발표AWS Control Tower는 랜딩 존 API를 지원합니다.AWS Control Tower는 활성화된 컨트롤에 대한 태그 지정을 지원합니다.AWS Control Tower는 아시아 태평양 (멜버른) 지역에서 사용 가능새 AWS Service Catalog 외부 제품 유형으로의 전환 (1단계)새 제어 API 사용 가능AWS Control Tower는 추가 규제 항목을 추가합니다.보고된 새 드리프트 유형: 신뢰할 수 있는 액세스 비활성화네 가지 추가 AWS 리전텔아비브 지역에서 사용 가능한 AWS Control TowerAWS Control Tower, 28개의 새로운 사전 예방 제어 기능 출시AWS Control Tower는 두 가지 규제 항목을 더 이상 사용하지 않습니다.AWS 컨트롤 타워 랜딩 존 버전 3.2AWS Control Tower는 ID를 기반으로 계정을 처리합니다.AWS Control Tower 제어 라이브러리에서 제공되는 추가 Security Hub 탐지 제어 항목AWS Control Tower는 제어 메타데이터 테이블을 게시합니다.Account Factory 커스터마이징을 위한 테라폼 지원AWS 랜딩 존에 IAM 아이덴티티 센터 자체 관리 기능 사용 가능AWS Control Tower는 OU의 복합 거버넌스를 해결합니다.추가 사전 예방 제어 기능을 사용할 수 있습니다.Amazon EC2 사전 예방 제어 업데이트7개의 추가 사용 가능 AWS 리전 Account Factory for Terraform (AFT) 계정 사용자 지정 요청 추적 AWS 컨트롤 타워 랜딩 존 버전 3.1사전 예방적 통제가 일반적으로 이용 가능

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

2023년 1월 - 현재

2023년 1월부터 AWS Control Tower는 다음과 같은 업데이트를 출시했습니다.

새 AWS Service Catalog 외부 제품 유형으로의 전환 (3단계)

2023년 12월 14일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 더 이상 새로 만들 때 제품 유형 (청사진) 으로 Terraform 오픈 소스를 지원하지 않습니다. AWS 계정계정 청사진 업데이트에 대한 자세한 내용 및 지침은 외부 제품 유형으로의 전환을 참조하십시오. AWS Service Catalog

외부 제품 유형을 사용하도록 계정 블루프린트를 업데이트하지 않는 경우 Terraform 오픈 소스 블루프린트를 사용하여 프로비저닝한 계정만 업데이트하거나 종료할 수 있습니다.

AWS 컨트롤 타워 랜딩 존 버전 3.3

2023년 12월 14일

(AWS Control Tower landzone을 버전 3.3으로 업데이트하려면 업데이트가 필요합니다. 자세한 내용은 참조랜딩 영역 업데이트).

AWS Control Tower 감사 계정의 S3 버킷 정책 업데이트

모든 쓰기 권한에 대한 aws:SourceOrgID 조건이 충족되어야 하도록 AWS Control Tower가 계정에 배포하는 Amazon S3 Audit 버킷 정책을 수정했습니다. 이번 릴리스부터 AWS 서비스는 조직 또는 조직 단위 (OU) 에서 요청이 시작된 경우에만 리소스에 액세스할 수 있습니다.

aws:SourceOrgID조건 키를 사용하고 S3 버킷 정책의 조건 요소에 있는 조직 ID에 값을 설정할 수 있습니다. 이 조건은 조직 내 계정을 대신하여 S3 버킷에 CloudTrail 로그만 쓸 수 있도록 하고, 조직 외부의 CloudTrail 로그가 AWS Control Tower S3 버킷에 기록하는 것을 방지합니다.

기존 워크로드의 기능에는 영향을 주지 않으면서 잠재적인 보안 취약성을 개선하기 위해 이러한 변경을 적용했습니다. 업데이트된 정책을 보려면 을 참조하십시오. 감사 계정의 Amazon S3 버킷 정책

새 조건 키에 대한 자세한 내용은 IAM 설명서 및 “리소스에 액세스하는 AWS 서비스를 위한 확장 가능한 제어 사용”이라는 제목의 IAM 블로그 게시물을 참조하십시오.

SNS 주제의 정책 업데이트 AWS Config

SNS 주제 정책에 새 aws:SourceOrgID 조건 키를 추가했습니다. 업데이트된 정책을 보려면 AWS Config AWS Config SNS 주제 정책을 참조하십시오.

착륙 지대 지역 제어 거부 업데이트

  • 제거되었습니다. discovery-marketplace: 이 조치는 aws-marketplace:* 면제 적용 대상입니다.

  • quicksight:DescribeAccountSubscription 추가됨

업데이트된 템플릿 AWS CloudFormation

AWS KMS 암호화를 사용하지 않을 때 드리프트가 표시되지 BASELINE-CLOUDTRAIL-MASTER 않도록 이름이 지정된 스택의 AWS CloudFormation 템플릿을 업데이트했습니다.

새 AWS Service Catalog 외부 제품 유형으로 전환 (2단계)

2023년 12월 7일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

HashiCorp Terraform 라이선스를 업데이트했습니다. 그 결과 Terraform 오픈 소스 제품 및 프로비저닝된 제품에 대한 지원을 External이라는 새로운 제품 유형으로 AWS Service Catalog 변경했습니다.

계정의 기존 워크로드 및 AWS 리소스가 중단되지 않도록 하려면 2023년 12월 14일까지 AWS Service Catalog 외부 제품 유형으로 전환의 AWS Control Tower 전환 단계를 따르십시오.

AWS Control Tower, 디지털 주권을 지원하는 규제 항목 발표

2023년 11월 27일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 디지털 주권 요구 사항을 충족하는 데 도움이 되는 65개의 새로운 AWS관리형 제어를 발표했습니다. 이번 릴리스부터 AWS Control Tower 콘솔의 새로운 디지털 주권 그룹에서 이러한 규제 항목을 찾아볼 수 있습니다. 이러한 제어를 사용하여 데이터 레지던시, 세분화된 액세스 제한, 암호화 및 복원력 기능과 관련된 조치를 방지하고 리소스 변경을 탐지하는 데 도움이 될 수 있습니다. 이러한 제어는 대규모 요구 사항을 보다 쉽게 해결할 수 있도록 설계되었습니다. 디지털 주권 통제에 대한 자세한 내용은 디지털 주권 보호를 강화하는 통제를 참조하십시오.

예를 들어, AWS AppSync API 캐시에 전송 중 암호화를 활성화하도록 요구하거나 여러 가용 영역에 AWS Network Firewall을 배포해야 하는 등 암호화 및 복원력 전략을 적용하는 데 도움이 되는 제어를 활성화하도록 선택할 수 있습니다. 또한 AWS Control Tower 지역 거부 제어를 사용자 지정하여 고유한 비즈니스 요구 사항에 가장 적합한 지역별 제한을 적용할 수 있습니다.

이번 릴리스에서는 더욱 향상된 AWS Control Tower 지역 거부 기능이 제공됩니다. OU 수준에서 새로운 매개 변수화된 지역 거부 제어를 적용하여 거버넌스의 세분성을 높이는 동시에 착륙 영역 수준에서 추가 지역 거버넌스를 유지할 수 있습니다. 이 사용자 지정 가능한 지역 거부 제어를 통해 고유한 비즈니스 요구 사항에 가장 적합한 지역 제한을 적용할 수 있습니다. 구성 가능한 새로운 지역 거부 제어에 대한 자세한 내용은 OU에 적용된 지역 거부 제어를 참조하십시오.

새로운 지역 거부 개선 사항의 새로운 도구인 이번 릴리스에는 활성화된 제어를 기본 설정으로 재설정할 수 있는 새 API가 포함되어 있습니다. UpdateEnabledControl 이 API는 드리프트를 빠르게 해결해야 하거나 컨트롤이 드리프트 상태에 있지 않음을 프로그래밍 방식으로 보장해야 하는 사용 사례에 특히 유용합니다. 새 API에 대한 자세한 내용은 AWS Control Tower API 레퍼런스를 참조하십시오.

새로운 사전 예방 제어

  • CT.APIGATEWAY.PR.6: 최소 TLS 프로토콜 버전의 TLSv1.2를 지정하는 보안 정책을 사용하려면 Amazon API Gateway REST 도메인이 필요합니다.

  • CT.APPSYNC.PR.2: 프라이빗 가시성을 AWS AppSync 사용하도록 GraphQL API를 구성해야 합니다.

  • CT.APPSYNC.PR.3: AWS AppSync GraphQL API가 API 키로 인증되지 않도록 요구

  • CT.APPSYNC.PR.4: 전송 중 암호화를 AWS AppSync 활성화하려면 GraphQL API 캐시가 필요합니다.

  • CT.APPSYNC.PR.5: 저장 중 암호화를 AWS AppSync 활성화하려면 GraphQL API 캐시가 필요합니다.

  • CT.AUTOSCALING.PR.9: 저장된 데이터를 암호화하려면 Amazon EC2 Auto Scaling 시작 구성을 통해 구성된 Amazon EBS 볼륨이 필요합니다.

  • CT.AUTOSCALING.PR.10: Amazon EC2 Auto Scaling 그룹이 시작 템플릿을 재정의할 때 AWS Nitro 인스턴스 유형만 사용하도록 요구

  • CT.AUTOSCALING.PR.11: 시작 템플릿을 재정의할 때는 인스턴스 간 네트워크 트래픽 암호화를 지원하는 AWS Nitro 인스턴스 유형만 Amazon EC2 Auto Scaling 그룹에 추가해야 합니다.

  • CT.DAX.PR.3: 전송 계층 보안 (TLS) 을 사용하여 전송 데이터를 암호화하려면 DynamoDB 액셀러레이터 클러스터가 필요합니다.

  • CT.DMS.PR.2: 소스 및 대상 엔드포인트의 연결을 암호화하려면 DMS ( AWS Database Migration Service) 엔드포인트가 필요합니다.

  • CT.EC2.PR.15: Amazon EC2 인스턴스가 리소스 유형에서 생성할 때 AWS Nitro 인스턴스 유형을 사용하도록 요구 AWS::EC2::LaunchTemplate

  • CT.EC2.PR.16: Amazon EC2 인스턴스를 리소스 유형으로 생성할 때는 AWS Nitro 인스턴스 유형을 사용해야 합니다. AWS::EC2::Instance

  • CT.EC2.PR.17: AWS Nitro 인스턴스 유형을 사용하려면 Amazon EC2 전용 호스트가 필요합니다.

  • CT.EC2.PR.18: Amazon EC2 플릿이 Nitro 인스턴스 유형의 시작 템플릿만 재정의하도록 요구합니다. AWS

  • CT.EC2.PR.19: Amazon EC2 인스턴스를 리소스 유형을 사용하여 생성한 경우 인스턴스 간 전송 중 암호화를 지원하는 니트로 인스턴스 유형을 사용하도록 요구 AWS::EC2::Instance

  • CT.EC2.PR.20: Amazon EC2 플릿은 인스턴스 간 전송 시 암호화를 지원하는 AWS Nitro 인스턴스 유형의 시작 템플릿만 재정의하도록 요구합니다.

  • CT.ELASTICACHE.PR.8: 최신 버전의 Redis Amazon ElastiCache 복제 그룹에 RBAC 인증을 활성화해야 합니다.

  • CT.MQ.PR.1: 고가용성을 위해 Amazon MQ ActiveMQ 브로커가 액티브/스탠바이 배포 모드를 사용하도록 요구합니다.

  • CT.MQ.PR.2: 고가용성을 위해 Amazon MQ Rabbit MQ 브로커가 다중 AZ 클러스터 모드를 사용하도록 요구합니다.

  • CT.MSK.PR.1: 클러스터 브로커 노드 간 전송 시 암호화를 적용하려면 Amazon 관리형 스트리밍 for Apache Kafka Kafka (MSK) 클러스터가 필요합니다.

  • CT.MSK.PR.2: Apache Kafka용 Amazon 관리형 스트리밍 (MSK) 클러스터를 비활성화된 상태로 구성해야 합니다. PublicAccess

  • CT.NETWORK-FIREWALL.PR.5: 여러 가용 영역에 AWS Network Firewall 방화벽을 배포해야 합니다.

  • CT.RDS.PR.26: 전송 계층 보안 (TLS) 연결을 요구하려면 Amazon RDS DB 프록시가 필요합니다.

  • CT.RDS.PR.27: 지원되는 엔진 유형에 대한 전송 계층 보안 (TLS) 연결을 요구하려면 Amazon RDS DB 클러스터 파라미터 그룹이 필요합니다.

  • CT.RDS.PR.28: 지원되는 엔진 유형에 대한 전송 계층 보안 (TLS) 연결을 요구하려면 Amazon RDS DB 파라미터 그룹이 필요합니다.

  • CT.RDS.PR.29: 'PubliclyAccessible' 속성을 통해 공개적으로 액세스할 수 있도록 Amazon RDS 클러스터를 구성하지 않아야 합니다.

  • CT.RDS.PR.30: Amazon RDS 데이터베이스 인스턴스에 지원되는 엔진 유형에 대해 지정한 KMS 키를 사용하도록 구성된 유휴 암호화가 있어야 합니다.

  • CT.S3.PR.12: Amazon S3 액세스 포인트에 모든 옵션이 true로 설정된 블록 퍼블릭 액세스 (BPA) 구성이 있어야 합니다.

새로운 예방 제어

  • CT.APPSYNC.PV.1 AWS AppSync GraphQL API가 프라이빗 가시성을 사용하도록 구성되어 있어야 합니다.

  • CT.EC2.PV.1암호화된 EC2 볼륨에서 Amazon EBS 스냅샷을 생성해야 합니다.

  • CT.EC2.PV.2연결된 Amazon EBS 볼륨이 저장된 데이터를 암호화하도록 구성되어 있어야 합니다.

  • CT.EC2.PV.3Amazon EBS 스냅샷을 공개적으로 복원할 수 없도록 요구

  • CT.EC2.PV.4Amazon EBS 다이렉트 API가 호출되지 않도록 요구

  • CT.EC2.PV.5Amazon EC2 VM 가져오기 및 내보내기 사용을 금지합니다.

  • CT.EC2.PV.6더 이상 사용되지 않는 Amazon EC2 및 API 작업의 사용을 금지합니다. RequestSpotFleet RequestSpotInstances

  • CT.KMS.PV.1서비스에 대한 AWS KMS 보조금 생성을 제한하는 설명을 키 정책에 포함하도록 요구하십시오. AWS KMS AWS

  • CT.KMS.PV.2암호화에 RSA 키 자료를 사용하는 AWS KMS 비대칭 키의 키 길이는 2048비트가 아니어야 합니다.

  • CT.KMS.PV.3바이패스 정책 잠금 안전 검사가 활성화된 상태로 AWS KMS 키를 구성해야 합니다.

  • CT.KMS.PV.4CloudHSM에서 가져온 키 구성 요소로 CMK ( AWS KMS 고객 관리 키) 를 구성해야 함 AWS

  • CT.KMS.PV.5가져온 키 구성 요소로 AWS KMS 고객 관리 키 (CMK) 를 구성해야 합니다.

  • CT.KMS.PV.6외부 키 저장소 (XKS) 에서 가져온 키 구성 요소로 CMK ( AWS KMS 고객 관리 키) 를 구성해야 합니다.

  • CT.LAMBDA.PV.1IAM 기반 인증을 사용하려면 AWS Lambda 함수 URL이 필요합니다. AWS

  • CT.LAMBDA.PV.2내부 보안 주체만 액세스할 수 있도록 AWS Lambda 함수 URL을 구성해야 합니다. AWS 계정

  • CT.MULTISERVICE.PV.1: 조직 구성 단위에 대한 요청에 따라 액세스를 거부합니다. AWS AWS 리전

디지털 주권 거버넌스 태세를 강화하는 새로운 탐지 제어 기능은 서비스 관리형 AWS Security Hub 표준 AWS Control Tower의 일부입니다.

새로운 탐정 규제

  • SH.ACM.2: ACM에서 관리하는 RSA 인증서는 최소 2,048비트의 키 길이를 사용해야 합니다.

  • SH.AppSync.5: AWS AppSync GraphQL API는 API 키로 인증해서는 안 됩니다.

  • SH.CloudTrail.6: CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하십시오.

  • SH.DMS.9: DMS 엔드포인트는 SSL을 사용해야 합니다.

  • SH.DocumentDB.3: Amazon DocumentDB 수동 클러스터 스냅샷은 공개해서는 안 됩니다.

  • SH.DynamoDB.3: DynamoDB 액셀러레이터 (DAX) 클러스터는 유휴 상태에서 암호화되어야 합니다.

  • SH.EC2.23: EC2 트랜짓 게이트웨이는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.

  • SH.EKS.1: EKS 클러스터 엔드포인트는 공개적으로 액세스할 수 없어야 합니다.

  • SH.ElastiCache.3: ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.

  • SH.ElastiCache.4: ElastiCache 복제 그룹이 활성화되어 있어야 encryption-at-rest 합니다.

  • SH.ElastiCache.5: ElastiCache 복제 그룹이 encryption-in-transit 활성화되어 있어야 합니다.

  • SH.ElastiCache.6: 이전 Redis 버전의 ElastiCache 복제 그룹에는 Redis AUTH가 활성화되어 있어야 합니다.

  • SH.EventBridge.3: EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 첨부되어야 합니다.

  • SH.KMS.4: AWS KMS 키 로테이션을 활성화해야 합니다.

  • SH.Lambda.3: Lambda 함수는 VPC에 있어야 합니다.

  • SH.MQ.5: ActiveMQ 브로커는 액티브/스탠바이 배포 모드를 사용해야 합니다.

  • SH.MQ.6: RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 합니다.

  • SH.MSK.1: MSK 클러스터는 브로커 노드 간 전송 시 암호화되어야 합니다.

  • SH.RDS.12: RDS 클러스터에 대해 IAM 인증을 구성해야 합니다.

  • SH.RDS.15: RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

  • SH.S3.17: S3 버킷은 유휴 상태에서 키를 사용하여 암호화해야 합니다. AWS KMS

AWS Security Hub 서비스 관리형 표준 AWS Control Tower에 추가된 규제 항목에 대한 자세한 내용은 설명서에서 서비스 관리형 표준: AWS Control Tower에 적용되는 제어를 참조하십시오. AWS Security Hub

AWS Security Hub 서비스 관리형 표준 AWS Control Tower의 일부인 특정 제어를 지원하지 AWS 리전 않는 항목의 목록은 지원되지 않는 지역을 참조하십시오.

OU 수준에서 지역 거부를 위한 구성 가능한 새로운 제어

CT.MULTISERVICE.PV.1: 이 컨트롤은 파라미터를 수락하여 전체 AWS Control Tower 랜딩 존이 아닌 OU 수준에서 허용되는 면제 지역, IAM 보안 주체 및 작업을 지정합니다. 이는 서비스 제어 정책 (SCP) 에 의해 구현되는 예방적 제어입니다.

자세한 내용은 OU에 적용된 지역 거부 제어를 참조하십시오.

UpdateEnabledControl API

이번 AWS Control Tower 릴리스에는 제어에 대한 다음과 같은 API 지원이 추가되었습니다.

  • 업데이트된 EnableControl API는 구성 가능한 제어를 구성할 수 있습니다.

  • 업데이트된 GetEnabledControl API는 활성화된 컨트롤에 구성된 매개변수를 표시합니다.

  • UpdateEnabledControl API는 활성화된 컨트롤의 매개변수를 변경할 수 있습니다.

자세한 내용은 AWS Control Tower API 레퍼런스를 참조하십시오.

AWS Control Tower는 랜딩 존 API를 지원합니다.

2023년 11월 26일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 이제 API를 사용한 랜딩 존 구성 및 시작을 지원합니다. API를 사용하여 랜딩 존을 생성, 업데이트, 가져오기, 나열, 재설정 및 삭제할 수 있습니다.

다음 API를 사용하면 AWS CloudFormation 또는 를 사용하여 프로그래밍 방식으로 랜딩 존을 설정하고 관리할 수 있습니다. AWS CLI

AWS Control Tower는 랜딩 존에 대해 다음과 같은 API를 지원합니다.

  • CreateLandingZone—이 API 호출은 랜딩 존 버전과 매니페스트 파일을 사용하여 랜딩 존을 생성합니다.

  • GetLandingZoneOperation—이 API 호출은 지정된 landding Zone 작업의 상태를 반환합니다.

  • GetLandingZone—이 API 호출은 버전, 매니페스트 파일, 상태를 포함하여 지정된 landding Zone에 대한 세부 정보를 반환합니다.

  • UpdateLandingZone—이 API 호출은 landding Zone 버전 또는 매니페스트 파일을 업데이트합니다.

  • ListLandingZone—이 API 호출은 관리 계정의 랜딩 존 설정에 대해 하나의 랜딩 존 식별자 (ARN) 를 반환합니다.

  • ResetLandingZone—이 API 호출은 랜딩 존을 최신 업데이트에 지정된 매개변수로 재설정하여 드리프트를 복구할 수 있습니다. 랜딩 존이 업데이트되지 않은 경우 이 호출은 랜딩 존을 생성 시 지정된 파라미터로 재설정합니다.

  • DeleteLandingZone—이 API 호출은 랜딩 존을 해제합니다.

landding zone API를 시작하려면 를 참조하십시오. API를 사용하여 AWS 컨트롤 타워 시작하기

AWS Control Tower는 활성화된 컨트롤에 대한 태그 지정을 지원합니다.

2023년 11월 10일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 이제 AWS Control Tower 콘솔에서 또는 API를 통해 활성화된 제어에 대한 리소스 태깅을 지원합니다. 활성화된 컨트롤의 태그를 추가, 제거 또는 나열할 수 있습니다.

다음 API가 출시됨에 따라 AWS Control Tower에서 활성화하는 컨트롤에 대한 태그를 구성할 수 있습니다. 태그를 사용하면 리소스를 손쉽게 관리, 식별, 정리, 검색 및 필터링할 수 있습니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다.

AWS Control Tower는 컨트롤 태깅을 위해 다음과 같은 API를 지원합니다.

  • TagResource—이 API 호출은 AWS Control Tower에서 활성화된 컨트롤에 태그를 추가합니다.

  • UntagResource—이 API 호출은 AWS Control Tower에서 활성화된 컨트롤에서 태그를 제거합니다.

  • ListTagsForResource—이 API 호출은 AWS Control Tower에서 활성화된 컨트롤에 대한 태그를 반환합니다.

AWS 컨트롤 타워 제어 API는 AWS 컨트롤 타워가 제공되는 AWS 리전 곳에서 사용할 수 있습니다. 사용 가능한 AWS Control AWS 리전 Tower의 전체 목록은 AWS 지역 표를 참조하십시오. AWS 컨트롤 타워 API의 전체 목록은 API 참조를 참조하십시오.

AWS Control Tower는 아시아 태평양 (멜버른) 지역에서 사용 가능

2023년 11월 3일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 아시아 태평양 (멜버른) 지역에서 사용할 수 있습니다.

이미 AWS Control Tower를 사용 중이고 계정의 이 지역으로 거버넌스 기능을 확장하려는 경우, AWS Control Tower 대시보드의 설정 페이지로 이동하여 지역을 선택한 다음 랜딩 존을 업데이트하십시오. 랜딩 존 업데이트 후에는 AWS Control Tower가 관리하는 모든 계정을 업데이트하여 새 리전에서 계정과 OU를 거버넌스 하에 두어야 합니다. 자세한 내용은 업데이트 정보를 참조하십시오.

AWS Control Tower를 사용할 수 있는 지역의 전체 목록은 AWS 리전 표를 참조하십시오.

새 AWS Service Catalog 외부 제품 유형으로의 전환 (1단계)

2023년 10월 31일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

HashiCorp Terraform 라이선스를 업데이트했습니다. 그 결과 Terraform 오픈 소스 제품에 대한 지원이 AWS Service Catalog 업데이트되고 제품이 External이라는 새로운 제품 유형으로 프로비저닝되었습니다.

AWS Control Tower는 AWS Service Catalog 외부 제품 유형에 의존하는 Account Factory 사용자 지정을 지원하지 않습니다. 계정의 기존 워크로드 및 AWS 리소스가 중단되지 않도록 하려면 2023년 12월 14일까지 AWS Control Tower 전환 단계를 다음 권장 순서대로 따르십시오.

  1. 외부 및 Terraform 오픈 소스 제품 유형에 대한 지원을 AWS Service Catalog 포함하도록 기존 Terraform 참조 엔진을 업그레이드하십시오. Terraform 참조 엔진 업데이트에 대한 지침은 리포지토리를 검토하세요.AWS Service Catalog GitHub

  2. 기존 Terraform 오픈 소스 블루프린트로 AWS Service Catalog 이동하여 복제하여 새 외부 제품 유형을 사용하세요. 기존 Terraform 오픈 소스 블루프린트를 종료하지 마십시오.

  3. 기존 Terraform 오픈 소스 블루프린트를 계속 사용하여 AWS Control Tower에서 계정을 생성하거나 업데이트하십시오.

새 제어 API 사용 가능

2023년 10월 14일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 이제 AWS Control Tower 컨트롤을 대규모로 배포하고 관리하는 데 사용할 수 있는 추가 API를 지원합니다. AWS Control Tower 제어 API에 대한 자세한 내용은 API 참조를 참조하십시오.

AWS Control Tower는 새로운 제어 API를 추가했습니다.

  • GetEnabledControl—API 호출은 활성화된 제어에 대한 세부 정보를 제공합니다.

이 API도 업데이트되었습니다.

ListEnabledControls—이 API 호출은 지정된 조직 단위에서 AWS Control Tower가 활성화한 컨트롤과 여기에 포함된 계정을 나열합니다. 이제 EnabledControlSummary 객체에 추가 정보가 반환됩니다.

이러한 API를 사용하면 몇 가지 일반적인 작업을 프로그래밍 방식으로 수행할 수 있습니다. 예:

  • AWS Control Tower 제어 라이브러리에서 활성화한 모든 컨트롤의 목록을 가져올 수 있습니다.

  • 활성화된 모든 컨트롤에 대해 컨트롤이 지원되는 지역, 컨트롤 식별자 (ARN), 컨트롤의 드리프트 상태, 컨트롤의 상태 요약에 대한 정보를 얻을 수 있습니다.

AWS 컨트롤 타워 제어 API는 AWS 컨트롤 타워가 제공되는 AWS 리전 곳에서 사용할 수 있습니다. 사용 가능한 AWS Control AWS 리전 Tower의 전체 목록은 AWS 지역 표를 참조하십시오. AWS 컨트롤 타워 API의 전체 목록은 API 참조를 참조하십시오.

AWS Control Tower는 추가 규제 항목을 추가합니다.

2023년 10월 5일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 새로운 사전 예방 및 탐지 제어를 발표했습니다.

AWS Control Tower의 사전 예방적 제어는 규정을 준수하지 않는 리소스를 프로비저닝하기 전에 AWS CloudFormation 식별하여 차단하는 AWS CloudFormation Hook을 통해 구현됩니다. 사전 예방적 제어는 AWS Control Tower의 기존 예방 및 탐지 제어 기능을 보완합니다.

새로운 사전 예방 제어

  • [CT.ATHENA.PR.1] Amazon Athena 워크그룹이 저장된 Athena 쿼리 결과를 암호화하도록 요구

  • [CT.ATHENA.PR.2] Amazon Athena 워크그룹이 저장 중인 Athena 쿼리 결과를 (KMS) 키로 암호화하도록 요구 AWS Key Management Service

  • [CT.CLOUDTRAIL.PR.4] 키를 사용하여 저장 중 암호화를 활성화하려면 AWS CloudTrail Lake 이벤트 데이터 스토어가 필요합니다. AWS KMS

  • [CT.DAX.PR.2] 최소 3개의 가용 영역에 노드를 배포하려면 Amazon DAX 클러스터가 필요합니다.

  • [CT.EC2.PR.14] 저장된 데이터를 암호화하려면 Amazon EC2 시작 템플릿을 통해 구성된 Amazon EBS 볼륨이 필요합니다.

  • [CT.EKS.PR.2] Amazon EKS 클러스터를 KMS ( AWS 키 관리 서비스) 키를 사용한 비밀 암호화로 구성해야 함

  • [CT.ELASTICLOADBALANCING.PR.14] 영역 간 로드 밸런싱을 활성화하려면 Network Load Balancer가 필요합니다.

  • [CT.ELASTICLOADBALANCING.PR.15] Elastic Load Balancing v2 대상 그룹이 영역 간 로드 밸런싱을 명시적으로 비활성화하지 않도록 설정해야 합니다.

  • [CT.EMR.PR.1] Amazon S3에 저장된 데이터를 암호화하도록 Amazon EMR (EMR) 보안 구성을 구성해야 합니다.

  • [CT.EMR.PR.2] Amazon EMR (EMR) 보안 구성이 Amazon S3에 저장된 데이터를 키로 암호화하도록 구성되어 있어야 합니다. AWS KMS

  • [CT.EMR.PR.3] Amazon EMR (EMR) 보안 구성이 키를 사용한 EBS 볼륨 로컬 디스크 암호화로 구성되어 있어야 합니다. AWS KMS

  • [CT.EMR.PR.4] 전송 데이터를 암호화하도록 Amazon EMR (EMR) 보안 구성을 구성해야 합니다.

  • [CT.GLUE.PR.1] AWS Glue 작업에 관련 보안 구성이 있어야 합니다.

  • [CT.GLUE.PR.2] AWS KMS 키를 사용하여 Amazon S3 대상의 데이터를 암호화하려면 AWS Glue 보안 구성이 필요합니다.

  • [CT.KMS.PR.2] 암호화에 RSA 키 자료를 사용하는 AWS KMS 비대칭 키의 키 길이는 2048비트보다 커야 합니다.

  • [CT.KMS.PR.3] 서비스에 대한 권한 AWS KMS 부여를 제한하는 설명을 키 정책에 포함해야 합니다. AWS KMS AWS

  • [CT.LAMBDA.PR.4] AWS 조직 또는 특정 AWS 계정에 액세스 권한을 부여하려면 AWS Lambda 계층 권한이 필요합니다.

  • [CT.LAMBDA.PR.5] AWS IAM 기반 인증을 사용하려면 AWS Lambda 함수 URL이 필요합니다.

  • [CT.LAMBDA.PR.6] 특정 출처에 대한 액세스를 제한하려면 AWS Lambda 함수 URL CORS 정책이 필요합니다.

  • [CT.NEPTUNE.PR.4] 감사 로그에 대한 Amazon 로그 내보내기를 활성화하려면 CloudWatch Amazon Neptune DB 클러스터가 필요합니다.

  • [CT.NEPTUNE.PR.5] Amazon Neptune DB 클러스터에서 백업 보존 기간을 7일 이상으로 설정하도록 요구

  • [CT.REDSHIFT.PR.9] Amazon Redshift 클러스터 파라미터 그룹이 전송 데이터를 암호화하는 데 보안 소켓 계층 (SSL) 을 사용하도록 구성되어 있어야 합니다.

이러한 새로운 사전 예방적 제어 기능은 AWS Control Tower가 제공되는 AWS 리전 곳에서 상업적으로 사용할 수 있습니다. 이러한 제어에 대한 자세한 내용은 사전 제어를 참조하십시오. 제어 기능을 사용할 수 있는 위치에 대한 자세한 내용은 제어 제한을 참조하십시오.

새로운 탐정 제어

Security Hub 서비스 관리형 표준인 AWS Control Tower에 새로운 제어 기능이 추가되었습니다. 이러한 제어는 거버넌스 태세를 강화하는 데 도움이 됩니다. 특정 OU에서 활성화한 후에는 Security Hub 서비스 관리형 표준인 AWS Control Tower의 일부로 작동합니다.

  • [SH.Athena.1] Athena 워크그룹은 유휴 상태에서 암호화되어야 합니다.

  • [SH.Neptune.1] Neptune DB 클러스터는 유휴 상태에서 암호화되어야 합니다.

  • [SH.Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

  • [SH.Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

  • [SH.Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

  • [SH.Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

  • [SH.Neptune.6] Neptune DB 클러스터 스냅샷은 유휴 상태에서 암호화해야 합니다.

  • [SH.Neptune.7] Neptune DB 클러스터에는 IAM 데이터베이스 인증이 활성화되어 있어야 합니다.

  • [SH.Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

  • [SH.RDS.27] RDS DB 클러스터는 유휴 상태에서 암호화해야 합니다.

새로운 AWS Security Hub 탐지 컨트롤은 AWS Control AWS 리전 Tower가 있는 대부분의 지역에서 사용할 수 있습니다. 이러한 규제 항목에 대한 자세한 내용은 서비스 관리형 표준에 적용되는 규제: AWS Control Tower를 참조하십시오. 제어 항목을 사용할 수 있는 위치에 대한 자세한 내용은 을 참조하십시오. 관리 제한

보고된 새 드리프트 유형: 신뢰할 수 있는 액세스 비활성화

2023년 9월 21일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower 랜딩 존을 설정한 후에는 에서 AWS Control Tower에 대한 신뢰할 수 있는 액세스를 비활성화할 수 AWS Organizations있습니다. 하지만 그렇게 하면 드리프트가 발생합니다.

신뢰할 수 있는 액세스가 비활성화된 드리프트 유형에서는 이러한 유형의 드리프트가 발생하면 AWS Control Tower에서 알림을 보내므로 AWS Control Tower 랜딩 존을 복구할 수 있습니다. 자세한 내용은 거버넌스 드리프트 유형을 참조하십시오.

네 가지 추가 AWS 리전

2023년 9월 13일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 이제 아시아 태평양 (하이데라바드), 유럽 (스페인 및 취리히), 중동 (UAE) 에서 사용할 수 있습니다.

이미 AWS Control Tower를 사용 중이고 계정의 이 지역으로 거버넌스 기능을 확장하려는 경우, AWS Control Tower 대시보드의 설정 페이지로 이동하여 지역을 선택한 다음 랜딩 존을 업데이트하십시오. 랜딩 존 업데이트 후에는 AWS Control Tower가 관리하는 모든 계정을 업데이트하여 새 리전에서 계정과 OU를 거버넌스 하에 두어야 합니다. 자세한 내용은 업데이트 정보를 참조하십시오.

AWS Control Tower를 사용할 수 있는 지역의 전체 목록은 AWS 리전 표를 참조하십시오.

텔아비브 지역에서 사용 가능한 AWS Control Tower

2023년 8월 28일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 이스라엘 (텔아비브) 지역에서의 가용성을 발표했습니다.

이미 AWS Control Tower를 사용 중이고 계정의 이 지역으로 거버넌스 기능을 확장하려는 경우, AWS Control Tower 대시보드의 설정 페이지로 이동하여 지역을 선택한 다음 랜딩 존을 업데이트하십시오. 랜딩 존 업데이트 후에는 AWS Control Tower가 관리하는 모든 계정을 업데이트하여 새 리전에서 계정과 OU를 거버넌스 하에 두어야 합니다. 자세한 내용은 업데이트 정보를 참조하십시오.

AWS Control Tower를 사용할 수 있는 지역의 전체 목록은 AWS 리전 표를 참조하십시오.

AWS Control Tower, 28개의 새로운 사전 예방 제어 기능 출시

2023년 7월 24일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 AWS 환경 관리를 지원하기 위해 28개의 새로운 사전 예방 제어를 추가하고 있습니다.

사전 예방적 제어는 규정을 준수하지 않는 리소스를 프로비저닝하기 전에 차단함으로써 다중 계정 AWS 환경 전반에서 AWS Control Tower의 거버넌스 기능을 강화합니다. 이러한 컨트롤은 Amazon, Amazon Neptune CloudWatch, ElastiCache Amazon 및 Amazon DocumentDB와 같은 AWS 서비스를 관리하는 데 도움이 됩니다. AWS Step Functions새로운 제어 기능은 로깅 및 모니터링 설정, 저장된 데이터 암호화 또는 복원력 향상과 같은 제어 목표를 달성하는 데 도움이 됩니다.

새 컨트롤의 전체 목록은 다음과 같습니다.

  • [CT.APPSYNC.PR.1] GraphQL API에서 로깅을 AWS AppSync 활성화해야 합니다.

  • [CT.CLOUDWATCH.PR.1] CloudWatch Amazon 경보에 경보 상태에 대한 작업이 구성되어 있어야 합니다.

  • [CT.CLOUDWATCH.PR.2] CloudWatch 아마존 로그 그룹을 최소 1년 동안 보존하도록 요구

  • [CT.CLOUDWATCH.PR.3] CloudWatch Amazon 로그 그룹을 유휴 상태에서 KMS 키를 사용하여 암호화하도록 요구 AWS

  • [CT.CLOUDWATCH.PR.4] 아마존 알람 액션을 활성화해야 합니다 CloudWatch

  • [CT.DOCUMENTDB.PR.1] Amazon DocumentDB 클러스터를 유휴 상태에서 암호화해야

  • [CT.DOCUMENTDB.PR.2] Amazon DocumentDB 클러스터에 자동 백업이 활성화되어 있어야 합니다.

  • [CT.DYNAMODB.PR.2] Amazon DynamoDB 테이블을 유휴 상태에서 키를 사용하여 암호화하도록 요구 AWS KMS

  • [CT.EC2.PR.13] Amazon EC2 인스턴스에 세부 모니터링이 활성화되어 있어야 합니다.

  • [CT.EKS.PR.1] 클러스터 쿠버네티스 API 서버 엔드포인트에 대한 퍼블릭 액세스를 비활성화하도록 Amazon EKS 클러스터를 구성해야 합니다.

  • [CT.ELASTICACHE.PR.1] Redis용 ElastiCache Amazon 클러스터에 자동 백업이 활성화되어 있어야 합니다.

  • [CT.ELASTICACHE.PR.2] Redis용 ElastiCache Amazon 클러스터에 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

  • [CT.ELASTICACHE.PR.3] Redis용 ElastiCache Amazon 복제 그룹에 자동 장애 조치가 활성화되어 있어야 합니다.

  • [CT.ELASTICACHE.PR.4] Amazon ElastiCache 복제 그룹에 저장 중 암호화가 활성화되어 있어야 합니다.

  • [CT.ELASTICACHE.PR.5] Redis용 ElastiCache Amazon 복제 그룹에 전송 중 암호화가 활성화되어 있어야 합니다.

  • [CT.ELASTICACHE.PR.6] 사용자 지정 서브넷 그룹을 사용하려면 Amazon ElastiCache 캐시 클러스터가 필요합니다.

  • [CT.ELASTICACHE.PR.7] 이전 Redis 버전의 ElastiCache Amazon 복제 그룹에 Redis 인증 필요

  • [CT.ELASTICBEANSTALK.PR.3] 로깅 구성을 갖추려면 Elastic Beanstalk 환경이 필요합니다 AWS

  • [CT.LAMBDA.PR.3] 고객 관리형 아마존 가상 사설 클라우드 (VPC) 에 AWS Lambda 함수가 있어야 함

  • [CT.NEPTUNE.PR.1] Amazon Neptune DB 클러스터에 (IAM) 데이터베이스 인증 필요 AWS Identity and Access Management

  • [CT.NEPTUNE.PR.2] Amazon Neptune DB 클러스터에 삭제 방지 기능이 활성화되어 있어야 합니다.

  • [CT.NEPTUNE.PR.3] Amazon Neptune DB 클러스터에 스토리지 암호화가 활성화되어 있어야 합니다.

  • [CT.REDSHIFT.PR.8] Amazon Redshift 클러스터를 암호화해야 합니다.

  • [CT.S3.PR.9] Amazon S3 버킷에 S3 오브젝트 잠금이 활성화되어 있어야 합니다.

  • [CT.S3.PR.10] Amazon S3 버킷에는 키를 사용하여 서버 측 암호화가 구성되어 있어야 합니다. AWS KMS

  • [CT.S3.PR.11] Amazon S3 버킷에 버전 관리를 활성화해야 합니다.

  • [CT.STEPFUNCTIONS.PR.1] 상태 시스템에 로깅이 활성화되어 있어야 합니다. AWS Step Functions

  • [CT.STEPFUNCTIONS.PR.2] 스테이트 머신에 추적 기능이 활성화되어 있어야 합니다. AWS Step Functions AWS X-Ray

AWS Control Tower의 사전 예방적 제어는 규정을 준수하지 않는 리소스를 프로비저닝하기 전에 AWS CloudFormation 식별하여 차단하는 AWS CloudFormation Hook을 통해 구현됩니다. 사전 예방적 제어는 AWS Control Tower의 기존 예방 및 탐지 제어 기능을 보완합니다.

이러한 새로운 사전 예방 제어 기능은 AWS Control Tower가 제공되는 모든 AWS 리전 곳에서 사용할 수 있습니다. 이러한 제어에 대한 자세한 내용은 사전 제어를 참조하십시오.

AWS Control Tower는 두 가지 규제 항목을 더 이상 사용하지 않습니다.

2023년 7월 18일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 보안 규제 항목이 최신 상태이고 여전히 모범 사례로 간주되는지 확인하기 위해 정기적으로 검토합니다. 다음 두 규제 항목은 2023년 7월 18일부터 사용이 중단되었으며, 2023년 8월 18일부터 규제 라이브러리에서 제거될 예정입니다. 더 이상 어떤 조직 단위에서도 이러한 컨트롤을 활성화할 수 없습니다. 제거 날짜 이전에 이러한 컨트롤을 비활성화하도록 선택할 수 있습니다.

  • [SH.S3.4] S3 버킷에는 서버 측 암호화가 활성화되어 있어야 합니다.

  • [CT.S3.PR.7] Amazon S3 버킷에 서버 측 암호화가 구성되어 있어야 합니다.

지원 중단 이유

2023년 1월부터 Amazon S3는 암호화되지 않은 모든 신규 및 기존 버킷에 기본 암호화를 구성하여 해당 버킷에 업로드된 새 객체에 대해 S3 관리 키 (SSE-S3) 를 기본 암호화 수준으로 사용하는 서버 측 암호화를 적용합니다. 이미 SSE-S3 또는 AWS 키 관리 서비스 (KMS) 키를 사용한 서버 측 암호화 (AWS SSE-KMS) 가 구성된 기존 버킷의 기본 암호화 구성은 변경되지 않았습니다.

AWS 컨트롤 타워 랜딩 존 버전 3.2

2023년 6월 16일

(AWS Control Tower landzone을 버전 3.2로 업데이트하려면 업데이트가 필요합니다. 자세한 내용은 참조랜딩 영역 업데이트).

AWS Control Tower 랜딩 존 버전 3.2에서는 AWS Security Hub 서비스 관리형 표준: AWS Control Tower의 일부인 제어 기능을 일반 버전으로 제공합니다. 이 표준의 일부인 컨트롤의 드리프트 상태를 AWS Control Tower 콘솔에서 볼 수 있는 기능을 소개합니다.

이 업데이트에는 라는 새로운 서비스 연결 역할 (SLR) 이 포함되어 있습니다. AWSServiceRoleForAWSControlTower 이 역할은 각 멤버 AWSControlTowerManagedRule계정에서 라는 EventBridge 관리형 규칙을 생성하여 AWS Control Tower를 지원합니다. 이 관리형 규칙은 AWS Control Tower에서 제어 드리프트를 확인할 수 있는 AWS Security Hub 찾기 이벤트를 수집합니다.

이 규칙은 AWS Control Tower에서 만든 첫 번째 관리형 규칙입니다. 규칙은 스택으로 배포되지 않고 EventBridge API에서 직접 배포됩니다. 규칙은 EventBridge 콘솔에서 또는 EventBridge API를 통해 볼 수 있습니다. managed-by필드가 채워지면 AWS Control Tower 서비스 보안 주체가 표시됩니다.

이전에는 AWS Control Tower가 회원 계정에서 작업을 수행하는 AWSControlTowerExecution역할을 맡았습니다. 이 새로운 역할과 규칙은 다중 계정 환경에서 작업을 수행할 때 최소 권한을 허용한다는 모범 사례 원칙에 더 잘 부합합니다. AWS 새 역할은 회원 계정에서 관리형 규칙 생성, 관리형 규칙 유지 관리, SNS를 통한 보안 알림 게시, 드리프트 확인 등을 구체적으로 허용하는 범위 축소된 권한을 제공합니다. 자세한 정보는 AWSServiceRoleForAWSControlTower을 참조하세요.

Landzone 3.2 업데이트에는 처음에 서비스 연결 역할을 배포하는 관리 계정의 새 StackSet 리소스도 포함되어 있습니다. BP_BASELINE_SERVICE_LINKED_ROLE

Security Hub 제어 드리프트 (랜딩 존 3.2 이상) 를 보고하면 AWS Control Tower는 Security Hub로부터 일일 상태 업데이트를 받습니다. 모든 관리 대상 지역에서 제어 기능이 활성화되어 있지만, AWS Control Tower는 AWS Control Tower 홈 지역에만 AWS Security Hub Finding 이벤트를 전송합니다. 자세한 내용은 Security Hub 제어 드리프트 보고를 참조하십시오.

지역 거부 제어 업데이트

이 랜딩 존 버전에는 지역 거부 컨트롤에 대한 업데이트도 포함되어 있습니다.

글로벌 서비스 및 API 추가

  • AWS Billing and Cost Management (billing:*)

  • AWS CloudTrail (cloudtrail:LookupEvents) 를 사용하면 멤버 계정의 글로벌 이벤트를 확인할 수 있습니다.

  • AWS 통합 결제 () consolidatedbilling:*

  • AWS 관리 콘솔 모바일 애플리케이션 (consoleapp:*)

  • AWS 프리 티어 (freetier:*)

  • AWS 인보이스 발행 (invoicing:*)

  • AWS IQ () iq:*

  • AWS 사용자 알림 () notifications:*

  • AWS 사용자 알림 연락처 (notifications-contacts:*)

  • Amazon Payments (payments:*)

  • AWS 세금 설정 (tax:*)

글로벌 서비스 및 API 제거됨

  • 유효한 조치가 s3:GetAccountPublic 아니기 때문에 제거되었습니다.

  • 유효한 동작이 s3:PutAccountPublic 아니므로 제거되었습니다.

AWS Control Tower는 ID를 기반으로 계정을 처리합니다.

2023년 6월 14일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

이제 AWS Control Tower는 계정 이메일 주소가 아닌 AWS 계정 ID를 추적하여 Account Factory에서 생성한 계정을 생성하고 관리합니다.

계정을 프로비저닝할 때 계정 요청자는 항상 CreateAccount 및 권한을 가지고 있어야 합니다. DescribeCreateAccountStatus 이 권한 집합은 관리자 역할의 일부이며 요청자가 관리자 역할을 맡으면 자동으로 부여됩니다. 계정을 프로비저닝할 권한을 위임하는 경우 계정 요청자를 위해 이러한 권한을 직접 추가해야 할 수 있습니다.

AWS Control Tower 제어 라이브러리에서 제공되는 추가 Security Hub 탐지 제어 항목

2023년 6월 12일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 AWS Control Tower 제어 라이브러리에 10개의 새로운 AWS Security Hub 탐지 제어 항목을 추가했습니다. 이러한 새로운 제어 기능은 API Gateway, Amazon Elastic Compute Cloud (EC2) AWS CodeBuild, 아마존 Elastic Load Balancer, Amazon Redshift, Amazon 등과 같은 서비스를 대상으로 합니다. SageMaker AWS WAF이러한 새로운 제어 기능은 로깅 및 모니터링 설정, 네트워크 액세스 제한, 저장된 데이터 암호화와 같은 제어 목표를 충족하여 거버넌스 태세를 강화하는 데 도움이 됩니다.

이러한 제어 기능은 특정 OU에서 활성화하면 Security Hub 서비스 관리형 표준인 AWS Control Tower의 일부로 작동합니다.

  • [sh.Account.1] 다음을 위한 보안 연락처 정보를 제공해야 합니다. AWS 계정

  • [sh.APIGateway.8] API Gateway 경로는 권한 부여 유형을 지정해야 합니다.

  • [sh.APIGateway.9] API Gateway V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

  • [SH. CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

  • [SH.EC2.25] EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.

  • [SH.ELB.1] 모든 HTTP 요청을 HTTPS로 리디렉션하도록 애플리케이션 로드 밸런서를 구성해야 합니다.

  • [sh.Redshift.10] Redshift 클러스터는 유휴 상태에서 암호화되어야 합니다

  • [SH. SageMaker.2] SageMaker 노트북 인스턴스는 커스텀 VPC에서 시작해야 합니다.

  • [SH. SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

  • [SH.WAF.10] WAFV2 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다.

새로운 AWS Security Hub 탐지 제어 기능은 AWS Control Tower가 제공되는 모든 AWS 리전 곳에서 사용할 수 있습니다. 이러한 규제 항목에 대한 자세한 내용은 서비스 관리형 표준에 적용되는 규제: AWS Control Tower를 참조하십시오.

AWS Control Tower는 제어 메타데이터 테이블을 게시합니다.

2023년 6월 7일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 이제 게시된 설명서의 일부로 제어 메타데이터의 전체 표를 제공합니다. 제어 API로 작업할 때 각 컨트롤의 API ControlIdentifier를 조회할 수 있으며, 이는 각 컨트롤과 관련된 고유한 ARN입니다. AWS 리전표에는 각 컨트롤이 다루는 프레임워크와 규제 목표가 포함되어 있습니다. 이전에는 이 정보를 콘솔에서만 사용할 수 있었습니다.

이 표에는 AWS Security Hub 서비스 관리형 표준:AWS Control Tower의 일부인 Security Hub 컨트롤에 대한 메타데이터도 포함되어 있습니다. 자세한 내용은 제어 메타데이터 표를 참조하십시오.

제어 식별자의 간략한 목록과 일부 사용 예는 API 및 컨트롤의 리소스 식별자를 참조하십시오.

Account Factory 커스터마이징을 위한 테라폼 지원

2023년 6월 6일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 AFC (어카운트 팩토리 사용자 지정) 를 통해 Terraform에 대한 단일 리전 지원을 제공합니다. 이번 릴리스부터 AWS Control Tower와 Service Catalog를 함께 사용하여 Terraform 오픈 소스에서 AFC 계정 블루프린트를 정의할 수 있습니다. AWS Control Tower에서 리소스를 프로비저닝하기 전에 새 리소스와 기존 AWS 계정리소스를 사용자 지정할 수 있습니다. 기본적으로 이 기능을 사용하면 AWS Control Tower 홈 리전에서 Terraform을 사용하여 계정을 배포하고 업데이트할 수 있습니다.

계정 청사진은 프로비저닝 시 필요한 특정 리소스 및 구성을 설명합니다. AWS 계정 블루프린트를 템플릿으로 사용하여 대규모로 여러 개를 만들 수 있습니다. AWS 계정

시작하려면 Terraform 참조 엔진을 켜서 사용하세요. GitHub 참조 엔진은 Terraform 오픈 소스 엔진이 Service Catalog와 함께 작동하는 데 필요한 코드 및 인프라를 구성합니다. 이 일회성 설정 프로세스는 몇 분 정도 걸립니다. 그런 다음 Terraform에서 사용자 지정 계정 요구 사항을 정의한 다음 잘 정의된 AWS Control Tower 계정 팩토리 워크플로를 사용하여 계정을 배포할 수 있습니다. Terraform을 선호하는 고객은 AFC를 통해 대규모로 AWS Control Tower 계정 사용자 지정을 활용하고 프로비저닝된 후 각 계정에 즉시 액세스할 수 있습니다.

이러한 사용자 지정을 만드는 방법을 알아보려면 Service Catalog 설명서에서 제품 만들기Terraform 오픈 소스 시작하기를 참조하십시오. 이 기능은 AWS Control Tower가 제공되는 모든 AWS 리전 곳에서 사용할 수 있습니다.

AWS 랜딩 존에 IAM 아이덴티티 센터 자체 관리 기능 사용 가능

2023년 6월 6일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

이제 AWS Control Tower는 설치 또는 업데이트 중에 구성할 수 있는 AWS Control Tower 랜딩 존에 대한 선택적 자격 증명 공급자 선택을 지원합니다. 다중 계정을 사용한 환경 구성에 정의된 모범 사례 지침에 따라 기본적으로 landing Zone은 AWS IAM Identity Center를 사용하도록 설정되어 있습니다 AWS. 이제 세 가지 대안이 있습니다.

  • 기본 설정을 그대로 사용하고 AWS Control Tower에서 AWS IAM ID 센터를 설치하고 관리하도록 허용할 수 있습니다.

  • 특정 비즈니스 요구 사항을 반영하여 AWS IAM ID 센터를 자체 관리하도록 선택할 수 있습니다.

  • 필요한 경우 IAM Identity Center를 통해 연결하여 타사 ID 공급자를 가져와 자체 관리할 수도 있습니다. 규제 환경에 따라 특정 공급자를 사용해야 하거나 AWS IAM Identity Center를 사용할 수 AWS 리전 없는 곳에서 사업을 운영하는 경우 ID 공급자 옵션을 사용해야 합니다.

자세한 정보는 IAM ID 센터 지침을 참조하세요.

계정 수준에서 ID 제공자를 선택하는 것은 지원되지 않습니다. 이 기능은 전체 착륙 지대에만 적용됩니다. AWS Control Tower 자격 증명 공급자 옵션은 AWS Control AWS 리전 Tower가 있는 모든 곳에서 이용할 수 있습니다.

AWS Control Tower는 OU의 복합 거버넌스를 해결합니다.

2023년 6월 1일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

이번 릴리스부터 AWS Control Tower는 OU가 복합 거버넌스 상태인 경우 제어 항목이 조직 단위 (OU) 에 배포되는 것을 방지합니다. AWS Control Tower가 거버넌스를 새로운 AWS 리전것으로 확장하거나 거버넌스를 제거한 후 계정이 업데이트되지 않으면 OU에서 혼합 거버넌스가 발생합니다. 이 릴리스는 해당 OU의 회원 계정을 일관된 규정 준수를 유지하는 데 도움이 됩니다. 자세한 정보는 지역을 구성할 때 복합 거버넌스를 피하세요.을 참조하세요.

추가 사전 예방 제어 기능을 사용할 수 있습니다.

2023년 5월 19일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 다중 계정 환경을 관리하고 저장된 데이터 암호화 또는 네트워크 액세스 제한과 같은 특정 규제 목표를 충족하는 데 도움이 되는 28개의 새로운 사전 예방 제어를 추가하고 있습니다. 리소스를 프로비저닝하기 전에 리소스를 확인하는 AWS CloudFormation 후크를 통해 사전 예방적 제어가 구현됩니다. 새로운 제어 기능은 아마존 AWS 서비스, 아마존 EC2 Auto Scaling, 아마존, 아마존 API Gateway, SageMaker 아마존 관계형 데이터베이스 OpenSearch 서비스 (RDS) 와 같은 서비스를 관리하는 데 도움이 될 수 있습니다.

사전 예방적 제어는 AWS Control AWS 리전 Tower가 제공되는 모든 상업에서 지원됩니다.

아마존 OpenSearch 서비스

  • [CT.OPENSEARCH.PR.1] 저장된 데이터를 암호화하려면 Elasticsearch 도메인이 필요합니다.

  • [CT.OPENSEARCH.PR.2] 사용자 지정 아마존 VPC에서 엘라스틱서치 도메인을 생성해야 함

  • [CT.OPENSEARCH.PR.3] 노드 간에 전송되는 데이터를 암호화하려면 Elasticsearch 도메인이 필요합니다.

  • [CT.OPENSEARCH.PR.4] 오류 로그를 Amazon Logs로 보내려면 Elasticsearch 도메인이 필요합니다 CloudWatch

  • [CT.OPENSEARCH.PR.5] 감사 로그를 Amazon Logs로 전송하려면 Elasticsearch 도메인이 필요합니다. CloudWatch

  • [CT.OPENSEARCH.PR.6] 영역 인식 기능을 갖추려면 Elasticsearch 도메인에 최소 3개의 데이터 노드가 있어야 합니다.

  • [CT.OPENSEARCH.PR.7] Elasticsearch 도메인에 최소 세 개의 전용 마스터 노드가 있어야 합니다.

  • [CT.OPENSEARCH.PR.8] TLSv1.2를 사용하려면 엘라스틱서치 서비스 도메인이 필요합니다

  • [CT.OPENSEARCH.PR.9] 저장된 데이터를 암호화하려면 Amazon OpenSearch 서비스 도메인이 필요합니다.

  • [CT.OPENSEARCH.PR.10] 사용자가 지정한 아마존 VPC에서 OpenSearch 아마존 서비스 도메인을 생성하도록 요구

  • [CT.OPENSEARCH.PR.11] 노드 간에 전송되는 데이터를 암호화하려면 OpenSearch Amazon 서비스 도메인이 필요합니다.

  • [CT.OPENSEARCH.PR.12] 아마존 로그에 오류 로그를 보내려면 OpenSearch 아마존 서비스 도메인이 필요합니다. CloudWatch

  • [CT.OPENSEARCH.PR.13] Amazon Logs에 감사 로그를 보내려면 OpenSearch 아마존 서비스 도메인이 필요합니다. CloudWatch

  • [CT.OPENSEARCH.PR.14] OpenSearch Amazon 서비스 도메인에 영역 인식 및 최소 세 개의 데이터 노드가 있어야 함

  • [CT.OPENSEARCH.PR.15] 세분화된 액세스 제어를 사용하려면 Amazon OpenSearch 서비스 도메인이 필요합니다.

  • [CT.OPENSEARCH.PR.16] TLSv1.2를 사용하려면 아마존 서비스 도메인이 필요합니다 OpenSearch

Amazon EC2 Auto Scaling

  • [CT.AUTOSCALING.PR.1] Amazon EC2 Auto Scaling 그룹에 여러 가용 영역이 있어야 함

  • [CT.AUTOSCALING.PR.2] IMDSv2용으로 Amazon EC2 인스턴스를 구성하려면 Amazon EC2 Auto Scaling 그룹 시작 구성이 필요합니다.

  • [CT.AUTOSCALING.PR.3] Amazon EC2 Auto Scaling 시작 구성에는 단일 홉 메타데이터 응답 제한이 있어야 합니다.

  • [CT.AUTOSCALING.PR.4] Amazon Elastic Load Balancing (ELB) 과 연결된 Amazon EC2 Auto Scaling 그룹에 ELB 상태 확인을 활성화해야 합니다.

  • [CT.AUTOSCALING.PR.5] Amazon EC2 Auto Scaling 그룹 시작 구성에는 퍼블릭 IP 주소를 가진 Amazon EC2 인스턴스가 없어야 합니다.

  • [CT.AUTOSCALING.PR.6] 모든 Amazon EC2 Auto Scaling 그룹에는 여러 인스턴스 유형을 사용해야 합니다.

  • [CT.AUTOSCALING.PR.8] Amazon EC2 Auto Scaling 그룹에 EC2 시작 템플릿을 구성해야 함

아마존 SageMaker

  • [CT.SAGEMAKER.PR.1] 인터넷에 직접 액세스하지 못하도록 Amazon SageMaker 노트북 인스턴스가 필요합니다.

  • [CT.SAGEMAKER.PR.2] 사용자 지정 아마존 VPC 내에 SageMaker 아마존 노트북 인스턴스를 배포해야 함

  • [CT.SAGEMAKER.PR.3] Amazon 노트북 인스턴스에 루트 액세스가 허용되지 않도록 요구 SageMaker

Amazon API Gateway

  • [CT.APIGATEWAY.PR.5] 인증 유형을 지정하려면 Amazon API Gateway V2 웹 소켓 및 HTTP 경로가 필요합니다.

Amazon Relational Database Service(RDS)

  • [CT.RDS.PR.25] Amazon RDS 데이터베이스 클러스터에 로깅이 구성되어 있어야 합니다.

자세한 내용은 사전 제어를 참조하십시오.

Amazon EC2 사전 예방 제어 업데이트

2023년 5월 2일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 두 가지 사전 예방 제어 항목, 즉, CT.EC2.PR.3 을 CT.EC2.PR.4 업데이트했습니다.

업데이트된 CT.EC2.PR.3 컨트롤의 경우, 포트 80 또는 443을 제외한 보안 그룹 리소스의 접두사 목록을 참조하는 모든 AWS CloudFormation 배포는 배포가 차단됩니다.

업데이트된 CT.EC2.PR.4 컨트롤의 경우 포트가 3389, 20, 23, 110, 143, 3306, 8080, 1433, 9200, 9300, 25, 445, 135, 21, 1434, 4333, 5432, 5500, 5601, 22, 3000, 5000, 8088, 8888이면 보안 그룹 리소스의 접두사 목록을 참조하는 모든 AWS CloudFormation 배포가 차단됩니다.

7개의 추가 사용 가능 AWS 리전

2023년 4월 19일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

이제 AWS Control Tower를 캘리포니아 북부 (샌프란시스코), 아시아 태평양 (홍콩, 자카르타, 오사카), 유럽 (밀라노), 중동 (바레인), 아프리카 (케이프타운) 등 7개 지역에서 추가로 사용할 수 AWS 리전있습니다. 옵트인 지역이라고 하는 AWS Control Tower의 이러한 추가 지역은 기본적으로 활성화되지 않습니다. 단, 기본적으로 활성화되는 미국 서부 (캘리포니아 북부) 지역은 예외입니다.

AWS Control Tower의 일부 컨트롤은 AWS Control Tower가 제공되는 추가 AWS 리전 지역 중 일부에서는 작동하지 않습니다. 해당 지역은 필수 기본 기능을 지원하지 않기 때문입니다. 자세한 내용은 관리 제한단원을 참조하세요.

이러한 새 지역 중 아시아 태평양 (자카르타 및 오사카) 에서는 cFCT를 사용할 수 없습니다. 다른 지역의 이용 가능 여부는 변함이 없습니다 AWS 리전 .

AWS Control Tower가 지역 및 규제 항목의 제한을 관리하는 방법에 대한 자세한 내용은 을 참조하십시오옵트인 지역 활성화 AWS 고려 사항.

AFT에서 요구하는 VPCE 엔드포인트는 중동 (바레인) 지역에서는 사용할 수 없습니다. 이 지역에 AFT를 배포하는 고객은 매개변수를 사용하여 배포해야 합니다. aft_vpc_endpoints=false 자세한 내용은 README 파일의 매개변수를 참조하십시오.

Amazon EC2의 제한으로 인해 AWS Control Tower VPC는 미국 서부 (캘리포니아 북부) 지역에 두 개의 가용 영역을 보유하고 있습니다. us-west-1 미국 서부 (캘리포니아 북부) 에서는 6개의 서브넷이 두 가용 영역에 분산되어 있습니다. 자세한 정보는 AWS Control 타워 및 VPC의 개요을 참조하세요.

AWS Control GetRegionOptStatus Tower는 AWS Control Tower가 AWS 계정 관리 서비스를 통해 구현된 API 및 API를 호출할 수 AWSControlTowerServiceRolePolicy 있도록 하는 새로운 권한을 추가하여, 랜딩 존의 공유 계정 (Management 계정, 로그 아카이브 계정, 감사 계정) 및 OU 회원 계정에서 이러한 추가 기능을 AWS 리전 사용할 수 있도록 했습니다. EnableRegion ListRegions 자세한 정보는 AWS Control Tower의 관리형 정책을 참조하세요.

Account Factory for Terraform (AFT) 계정 사용자 지정 요청 추적

2023년 2월 16일

AFT는 계정 사용자 지정 요청 추적을 지원합니다. 계정 사용자 지정 요청을 제출할 때마다 AFT는 AFT 사용자 지정 AWS Step Functions 상태 시스템을 통과하는 고유한 추적 토큰을 생성하며, 이 시스템은 실행의 일부로 토큰을 기록합니다. Amazon CloudWatch Logs 인사이트 쿼리를 사용하여 타임스탬프 범위를 검색하고 요청 토큰을 검색할 수 있습니다. 따라서 토큰과 함께 제공되는 페이로드를 확인할 수 있으므로 전체 AFT 워크플로에서 계정 사용자 지정 요청을 추적할 수 있습니다. AFT에 대한 자세한 내용은 Terraform용 AWS Control Tower 어카운트 팩토리 개요를 참조하십시오. CloudWatch 로그 및 Step Functions에 대한 자세한 내용은 다음을 참조하십시오.

AWS 컨트롤 타워 랜딩 존 버전 3.1

2023년 2월 9일

(AWS Control Tower landzone을 버전 3.1로 업데이트하려면 업데이트가 필요합니다. 자세한 내용은 참조랜딩 영역 업데이트)

AWS Control Tower 랜딩 존 버전 3.1에는 다음과 같은 업데이트가 포함되어 있습니다.

  • 이번 릴리스부터 AWS Control Tower는 액세스 로깅 버킷 (Log Archive 계정에 액세스 로그가 저장되는 Amazon S3 버킷) 에 대한 불필요한 액세스 로깅을 비활성화하는 동시에 S3 버킷에 대한 서버 액세스 로깅을 계속 활성화합니다. 또한 이번 릴리스에는 플랜 및 같은 글로벌 서비스에 대한 추가 작업을 허용하는 지역 거부 제어에 대한 업데이트도 포함되어 있습니다. AWS Support AWS Artifact

  • AWS Control Tower 액세스 로깅 버킷에 대한 서버 액세스 로깅을 비활성화하면 Security Hub가 Log Archive 계정의 액세스 로깅 버킷에 대한 검색 결과를 생성합니다. AWS Security Hub 규칙에 따라 [S3.9] S3 버킷 서버 액세스 로깅이 활성화되어야 합니다. Security Hub에 따라 이 규칙의 Security Hub 설명에 명시된 대로 이 특정 검색 결과를 숨기는 것이 좋습니다. 자세한 내용은 숨겨진 검색 결과에 대한 정보를 참조하십시오.

  • Log Archive 계정의 (일반) 로깅 버킷에 대한 액세스 로깅은 버전 3.1에서 변경되지 않았습니다. 모범 사례에 따라 해당 버킷의 액세스 이벤트는 액세스 로깅 버킷에 로그 항목으로 기록됩니다. 액세스 로깅에 대한 자세한 내용은 Amazon S3 설명서의 서버 액세스 로깅을 사용한 요청 로깅을 참조하십시오.

  • 지역 거부 제어를 업데이트했습니다. 이 업데이트를 통해 더 많은 글로벌 서비스에서 조치를 취할 수 있습니다. 이 SCP에 대한 자세한 내용은 요청에 AWS 따른 액세스 거부 AWS 리전데이터 상주 보호를 강화하는 제어를 참조하십시오.

    글로벌 서비스 추가:

    • AWS Account Management (account:*)

    • AWS 활성화 (activate:*)

    • AWS Artifact (artifact:*)

    • AWS Billing Conductor (billingconductor:*)

    • AWS Compute Optimizer (compute-optimizer:*)

    • AWS Data Pipeline (datapipeline:GetAccountLimits)

    • AWS Device Farm(devicefarm:*)

    • AWS Marketplace (discovery-marketplace:*)

    • 아마존 ECR () ecr-public:*

    • AWS License Manager (license-manager:ListReceivedLicenses)

    • AWS lightsail:Get*Lightsail ()

    • AWS 리소스 탐색기 (resource-explorer-2:*)

    • 아마존 S3 (s3:CreateMultiRegionAccessPoint,s3:GetBucketPolicyStatus,s3:PutMultiRegionAccessPointPolicy)

    • AWS Savings Plan (savingsplans:*)

    • IAM 아이덴티티 센터 () sso:*

    • AWS Support App (supportapp:*)

    • AWS Support 플랜 () supportplans:*

    • AWS 지속가능성 (sustainability:*)

    • AWS Resource Groups Tagging API (tag:GetResources)

    • AWS Marketplace 공급업체 인사이트 (vendor-insights:ListEntitledSecurityProfiles)

사전 예방적 통제가 일반적으로 이용 가능

2023년 1월 24일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

이전에 미리 보기 상태로 발표되었던 선택적 사전 예방 제어를 이제 정식 버전으로 사용할 수 있습니다. 이러한 컨트롤은 리소스를 배포하기 전에 리소스를 점검하여 새 리소스가 사용자 환경에서 활성화된 제어를 준수하는지 확인하기 때문에 사전 예방적이라고 합니다. 자세한 정보는 포괄적인 제어는 AWS 리소스 공급 및 관리를 지원합니다.을 참조하세요.