2024년 1월 - 현재

2024년 1월부터 AWS Control Tower는 다음과 같은 업데이트를 출시했습니다.

• AWS Control Tower는 최대 100개의 동시 제어 작업을 지원합니다.

• AWS Control Tower는 AWS 캐나다 서부 (캘거리) 에서 사용 가능

• AWS Control Tower는 셀프 서비스 할당량 조정을 지원합니다.

• AWS Control Tower, 규제 참조 가이드 출시

• AWS Control Tower는 두 개의 사전 예방적 제어를 업데이트하고 이름을 변경합니다.

• 더 이상 사용되지 않는 제어 기능은 더 이상 사용할 수 없습니다.

• AWS Control Tower는 다음의 EnabledControl 리소스 태깅을 지원합니다. AWS CloudFormation

• AWS Control Tower는 OU 등록 및 기준에 따른 구성을 위한 API를 지원합니다.

AWS Control Tower는 최대 100개의 동시 제어 작업을 지원합니다.

2024년 5월 20일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 이제 더 높은 동시성으로 여러 제어 작업을 지원합니다. 콘솔에서 또는 API를 사용하여 여러 조직 단위 (OU) 에서 동시에 최대 100개의 AWS Control Tower 제어 작업을 제출할 수 있습니다. 최대 10개의 작업을 동시에 실행할 수 있으며 추가 작업은 대기열에 보관됩니다. 이렇게 하면 반복적인 제어 작업으로 인한 운영 부담 없이 여러 AWS 계정항목에 대해 보다 표준화된 구성을 설정할 수 있습니다.

진행 중인 제어 작업과 대기 중인 제어 작업의 상태를 모니터링하려면 AWS Control Tower 콘솔의 새로운 최근 작업 페이지로 이동하거나 새 ListControlOperationsAPI를 호출할 수 있습니다.

AWS Control Tower 라이브러리에는 다양한 규제 목표, 프레임워크 및 서비스에 매핑되는 500개 이상의 제어 항목이 포함되어 있습니다. 저장된 데이터 암호화와 같은 특정 규제 목표의 경우 단일 제어 작업으로 여러 제어를 활성화하여 목표를 달성하는 데 도움이 될 수 있습니다. 이 기능을 사용하면 개발을 가속화하고, 모범 사례 제어를 더 빠르게 채택하고, 운영 복잡성을 완화할 수 있습니다.

AWS Control Tower는 AWS 캐나다 서부 (캘거리) 에서 사용 가능

2024년 5월 3일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

오늘부터 캐나다 서부 (캘거리) 지역에서 AWS Control Tower를 활성화할 수 있습니다. 이미 AWS Control Tower를 배포했고 거버넌스 기능을 이 지역으로 확장하려는 경우, AWS Control Tower 랜딩 존 API를 사용하면 됩니다. 또는 콘솔에서 AWS Control Tower 대시보드의 설정 페이지로 이동하여 지역을 선택하고 랜딩 존을 업데이트하십시오.

캐나다 서부 (캘거리) 지역은 지원하지 않습니다. AWS Service Catalog이러한 이유로 AWS Control Tower의 일부 기능은 다릅니다. 가장 눈에 띄는 기능 변경은 Account Factory를 사용할 수 없다는 것입니다. 캐나다 서부 (캘거리) 를 홈 지역으로 선택하는 경우 계정 업데이트, 계정 자동화 설정 및 Service Catalog와 관련된 기타 프로세스의 절차는 다른 지역과 다릅니다.

프로비저닝 계정

캐나다 서부 (캘거리) 지역에서 새 계정을 생성하고 프로비저닝하려면 AWS Control Tower 외부에서 계정을 생성한 다음 등록된 OU에 등록하는 것이 좋습니다. 자세한 내용은 기존 계정 등록 및 계정 등록 단계를 참조하십시오.

Service Catalog API는 캐나다 서부 (캘거리) 지역에서 사용할 수 없습니다. Service Catalog API를 통한 AWS Control Tower의 자동 계정 프로비저닝에 나와 있는 예제 스크립트는 사용할 수 없습니다.

AWS Control Tower에 대한 다른 기본 종속성이 없기 때문에 캐나다 서부 (캘거리) 에서는 AFC (어카운트 팩토리 사용자 지정), AFC (테라폼용 어카운트 팩토리), AWS 컨트롤 타워 사용자 지정 (cFCT) 을 사용할 수 없습니다. 거버넌스를 캐나다 서부 (캘거리) 지역으로 확장하는 경우, 거주 지역에서 Service Catalog를 사용할 수 있는 한, AWS Control Tower가 지원하는 모든 지역의 AFC 블루프린트를 계속 관리할 수 있습니다.

규제 항목

AWS Security Hub 서비스 관리형 표준: AWS Control Tower에 대한 사전 예방적 제어 및 제어는 캐나다 서부 (캘거리) 지역에서 사용할 수 없습니다. 예방 CT.CLOUDFORMATION.PR.1 제어는 후크 기반 사전 예방 제어를 활성화하는 데만 필요하므로 캐나다 서부 (캘거리) 에서는 사용할 수 없습니다. 에 기반한 특정 탐정 통제는 사용할 수 없습니다. AWS Config 자세한 내용은 관리 제한단원을 참조하세요.

ID 제공업체

IAM ID 센터는 캐나다 서부 (캘거리) 에서 사용할 수 없습니다. 모범 사례 권장 사항은 IAM Identity Center를 사용할 수 있는 지역에 랜딩 존을 설정하는 것입니다. 또는 캐나다 서부 (캘거리) 의 외부 ID 공급자를 사용하는 경우 계정 액세스 구성을 자체 관리할 수도 있습니다.

캐나다 서부 (캘거리) 지역에서 Service Catalog를 사용할 수 없더라도 AWS Control Tower에서 지원하는 다른 지역에는 영향을 미치지 않습니다. 이러한 차이는 거주 지역이 캐나다 서부 (캘거리) 인 경우에만 적용됩니다.

AWS Control Tower를 사용할 수 있는 AWS 지역의 전체 목록은 지역 표를 참조하십시오.

AWS Control Tower는 셀프 서비스 할당량 조정을 지원합니다.

2024년 4월 25일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 이제 Service Quotas 콘솔을 통해 셀프 서비스 할당량 조정을 지원합니다. 자세한 정보는 할당량 증가 요청을 참조하세요.

AWS Control Tower, 규제 참조 가이드 출시

2024년 4월 21일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 AWS Control Tower 환경과 관련된 규제 항목에 대한 세부 정보를 찾을 수 있는 새 문서인 규제 참조 안내서를 발표했습니다. 이전에는 이 자료가 AWS Control Tower 사용 설명서에 포함되었습니다. 규제 참조 안내서는 확장된 형식의 규제 항목을 다룹니다. 자세한 내용은 AWS Control Tower 규제 참조 안내서를 참조하십시오.

AWS Control Tower는 두 개의 사전 예방적 제어를 업데이트하고 이름을 변경합니다.

2024년 3월 26일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 Amazon Service의 업데이트에 맞춰 두 개의 사전 예방적 제어 항목의 이름을 변경했습니다. OpenSearch

• [CT.OPENSEARCH.PR.8] TLSv1.2를 사용하려면 엘라스틱서치 서비스 도메인이 필요합니다.

• [CT.OPENSEARCH.PR.16 ] TLSv1.2를 사용하려면 Amazon OpenSearch 서비스 도메인이 필요합니다.

Amazon Service의 최신 릴리스에 맞춰 이 두 컨트롤의 컨트롤 이름과 아티팩트를 업데이트했습니다. Amazon OpenSearch Service는 이제 도메인 엔드포인트 보안을 위한 전송 보안 옵션 중 전송 계층 보안 (TLS) 버전 1.3을 지원합니다.

이러한 컨트롤에 대한 TLSv1.3 지원을 추가하기 위해 컨트롤의 의도를 반영하도록 컨트롤의 아티팩트와 이름을 업데이트했습니다. 이제 서비스 도메인의 최소 TLS 버전을 평가합니다. 사용자 환경에서 이 업데이트를 수행하려면 컨트롤을 비활성화 및 활성화하여 최신 아티팩트를 배포해야 합니다.

다른 사전 예방적 제어는 이 변경의 영향을 받지 않습니다. 이러한 규제 항목을 검토하여 규제 목표를 충족하는지 확인하는 것이 좋습니다.

질문이나 문제가 있으면 AWS Support에 문의하십시오.

더 이상 사용되지 않는 제어 기능은 더 이상 사용할 수 없습니다.

2024년 3월 12일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWS Control Tower는 일부 제어 기능을 지원 중단했습니다. 이러한 컨트롤은 더 이상 사용할 수 없습니다.

• CT.ATHENA.PR.1

• CT.CODEBUILD.PR.4

• CT.AUTOSCALING.PR.3

• SH.Athena.1

• SH.Codebuild.5

• SH.AutoScaling.4

• SH.SNS.1

• SH.SNS.2

AWS Control Tower는 다음의 EnabledControl 리소스 태깅을 지원합니다. AWS CloudFormation

2024년 2월 22일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

이번 AWS Control Tower 릴리스에서는 EnabledControl 리소스의 동작을 업데이트하여 구성 가능한 제어에 더 잘 맞추고 자동화를 통해 AWS Control Tower 환경을 관리하는 기능을 개선합니다. 이번 릴리스에서는 템플릿을 사용하여 구성 가능한 EnabledControl 리소스에 태그를 추가할 수 있습니다. AWS CloudFormation 이전에는 AWS Control Tower 콘솔 및 API를 통해서만 태그를 추가할 수 있었습니다.

AWS Control Tower GetEnabledControl 및 ListTagsforResource API 운영은 EnabledControl 리소스 기능에 의존하기 때문에 이번 릴리스에서 업데이트되었습니다. EnableControl

자세한 내용은 AWS Control Tower 및 EnabledControlAWS CloudFormation사용 설명서의 EnabledControl 리소스 태깅을 참조하십시오.

AWS Control Tower는 OU 등록 및 기준에 따른 구성을 위한 API를 지원합니다.

2024년 2월 14일

(AWS Control Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

이러한 API는 통화를 통한 프로그래밍 방식의 OU 등록을 지원합니다. EnableBaseline OU에서 베이스라인을 활성화하면 OU 내 멤버 계정이 AWS Control Tower 거버넌스에 등록됩니다. 특정 주의 사항이 적용될 수 있습니다. 예를 들어, AWS Control Tower 콘솔을 통한 OU 등록은 필수 제어뿐 아니라 선택적 제어도 사용할 수 있습니다. API를 호출할 때 선택적 제어를 활성화하기 위해 추가 단계를 완료해야 할 수 있습니다.

AWS Control Tower 기준선은 OU 및 회원 계정의 AWS Control Tower 거버넌스에 대한 모범 사례를 구현합니다. 예를 들어 OU에 베이스라인을 활성화하면 OU 내 멤버 계정은 IAM Identity Center 및 필수 IAM 역할을 비롯한 AWS CloudTrail정의된 리소스 그룹을 받게 됩니다. AWS Config AWS

특정 베이스라인은 특정 AWS Control Tower 랜딩 존 버전과 호환됩니다. AWS Control Tower는 랜딩 존 설정을 변경할 때 호환되는 최신 베이스라인을 랜딩 존에 적용할 수 있습니다. 자세한 정보는 OU 기준 및 랜딩 존 버전의 호환성을 참조하세요.

이번 릴리스에는 네 가지 필수 요소가 포함되어 있습니다. 베이스라인 유형

• AWSControlTowerBaseline

• AuditBaseline

• LogArchiveBaseline

• IdentityCenterBaseline

새 API와 정의된 기준을 사용하여 OU를 등록하고 OU 프로비저닝 워크플로를 자동화할 수 있습니다. 또한 API는 이미 AWS Control Tower 거버넌스 하에 있는 OU를 관리할 수 있으므로 랜딩 존 업데이트 후 OU를 재등록할 수 있습니다. API에는 IaC (코드형 인프라) 로 OU를 관리할 수 있는 AWS CloudFormation EnabledBaseline 리소스 지원이 포함되어 있습니다.

베이스라인 API

• EnableBaseline, UpdateEnabledBaseline, DisableBaseline: OU의 기준에 따라 조치를 취하십시오.

• GetEnabledBaseline, ListEnabledBaselines: 활성화된 기준선의 구성을 검색하십시오.

• GetBaselineOperation: 특정 기본 작업의 상태를 볼 수 있습니다.

• ResetEnabledBaseline: 베이스라인을 활성화하여 OU의 리소스 드리프트를 해결합니다 (중첩된 OU 및 필수 제어 드리프트 포함). 또한 지역 거부 제어의 편차를 해결합니다. landing-zone-level

• GetBaseline, ListBaselines: AWS Control Tower 기준의 콘텐츠를 확인해 보십시오.

이러한 API에 대해 자세히 알아보려면 AWS Control Tower 사용 설명서의 기준 및 API 참조를 검토하십시오. 새 API는 GovCloud (미국) 지역을 제외하고 AWS Control Tower를 사용할 수 AWS 리전 있는 곳에서만 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 곳의 목록은 AWS 리전 표를 참조하십시오.