Janeiro a dezembro de 2021 - AWS Control Tower
Capacidade de negação da regiãoRecursos de residência de dadosO AWS Control Tower apresenta o provisionamento e a personalização de contas do TerraformNovo evento de ciclo de vida disponívelO AWS Control Tower permite OUs aninhadasDetective: controle simultâneoDuas novas regiões disponíveisDesseleção de regiãoO AWS Control Tower funciona com sistemas de gerenciamento de AWS chavesControles renomeados, funcionalidade inalteradaO AWS Control Tower escaneia SCPs diariamente para verificar se há desvioNomes personalizados para OUs e contasAWS Control Tower landing zone versão 2.7Três novas AWS regiões disponíveisGoverne somente regiões selecionadasO AWS Control Tower agora estende a governança às OUs existentes em suas AWS organizaçõesO AWS Control Tower fornece atualizações de contas em massa

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Janeiro a dezembro de 2021

Em 2021, o AWS Control Tower lançou as seguintes atualizações:

Capacidade de negação da região

30 de novembro de 2021

(Nenhuma atualização é necessária para o landing zone do AWS Control Tower.)

O AWS Control Tower agora fornece recursos de negação de regiões, que ajudam você a limitar o acesso a AWS serviços e operações para contas inscritas em seu ambiente do AWS Control Tower. O recurso de negação de região complementa os recursos existentes de seleção e desseleção de regiões no AWS Control Tower. Juntos, esses recursos ajudam você a lidar com questões regulatórias e de conformidade, ao mesmo tempo em que equilibram os custos associados à expansão para outras regiões.

Por exemplo, AWS clientes na Alemanha podem negar acesso a AWS serviços em regiões fora da região de Frankfurt. Você pode selecionar regiões restritas durante o processo de configuração do AWS Control Tower ou na página de configurações da zona de pouso. O recurso de negação de região está disponível quando você atualiza sua versão da zona de pouso do AWS Control Tower. Alguns AWS serviços estão isentos dos recursos de negação por região. Para saber mais, consulte Configurar o controle de negação de região.

Recursos de residência de dados

30 de novembro de 2021

(Nenhuma atualização é necessária para a landing zone do AWS Control Tower)

O AWS Control Tower agora oferece controles específicos para ajudar a garantir que todos os dados de clientes que você envie para AWS os serviços estejam localizados somente nas AWS regiões que você especificar. Você pode selecionar a AWS região ou regiões nas quais os dados do seu cliente são armazenados e processados. Para obter uma lista completa das AWS regiões em que o AWS Control Tower está disponível, consulte a tabela de AWS regiões.

Para controle granular, você pode aplicar controles adicionais, como Proibir conexões Amazon Virtual Private Network (VPN) ou Proibir o acesso à Internet para uma instância da Amazon VPC. Você pode ver o status de conformidade dos controles no console do AWS Control Tower. Para obter uma lista completa dos controles disponíveis, consulte a biblioteca de controles do AWS Control Tower.

O AWS Control Tower apresenta o provisionamento e a personalização de contas do Terraform

29 de novembro de 2021

(Atualização opcional para a landing zone do AWS Control Tower)

Agora você pode empregar o Terraform para provisionar e atualizar contas personalizadas por meio do AWS Control Tower, com o AWS Control Tower Account Factory for Terraform (AFT).

A AFT fornece um único pipeline de infraestrutura como código (IaC) do Terraform, que provisiona contas gerenciadas pela AWS Control Tower. As personalizações durante o provisionamento ajudam a cumprir suas políticas comerciais e de segurança, antes de você fornecer as contas aos usuários finais.

O pipeline automatizado de criação de contas do AFT monitora até que o provisionamento da conta seja concluído e, em seguida, continua, acionando módulos adicionais do Terraform que aprimoram a conta com as personalizações necessárias. Como parte adicional do processo de personalização, você pode configurar o pipeline para instalar seus próprios módulos personalizados do Terraform e pode optar por adicionar qualquer uma das opções de recursos do AFT, fornecidas AWS pelas personalizações comuns.

Comece a usar o AWS Control Tower Account Factory for Terraform seguindo as etapas fornecidas no Guia do usuário do AWS Control Tower e baixando o AFT para sua instância do Terraform. Implante o AWS Control Tower Account Factory for Terraform (AFT) O AFT é compatível com as distribuições Terraform Cloud, Terraform Enterprise e Terraform Open Source.

Novo evento de ciclo de vida disponível

18 de novembro de 2021

(Nenhuma atualização é necessária para a landing zone do AWS Control Tower)

O PrecheckOrganizationalUnit evento registra se algum recurso impede o sucesso da tarefa de governança Extend, incluindo recursos em OUs aninhadas. Para ter mais informações, consulte PrecheckOrganizationalUnit.

O AWS Control Tower permite OUs aninhadas

16 de novembro de 2021

(Nenhuma atualização é necessária para a landing zone do AWS Control Tower)

O AWS Control Tower agora permite que você inclua OUs aninhadas como parte da sua landing zone.

O AWS Control Tower fornece suporte para unidades organizacionais (OUs) aninhadas, permitindo que você organize contas em vários níveis hierárquicos e aplique controles preventivos hierarquicamente. Você pode registrar OUs contendo OUs aninhadas, criar e registrar OUs em OUs principais e ativar controles em qualquer OU registrada, independentemente da profundidade. Para oferecer suporte a essa funcionalidade, o console mostra o número de contas controladas e OUs.

Com OUs aninhadas, você pode alinhar suas OUs do AWS Control Tower à estratégia de AWS várias contas e reduzir o tempo necessário para habilitar controles em várias OUs, aplicando controles no nível da OU principal.

Considerações importantes

  1. Você pode registrar OUs existentes de vários níveis no AWS Control Tower, uma OU por vez, começando pela OU de nível superior e depois descendo pela árvore. Para ter mais informações, consulte Expandir de uma estrutura de OU plana para uma estrutura de OU aninhada.

  2. As contas diretamente em uma OU registrada são registradas automaticamente. As contas mais abaixo na árvore podem ser registradas registrando sua OU principal imediata.

  3. Os controles preventivos (SCPs) são herdados automaticamente na hierarquia; os SCPs aplicados ao pai são herdados por todas as OUs aninhadas.

  4. Os controles Detective (regras de AWS configuração) NÃO são herdados automaticamente.

  5. A conformidade com os controles de detetive é relatada por cada UO.

  6. O desvio de SCP em uma OU afeta todas as contas e OUs abaixo dela.

  7. Você não pode criar novas OUs aninhadas na OU de segurança (OU principal).

Detective: controle simultâneo

5 de novembro de 2021

(Atualização opcional para a landing zone do AWS Control Tower)

Os controles de detetive do AWS Control Tower agora oferecem suporte a operações simultâneas para controles de detetive, melhorando a facilidade de uso e o desempenho. Você pode ativar vários controles de detetive sem esperar que as operações de controle individuais sejam concluídas.

Funcionalidade suportada:

  • Ative diferentes controles de detecção na mesma UO (por exemplo, detecte se o MFA para o usuário raiz está habilitado e detecte se o acesso público de gravação aos buckets do Amazon S3 é permitido).

  • Ative diferentes controles de detetive em diferentes OUs, simultaneamente.

  • As mensagens de erro do Guardrail foram aprimoradas para fornecer orientação adicional para operações de concorrência de controle suportadas.

Não suportado nesta versão:

  • Não há suporte para ativar o mesmo controle de detetive em várias OUs simultaneamente.

  • A simultaneidade de controle preventivo não é suportada.

Você pode experimentar as melhorias de simultaneidade do controle de detetives em todas as versões do AWS Control Tower. É recomendável que os clientes que ainda não usam a versão 2.7 realizem uma atualização da landing zone para aproveitar outros recursos, como seleção e desseleção de regiões, que estão disponíveis na versão mais recente.

Duas novas regiões disponíveis

29 de julho de 2021

(Atualização necessária para a landing zone do AWS Control Tower)

O AWS Control Tower agora está disponível em duas AWS regiões adicionais: América do Sul (São Paulo) e Europa (Paris). Essa atualização expande a disponibilidade do AWS Control Tower para 15 AWS regiões.

Se você é novo no AWS Control Tower, pode iniciá-lo imediatamente em qualquer uma das regiões suportadas. Durante o lançamento, você pode selecionar as regiões nas quais deseja que o AWS Control Tower crie e controle seu ambiente de várias contas.

Se você já tem um ambiente do AWS Control Tower e deseja estender ou remover os recursos de governança do AWS Control Tower em uma ou mais regiões suportadas, acesse a página Landing Zone Settings no painel do AWS Control Tower e selecione as regiões. Depois de atualizar sua landing zone, você deve então atualizar todas as contas que são governadas pelo AWS Control Tower.

Desseleção de região

29 de julho de 2021

(Atualização opcional para a landing zone do AWS Control Tower)

A desseleção da região da AWS Control Tower aprimora sua capacidade de gerenciar a área geográfica dos seus recursos da AWS Control Tower. Você pode desmarcar regiões que você não gostaria mais que o AWS Control Tower governasse. Esse recurso oferece a capacidade de abordar questões regulatórias e de conformidade e, ao mesmo tempo, equilibrar os custos associados à expansão para outras regiões.

A desseleção da região está disponível quando você atualiza sua versão da zona de pouso do AWS Control Tower.

Quando você usa o Account Factory para criar uma nova conta ou inscrever uma conta de membro preexistente, ou quando seleciona Extend Governance para inscrever contas em uma unidade organizacional preexistente, o AWS Control Tower implanta seus recursos de governança, que incluem registro, monitoramento e controles centralizados, nas regiões escolhidas nas contas. A opção de desmarcar uma região e remover a governança do AWS Control Tower dessa região remove essa funcionalidade de governança, mas não inibe a capacidade dos usuários de implantar AWS recursos ou cargas de trabalho nessas regiões.

O AWS Control Tower funciona com sistemas de gerenciamento de AWS chaves

28 de julho de 2021

(Atualização opcional para a landing zone do AWS Control Tower)

O AWS Control Tower oferece a opção de usar uma AWS chave do Key Management Service (AWS KMS). Uma chave é fornecida e gerenciada por você para proteger os serviços que o AWS Control Tower implanta, incluindo AWS CloudTrail AWS Config, e os dados associados do Amazon S3. AWS A criptografia KMS é um nível aprimorado de criptografia em relação à criptografia SSE-S3 que o AWS Control Tower usa por padrão.

A integração do suporte do AWS KMS ao AWS Control Tower está alinhada às melhores práticas de segurança AWS básicas, que recomendam uma camada adicional de segurança para seus arquivos de log confidenciais. Você deve usar chaves AWS gerenciadas pelo KMS (SSE-KMS) para criptografia em repouso. AWS O suporte à criptografia do KMS está disponível quando você configura uma nova zona de pouso ou quando atualiza sua zona de pouso existente do AWS Control Tower.

Para configurar essa funcionalidade, você pode selecionar a Configuração da chave KMS durante a configuração inicial da landing zone. Você pode escolher uma chave KMS existente ou selecionar um botão que o direciona para o console AWS KMS para criar uma nova. Você também tem a flexibilidade de mudar da criptografia padrão para SSE-KMS ou para uma chave SSE-KMS diferente.

Para uma landing zone existente do AWS Control Tower, você pode realizar uma atualização para começar a usar as chaves do AWS KMS.

Controles renomeados, funcionalidade inalterada

26 de julho de 2021

(Nenhuma atualização é necessária para a landing zone do AWS Control Tower)

O AWS Control Tower está revisando determinados nomes e descrições de controle para melhor refletir as intenções políticas do controle. Os nomes e descrições revisados ajudam você a entender de forma mais intuitiva as formas pelas quais os controles incorporam as políticas de suas contas. Por exemplo, alteramos parte dos nomes dos controles de detetive de “Não permitir” para “Detectar” porque o controle de detetive em si não interrompe uma ação específica, ele só detecta violações de políticas e fornece alertas por meio do painel.

A funcionalidade de controle, a orientação e a implementação permanecem inalteradas. Somente os nomes e descrições dos controles foram revisados.

O AWS Control Tower escaneia SCPs diariamente para verificar se há desvio

11 de maio de 2021

(Nenhuma atualização é necessária para a landing zone do AWS Control Tower)

Agora, o AWS Control Tower executa escaneamentos automatizados diários de seus SCPs gerenciados para verificar se os controles correspondentes foram aplicados corretamente e se não foram alterados. Se um escaneamento descobrir um desvio, você receberá uma notificação. O AWS Control Tower envia apenas uma notificação por problema de deriva, portanto, se sua landing zone já estiver em um estado de deriva, você não receberá notificações adicionais a menos que um novo item de deriva seja encontrado.

Nomes personalizados para OUs e contas

16 de abril de 2021

(Nenhuma atualização é necessária para a landing zone do AWS Control Tower)

O AWS Control Tower agora permite que você personalize a nomenclatura da sua landing zone. Você pode manter os nomes que o AWS Control Tower recomenda para as unidades organizacionais (OUs) e contas principais, ou você pode modificar esses nomes durante o processo inicial de configuração da landing zone.

Os nomes padrão que o AWS Control Tower fornece para as OUs e as contas principais correspondem à orientação de melhores práticas de AWS várias contas. No entanto, se sua empresa tiver políticas de nomenclatura específicas ou se você já tiver uma OU ou conta existente com o mesmo nome recomendado, a nova funcionalidade de nomenclatura de conta e UO oferece a flexibilidade de lidar com essas restrições.

Separadamente dessa mudança de fluxo de trabalho durante a configuração, a OU anteriormente conhecida como Core OU agora é chamada de Security OU, e a OU anteriormente conhecida como Custom OU agora é chamada de Sandbox OU. Fizemos essa alteração para melhorar nosso alinhamento com as diretrizes gerais de AWS melhores práticas para nomenclatura.

Novos clientes verão esses novos nomes de UO. Os clientes existentes continuarão vendo os nomes originais dessas OUs. Você pode encontrar algumas inconsistências na nomenclatura da UO enquanto atualizamos nossa documentação para os novos nomes.

Para começar a usar o AWS Control Tower a partir do AWS Management Console, acesse o console do AWS Control Tower e selecione Set up landing zone no canto superior direito. Para obter informações adicionais, você pode ler sobre o planejamento da sua landing zone do AWS Control Tower.

AWS Control Tower landing zone versão 2.7

8 de abril de 2021

(É necessária uma atualização para a landing zone do AWS Control Tower para a versão 2.7. Para obter informações, consulteAtualizar sua zona de destino)

Com a versão 2.7 do AWS Control Tower, a AWS Control Tower introduz quatro novos controles preventivos obrigatórios do Log Archive que implementam políticas somente nos recursos da AWS Control Tower. Ajustamos a orientação sobre quatro controles existentes do Log Archive de obrigatórios para eletivos, porque eles definem políticas para recursos fora do AWS Control Tower. Essa mudança e expansão de controle oferecem a capacidade de separar a governança do Log Archive para recursos dentro da AWS Control Tower da governança de recursos fora da AWS Control Tower.

Os quatro controles alterados podem ser usados em conjunto com os novos controles obrigatórios para fornecer governança a um conjunto mais amplo de arquivos de AWS registros. Os ambientes existentes do AWS Control Tower manterão esses quatro controles alterados habilitados automaticamente, para garantir a consistência do ambiente; no entanto, esses controles eletivos agora podem ser desativados. Os novos ambientes do AWS Control Tower devem habilitar todos os controles eletivos. Os ambientes existentes devem desativar os controles anteriormente obrigatórios antes de adicionar criptografia aos buckets do Amazon S3 que não são implantados pelo AWS Control Tower.

Novos controles obrigatórios:

  • Proibir alterações na configuração de criptografia dos buckets S3 criados pelo AWS Control Tower no arquivo de registros

  • Proibir alterações na configuração de registro para buckets S3 criados pelo AWS Control Tower no arquivo de registros

  • Proibir alterações na política de bucket para buckets S3 criados pelo AWS Control Tower no arquivo de registros

  • Proibir alterações na configuração do ciclo de vida dos buckets S3 criados pelo AWS Control Tower no arquivo de registros

A orientação mudou de obrigatória para eletiva:

  • Proibir alterações na configuração de criptografia para todos os buckets do Amazon S3 [Anteriormente: Ativar criptografia em repouso para arquivamento de registros]

  • Proibir alterações na configuração de registro para todos os buckets do Amazon S3 [Anteriormente: habilitar o registro de acesso para arquivamento de registros]

  • Proibir alterações na política de bucket para todos os buckets do Amazon S3 [Anteriormente: Proibir alterações de política no arquivamento de registros]

  • Proibir alterações na configuração do ciclo de vida de todos os buckets do Amazon S3 [Anteriormente: defina uma política de retenção para o arquivamento de registros]

A versão 2.7 do AWS Control Tower inclui alterações no esquema de landing zone da AWS Control Tower que podem causar incompatibilidade com versões anteriores após a atualização para 2.7.

  • Em particular, a versão 2.7 do AWS Control Tower é ativada BlockPublicAccess automaticamente em buckets S3 implantados pela AWS Control Tower. Você pode desativar esse padrão se sua carga de trabalho exigir acesso em várias contas. Para obter mais informações sobre o que acontece com a BlockPublicaccess opção ativada, consulte Bloqueio do acesso público ao seu armazenamento no Amazon S3.

  • A versão 2.7 do AWS Control Tower inclui a exigência de HTTPS. Todas as solicitações enviadas para buckets S3 implantados pelo AWS Control Tower devem usar Secure Socket Layer (SSL). Somente solicitações HTTPS podem ser aprovadas. Se você usa HTTP (sem SSL) como um endpoint para enviar as solicitações, essa alteração gera um erro de acesso negado, o que pode interromper seu fluxo de trabalho. Essa alteração não pode ser revertida após a atualização 2.7 em sua landing zone.

    Recomendamos que você altere suas solicitações para usar TLS em vez de HTTP.

Três novas AWS regiões disponíveis

8 de abril de 2021

(Atualização necessária para a landing zone do AWS Control Tower)

O AWS Control Tower está disponível em três AWS regiões adicionais: região Ásia-Pacífico (Tóquio), região Ásia-Pacífico (Seul) e região Ásia-Pacífico (Mumbai). É necessária uma atualização da landing zone para a versão 2.7 para expandir a governança nessas regiões.

Sua landing zone não é expandida automaticamente para essas regiões quando você realiza a atualização para a versão 2.7. Você deve visualizá-las e selecioná-las na tabela Regiões para inclusão.

Governe somente regiões selecionadas

19 de fevereiro de 2021

(Nenhuma atualização é necessária para a landing zone do AWS Control Tower)

A seleção de regiões da AWS Control Tower oferece melhor capacidade de gerenciar a área geográfica dos seus recursos da AWS Control Tower. Para expandir o número de regiões nas quais você hospeda AWS recursos ou cargas de trabalho — por motivos de conformidade, regulamentação, custo ou outros — agora você pode selecionar as regiões adicionais a serem governadas.

A seleção da região está disponível quando você configura uma nova zona de pouso ou atualiza sua versão da zona de pouso do AWS Control Tower. Quando você usa o Account Factory para criar uma nova conta ou inscrever uma conta de membro preexistente, ou quando usa o Extend Governance para inscrever contas em uma unidade organizacional preexistente, o AWS Control Tower implanta seus recursos de governança de registro, monitoramento e controles centralizados nas regiões escolhidas nas contas. Para obter mais informações sobre a seleção de regiões, consulteConfigure suas regiões do AWS Control Tower.

O AWS Control Tower agora estende a governança às OUs existentes em suas AWS organizações

28 de janeiro de 2021

(Nenhuma atualização é necessária para a landing zone do AWS Control Tower)

Estenda a governança às unidades organizacionais (OUs) existentes (aquelas que não estão na AWS Control Tower) a partir do console da AWS Control Tower. Com esse recurso, você pode colocar OUs de alto nível e contas incluídas sob a governança do AWS Control Tower. Para obter informações sobre como estender a governança a uma OU inteira, consulteRegistre uma unidade organizacional existente no AWS Control Tower.

Quando você registra uma OU, o AWS Control Tower executa uma série de verificações para garantir a extensão bem-sucedida da governança e a inscrição de contas na OU. Para obter mais informações sobre problemas comuns associados ao registro inicial de uma OU, consulteCausas comuns de falha durante o registro ou o novo registro.

Você também pode visitar a página do produto AWS Control Tower ou assistir YouTube a este vídeo sobre como começar a usar o AWS Control Tower for AWS Organizations.

O AWS Control Tower fornece atualizações de contas em massa

28 de janeiro de 2021

(Nenhuma atualização é necessária para a landing zone do AWS Control Tower)

Com o recurso de atualização em massa, agora você pode atualizar todas as contas em uma unidade AWS Organizations organizacional (OU) registrada contendo até 300 contas, com um único clique, no painel do AWS Control Tower. Isso é particularmente útil nos casos em que você atualiza sua zona de pouso do AWS Control Tower e também deve atualizar suas contas inscritas para alinhá-las à versão atual da landing zone.

Esse recurso também ajuda você a manter suas contas atualizadas quando você atualiza sua zona de pouso do AWS Control Tower para expandir para novas regiões, ou quando você deseja registrar novamente uma OU para garantir que todas as contas nessa OU tenham os controles mais recentes aplicados. A atualização em massa da conta elimina a necessidade de atualizar uma conta por vez ou usar um script externo para realizar a atualização em várias contas.

Para obter informações sobre a atualização de um landing zone, consulteAtualizar sua zona de destino.

Para obter informações sobre como registrar ou registrar novamente uma OU, consulte. Registre uma unidade organizacional existente no AWS Control Tower