As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Notas de lançamento do AWS Control Tower
<a name="release-notes"></a>

As seções a seguir mostram detalhes sobre os lançamentos do AWS Control Tower, desde o início do serviço. Alguns lançamentos exigem uma atualização para uma zona de pouso do AWS Control Tower, e outros lançamentos são incorporados automaticamente ao serviço. 

Os recursos e lançamentos são listados em ordem cronológica inversa (os mais recentes primeiro) com base na data em que foram anunciados oficialmente ao público.

**Topics**
+ [Janeiro de 2026 - presente](2026-all.md)
+ [Janeiro de 2025 - dezembro de 2025](2025-all.md)
+ [Janeiro - dezembro de 2024](2024-all.md)
+ [De janeiro a dezembro de 2023](2023-all.md)
+ [De janeiro a dezembro de 2022](2022-all.md)
+ [De janeiro a dezembro de 2021](2021-all.md)
+ [De janeiro a dezembro de 2020](2020-all.md)
+ [De junho a dezembro de 2019](2019-all.md)

# Janeiro de 2026 - presente
<a name="2026-all"></a>

Desde janeiro de 2026, o AWS Control Tower lançou as seguintes atualizações:
+ [AWS Control Tower disponível na Nuvem Soberana Europeia](#eusc-region)

## AWS Control Tower disponível na Nuvem Soberana Europeia
<a name="eusc-region"></a>

**13 de janeiro de 2026**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora está disponível na Nuvem Soberana Europeia. Para obter mais informações sobre a AWS Control Tower na European Sovereign Cloud, consulte o [Guia do usuário da AWS Control Tower para a European Sovereign](https://docs.aws.eu/esc/latest/userguide/controltower.html) Cloud.

# Janeiro de 2025 - dezembro de 2025
<a name="2025-all"></a>

Desde janeiro de 2025, o AWS Control Tower lançou as seguintes atualizações:
+ [AWS Control Tower landing zone versão 4.0](#lz-40)
+ [O AWS Control Tower adiciona 279 AWS Config controles adicionais ao catálogo de controle](#additional-config-controls)
+ [AWS Control Tower disponível na região Ásia-Pacífico (Nova Zelândia)](#akl-region)
+ [O AWS Control Tower oferece suporte ao registro automático de contas](#auto-enroll)
+ [AWS Control Tower atualiza a versão do Python](#updated-python)
+ [O AWS Control Tower oferece suporte a IPv6 endereços](#ct-ipv6)
+ [AWS Control Tower reduz o desvio](#no-attached-scp-drift)

  [Account Factory for Terraform versão 1.15.0 disponível](#aft-1-15)
+ [Controles atualizados com tipos de instância Nitro](#nitro-updates)
+ [AWS Control Tower disponível na região da Ásia-Pacífico (Taipei)](#new-region-tpe)
+ [O AWS Control Tower oferece suporte PrivateLink](#ct-privatelink)
+ [Suporte para estruturas adicionais do setor, metadados atualizados](#hg-1-5)
+ [Controles vinculados a serviços AWS Config](#managed-config-controls)
+ [A visualização do console de controles habilitados oferece visibilidade centralizada](#enabled-controls-page)
+ [O Account Factory for Terraform (AFT) é compatível com novas configurações na implantação](#aft-configurations)
+ [O AWS Control Tower apresenta relatórios em nível de conta para a linha de base APIs](#enabled-baseline-drift)
+ [O AWS Control Tower está disponível nas regiões AWS Ásia-Pacífico (Tailândia) e México (Central)](#new-regions-bkk-qro)
+ [AWS Config Controles adicionais disponíveis](#new-config-controls)
+ [Cancele o registro e exclua ações do OUs](#deregister-and-delete)
+ [O Control Catalog suporta IPv6 endereços](#ipv6)

## AWS Control Tower landing zone versão 4.0
<a name="lz-40"></a>

**17 de novembro de 2025**

(É necessária uma atualização para a landing zone do AWS Control Tower para a versão 4.0. Para obter informações, consulte[Atualizar a zona de pouso](update-controltower.md)).

A landing zone 4.0 da AWS Control Tower é uma grande atualização que introduz uma experiência flexível somente para controles, permitindo que os clientes personalizem a forma como implementam e gerenciam seu ambiente multicontas da AWS. Essa versão muda significativamente a forma como o AWS Control Tower se integra aos serviços da AWS e gerencia os recursos organizacionais. Para obter informações sobre as principais mudanças, consulte[Guia de migração do Landing Zone v4.0](landing-zone-v4-migration-guide.md).

**Principais mudanças e recursos**
+ Integrações de serviços opcionais - o landing zone 4.0 permite que você escolha quais integrações de serviços habilitar em seu ambiente. A desativação de uma integração limpará os recursos implantados pelo AWS Control Tower específicos para essa integração nas contas gerenciadas e nas contas centrais de integração de serviços. Agora você pode ativar ou desativar seletivamente as integrações de serviços: 
  + AWS Config
  + AWS CloudTrail
  + Funções de segurança
  + AWS Backup

*Importante: Se você quiser desativar a integração com o AWS Config, você também deve desativar as integrações Security Roles, IAM Identity Center e AWS Backup.*
+ Recursos dedicados em vez de usar recursos compartilhados - o landing zone 4.0 agora cria recursos dedicados para os principais serviços. Essa separação fornece melhor isolamento de recursos e controle mais granular sobre os recursos específicos do serviço:
  + Buckets S3 separados para o AWS Config
  + Buckets S3 separados para AWS CloudTrail
  + Tópicos individuais do SNS para cada serviço
+ Estrutura organizacional flexível - o landing zone 4.0 remove os requisitos anteriores da estrutura organizacional:
  + Você não precisa mais usar uma OU de segurança
  + Você pode definir sua própria estrutura organizacional
  + O único requisito é que todas as contas do hub estejam na mesma OU
+ Experiência de controles dedicada - Agora você pode criar uma configuração mínima de landing zone que inclui:
  + Integração básica com o AWS Organizations
  + Capacidade de ativar controles sem ativar a `AWSControlTowerBaseline` linha de base 
  + Configurações personalizadas de governança com base em suas necessidades
+ AWS Config Changes — Landing Zone 4.0 introduz várias melhorias na implementação da integração do AWS Config:
  + Uma nova linha de base do Config spoke especificamente para controles de detetive
  + Agregador de configuração vinculado ao serviço (SLCA) na conta do Config hub
  + Substituição da organização tradicional e dos agregadores de contas
+ Manifesto opcional:
  + O campo do manifesto agora é opcional, permitindo que você:
    + Crie zonas de pouso sem nenhuma integração de serviços
    + Mais flexibilidade na configuração inicial
    + Opções de implantação personalizadas

## O AWS Control Tower adiciona 279 AWS Config controles adicionais ao catálogo de controle
<a name="additional-config-controls"></a>

**14 de novembro de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora inclui 279 AWS Config controles adicionais como parte do Catálogo de Controle. Você pode visualizar os controles no console do AWS Control Tower e por meio do APIs.

Certos controles têm relações com outros controles. Essas relações também são expressas no console do AWS Control Tower e no APIs. Os tipos de relacionamento incluem **complementar**, **mutuamente exclusivo** e **alternativo**.

## AWS Control Tower disponível na região Ásia-Pacífico (Nova Zelândia)
<a name="akl-region"></a>

**28 de outubro de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora está disponível na região Ásia-Pacífico (Nova Zelândia).

Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na [Tabela de regiões da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower oferece suporte ao registro automático de contas
<a name="auto-enroll"></a>

**15 de outubro de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Para clientes que operam a versão 3.1 ou superior da zona de pouso da AWS Control Tower, a AWS Control Tower agora permite a inscrição automática de contas em OUs. Se você optar pela inscrição automática de contas, o AWS Control Tower aplica os recursos e controles básicos habilitados pela UO a uma conta quando você a move para uma nova UO. Os controles e as linhas de base da UO anterior são removidos. Na maioria dos casos, nenhum desvio é criado por essa ação.

**Para ativar a inscrição automática:** **você pode selecionar a inscrição automática de contas na página de **configurações** da landing zone no console da AWS Control Tower, ou ligando para a AWS Control Tower `CreateLandingZone` ou `UpdateLandingZone` APIs, com o valor do `RemediationType` parâmetro definido como Inheritance Drift.**

**Para aplicar a inscrição automática:** depois de selecionar essa opção na sua página de **configurações**, você pode mover uma conta por meio do AWS Organizations console, da AWS Organizations `MoveAccount` API ou do console do AWS Control Tower.

**Para cancelar o registro de uma conta com inscrição automática:** se você mover uma conta para fora de uma UO registrada, o AWS Control Tower removerá automaticamente todos os recursos e controles básicos implantados.

Para obter mais informações sobre o ajuste de escala automático, consulte [Opcionalmente, configure a inscrição automática para contas](configure-auto-enroll.md).

Essa versão também inclui uma atualização para uma política gerenciada e uma nova política gerenciada. Atualizamos [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//controltower/latest/userguide/managed-policies-table.html)e adicionamos o novo [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com//controltower/latest/userguide/managed-policies-table.html).

Atualizamos o AWS Control Tower `CreateLandingZone` e `UpdateLandingZone` APIs adicionamos um novo`RemediationType`, chamado`Inheritance Drift`.

## AWS Control Tower atualiza a versão do Python
<a name="updated-python"></a>

**3 de setembro de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A versão 3.9 do Python está obsoleta. O AWS Control Tower atualizou as versões do Python em seus ambientes do AWS Control Tower. Nenhuma ação é necessária e essa atualização não afeta suas workloads existentes. 

## AWS Control Tower reduz o desvio
<a name="no-attached-scp-drift"></a>

 **20 de agosto de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower atualizou a funcionalidade do desvio da política de controle de serviços (SCP). Com essa versão, dois tipos de mudança de governança são gerenciados diretamente pelo AWS Control Tower e não causam mais desvios em seu ambiente. 

**Dois tipos de desvios de governança removidos**
+ **SCP anexado à UO gerenciada**: esse tipo de desvio ocorria quando uma SCP para um controle era anexada a qualquer outra UO. Essa ocorrência era especialmente comum quando você atualizava OUs de fora do console do AWS Control Tower.
+ **SCP vinculado à conta de membro**: esse tipo de desvio geralmente ocorria quando um SCP de um controle era vinculado a uma conta de fora do console do AWS Control Tower.

Consulte mais informações sobre desvios em [Detect and resolve drift in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html).

## O AWS Control Tower oferece suporte a IPv6 endereços
<a name="ct-ipv6"></a>

**18 de agosto de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A API do AWS Control Tower agora oferece suporte a endereços do Protocolo de Internet versão 6 (IPv6) por meio de nossos novos endpoints de pilha dupla. O suporte existente para endpoints IPv4 permanece disponível para compatibilidade com versões anteriores. *Os novos domínios de pilha dupla estão disponíveis [na Internet](https://docs.aws.amazon.com/general/latest/gr/controlcatalog.html) ou [em uma Amazon Virtual Private Cloud (VPC) usando](https://docs.aws.amazon.com/controlcatalog/latest/userguide/vpc-interface-endpoints.html). [AWS PrivateLink](https://aws.amazon.com/privatelink/)*

## Account Factory for Terraform versão 1.15.0 disponível
<a name="aft-1-15"></a>

 **28 de julho de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A versão 1.15.0 do Account Factory for Terraform (AFT) do AWS Control Tower está disponível. Para obter mais informações, consulte [o GitHub repositório AFT](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases/tag/1.15.0).

## Controles atualizados com tipos de instância Nitro
<a name="nitro-updates"></a>

 **24 de julho de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower atualizou os oito controles proativos no Catálogo de Controle (anteriormente chamado de Biblioteca de Controle) que aplicam os tipos de instância do Amazon EC2. Essa atualização permite instanciar alguns novos tipos de instância do Nitro e remove alguns tipos de instância obsoletos da *série u*. 

**Controles atualizados**
+ [https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-10-description](https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-10-description)
+ [https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-11-description](https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-11-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-15-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-15-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-16-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-16-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-17-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-17-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-18-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-18-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-19-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-19-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-20-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-20-description)

**Novos tipos de instância disponíveis**
+ `c8gd`
+ `c8gn`
+ `i7i`
+ `m8gd`
+ `p6-b200`
+ `r8gd`

**Tipos de instância removidos**
+ `u-12tb1`
+ `u-18tb1`
+ `u-24tb1`
+ `u-9tb1`

Os controles atualizados estão disponíveis em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Consulte uma lista de Regiões em que o AWS Control Tower está disponível na [Tabela de Região da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower disponível na região da Ásia-Pacífico (Taipei)
<a name="new-region-tpe"></a>

**23 de julho de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora está disponível na região da Ásia-Pacífico (Taipei):

Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na [Tabela de regiões da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower oferece suporte PrivateLink
<a name="ct-privatelink"></a>

 **30 de junho de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte a [AWS PrivateLink](https://aws.amazon.com/privatelink/)**. Você pode invocar o AWS Control Tower e o Control Catalog APIs de dentro da sua Amazon Virtual Private Cloud (VPC) sem atravessar a Internet pública. AWS PrivateLink fornece conectividade privada entre nuvens privadas virtuais (VPCs), serviços e recursos suportados e suas redes locais. AWS PrivateLink o suporte para o AWS Control Tower está disponível em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. 

## Suporte para estruturas adicionais do setor, metadados atualizados
<a name="hg-1-5"></a>

**12 de junho de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Com esse lançamento, o AWS Control Tower se expande para incluir suporte para 10 estruturas do setor. Para obter uma lista de estruturas, consulte [Estruturas compatíveis](https://docs.aws.amazon.com//controltower/latest/controlreference/frameworks-supported.html).

Por exemplo, você pode começar navegando até a página do Control Catalog no console do AWS Control Tower e pesquisando uma estrutura, como **PCI-DSS-v4.0**, para visualizar todos os controles relacionados a essa estrutura. Ou pode examinar controles e estruturas de forma programática, chamando a nova API [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControlMappings.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControlMappings.html).

As definições de metadados associadas aos controles estão mudando para melhor apoiar essas estruturas adicionais do setor. As alterações nos metadados podem afetar a forma como você avalia os controles para habilitação. Por exemplo, os valores dos metadados NIST, PCI e CIS podem ter sido alterados. Recomendamos que você *revise os mapeamentos* dos controles habilitados na página **Detalhes do controle** no console.

No console e na API, introduzimos três novos campos de metadados. Coletivamente, esses campos descrevem uma hierarquia que ajuda você a entender como categorizar e habilitar controles. Os campos são: **Domínio**, **Objetivo** e [https://docs.aws.amazon.com//controltower/latest/controlreference/common-controls-list.html](https://docs.aws.amazon.com//controltower/latest/controlreference/common-controls-list.html). Redefinimos nossos [objetivos de controle](https://docs.aws.amazon.com/controltower/latest/controlreference/control-catalog-objectives.html) para nos alinharmos melhor ao escopo mais amplo das estruturas do setor que estão disponíveis. Para obter mais informações sobre essa hierarquia, consulte [Visão geral da ontologia](https://docs.aws.amazon.com/controlcatalog/latest/userguide/ontology-overview.html).
+ Essas alterações de metadados são refletidas no console do AWS Control Tower, e a experiência do console é consistente em toda a AWS Control Tower e nos AWS Config consoles.
+ Para visualizar as informações de controle no console do AWS Control Tower, você deve adicionar permissões `controlcatalog` adicionais às suas políticas do IAM. Consulte mais informações em [Permissões necessárias para usar o console do AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/additional-console-required-permissions.html).
+ Cada controle agora tem um novo campo chamado `GovernedResources`, que mostra os tipos de recursos que o controle governa. Em alguns casos, esse campo mostra o prefixo do serviço para os recursos e, em outras instâncias, pode estar em branco. Para obter mais informações, consulte [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) e [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html).

Com esta versão, renomeamos a *Controls Library* para *Control Catalog*, para manter a consistência com outras terminologias.

## Controles vinculados a serviços AWS Config
<a name="managed-config-controls"></a>

 **12 de junho de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A AWS Control Tower anuncia o suporte para que os controles de detetive da AWS Control Tower sejam implantados como regras vinculadas a serviços. AWS Config 

Com essa versão, o AWS Control Tower agora implanta regras de Config vinculadas a serviços diretamente em suas contas inscritas, substituindo o método anterior de implantação por conjuntos de pilhas. AWS CloudFormation Essa mudança melhora significativamente a velocidade de implantação. Além disso, essas regras de Configuração vinculadas a serviços ajudam a garantir a governança consistente de seus recursos, pois evitam desvios de configuração não intencionais que podem ser causados por alterações manuais nos conjuntos de pilhas ou nas regras do Config. CloudFormation 

**No futuro, todos os controles do AWS Control Tower implementados por AWS Config regras serão implantados com esse mecanismo, que chama diretamente o. AWS Config APIs**

**Importante**  
Antes de adotar as regras do Config vinculadas ao serviço, revise as personalizações existentes, como correções, que você fez nas regras do Config fora do AWS Control Tower, pois essas personalizações serão removidas durante a transição. Eles AWS Config APIs não oferecem suporte à adição de configurações de remediação para regras vinculadas a serviços AWS Config . Consulte [https://docs.aws.amazon.com/config/latest/APIReference/API_PutRemediationConfigurations.html](https://docs.aws.amazon.com/config/latest/APIReference/API_PutRemediationConfigurations.html).

**Detalhes e ação necessária**
+ Quando você **atualiza** ou **redefine** sua zona de pouso, o AWS Control Tower atualiza os controles **obrigatórios** que regem a UO de segurança. **Para concluir a atualização, você também deve **redefinir** cada um dos controles de detetive que são implementados com AWS Config regras ou registrar novamente a OU.** 
+ O escopo completo dessa atualização se aplica a você se a versão da sua zona de pouso do AWS Control Tower for 3.2 ou superior. Quando você aplica essa atualização, suas AWS Config regras existentes são alteradas para se tornarem regras de Config gerenciadas pelo serviço, junto com o novo método de implantação.
+ Se sua zona de pouso for a versão 3.1 ou inferior, todas as novas regras de Config serão implantadas com o novo método, não mais com Stack Sets. Suas regras de Config existentes NÃO são atualizadas para se tornarem regras de Config gerenciadas pelo serviço. Elas permanecerão do tipo padrão.
+ Você pode identificar as regras de configuração vinculadas ao serviço pelo ARN do recurso, que tem o formato:

  ```
  arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*
  ```

A funcionalidade pretendida dos controles, quando implementada por AWS Config regras vinculadas a serviços, não mudou. As regras de Config do detetive e vinculadas ao serviço no AWS Control Tower podem identificar recursos não compatíveis em suas contas, como violações de políticas, e fornecer alertas por meio do painel. Para manter a consistência, evitar desvios na configuração e simplificar a experiência geral do usuário, essas regras agora podem ser modificadas somente por meio do AWS Control Tower.

Como parte dessa versão, adicionamos quatro novas permissões à política da função vinculada ao serviço (SLR) [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSServiceRoleForAWSControlTower](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSServiceRoleForAWSControlTower), para que você possa ativar e desativar AWS Config as regras vinculadas ao serviço para suas contas inscritas.

```
config:DescribeConfigRules
config:TagResource
config:PutConfigRule
config:DeleteConfigRule
```

## A visualização do console de controles habilitados oferece visibilidade centralizada
<a name="enabled-controls-page"></a>

**21 de maio de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower adicionou uma nova página no console que exibe todos os seus controles habilitados em uma única visualização centralizada. Anteriormente, os controles eram visíveis somente com a conta ou UO na qual estavam habilitados. A visão consolidada facilita a identificação de lacunas em sua governança de controle, em grande escala.

Na página **Controles habilitados**, você pode filtrar os controles de acordo com o comportamento: Preventivo, Detetive ou Proativo. Você também pode filtrar de acordo com a implementação do controle, como o SCP. Para cada controle, você pode ver quantos OUs têm esse controle ativado.

Para ver a página de **controles habilitados**, navegue até a seção **Controles** no console do AWS Control Tower.

## O Account Factory for Terraform (AFT) é compatível com novas configurações na implantação
<a name="aft-configurations"></a>

**13 de maio de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A estrutura de personalização de contas do AWS Control Tower, Account Factory for Terraform (AFT), agora oferece suporte a três configurações opcionais adicionais no momento da implantação. Você pode implantar o AFT em uma nuvem privada virtual (VPC) personalizada, especificar o nome do projeto Terraform para sua implantação do AFT e marcar os recursos que o AFT cria.

Consulte mais informações em [Implantar o AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html).

## O AWS Control Tower apresenta relatórios em nível de conta para a linha de base APIs
<a name="enabled-baseline-drift"></a>

 **12 de maio de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Agora você pode visualizar programaticamente os status de *desvio* e *inscrição de contas* para suas contas administradas, ligando para a linha de base. APIs Com esse recurso, você pode identificar quando as configurações básicas da conta e da UO estão *desviadas* ou fora de sincronia. Para visualizar o status do desvio programaticamente, você pode chamar a API [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) para suas linhas de base habilitadas. Para visualizar os status de contas individuais de forma programática com a API `ListEnabledBaselines`, use a bandeira `includeChildren`. Você pode filtrar por esses status e ver apenas as contas OUs que exigem sua atenção.

O [https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types) define as configurações, os controles e os recursos de práticas recomendadas que são necessários para a governança. Quando você habilita essa linha de base em uma unidade organizacional (UO), as contas de membro dentro da UO são inscritas automaticamente no AWS Control Tower. A linha de base do AWS Control Tower APIs inclui CloudFormation suporte, que permite criar automações que gerenciam suas contas OUs e suas contas com infraestrutura como código (IaC).

 Para saber mais sobre elas APIs, analise as [linhas de base no Guia](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html) do *usuário do AWS Control Tower*. Os recursos básicos APIs e recém-lançados de relatórios para o status de *desvio* e *inscrição na conta* estão disponíveis em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower está disponível nas regiões AWS Ásia-Pacífico (Tailândia) e México (Central)
<a name="new-regions-bkk-qro"></a>

**9 de maio de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora está disponível nas seguintes AWS regiões:
+ Ásia-Pacífico (Tailândia)
+ México (Centro)

Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na [Tabela de regiões da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Config Controles adicionais disponíveis
<a name="new-config-controls"></a>

 **11 de abril de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte a mais 223 AWS Config regras gerenciadas para vários casos de uso, como segurança, custo, durabilidade e operações. Com esse lançamento, agora você pode usar o AWS Control Tower para pesquisar e descobrir as AWS Config regras necessárias para governar seu ambiente de várias contas; depois, habilitar e gerenciar os controles diretamente da AWS Control Tower.

Para começar a usar o console do AWS Control Tower, acesse o Control Catalog e pesquise controles com o filtro de implementação AWS Config. É possível habilitar os controles diretamente do console do AWS Control Tower. 

Para obter mais detalhes, consulte [AWS Config Controles integrados disponíveis no AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/controlreference/config-controls.html).

Com este lançamento, atualizamos o `ListControls` e `GetControl` APIs para oferecer suporte a três novos campos: **CreateTime****Gravidade** e **Implementação**, que você pode usar ao pesquisar um controle no Catálogo de Controle. Por exemplo, agora você pode encontrar programaticamente AWS Config regras de alta severidade que foram criadas após sua última avaliação.

Você pode pesquisar as novas AWS Config regras em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para implantar uma regra, consulte a lista de regras compatíveis Regiões da AWS para essa regra para ver onde ela pode ser ativada.

## Cancele o registro e exclua ações do OUs
<a name="deregister-and-delete"></a>



 **8 de abril de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte a ações de console separadas para cancelar o registro de uma UO e excluir uma UO. É necessário cancelar o registro da UO antes de excluí-la. Você pode remover uma UO do AWS Control Tower cancelando seu registro.

Para obter mais informações, consulte [Remover uma UO](remove-ou.md).

## O Control Catalog suporta IPv6 endereços
<a name="ipv6"></a>

 **2 de abril de 2025**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A API do AWS Control Tower Control Catalog agora oferece suporte a endereços do Protocolo de Internet versão 6 (IPv6) por meio de nossos novos endpoints de pilha dupla. O suporte existente aos endpoints do Control Catalog IPv4 permanece disponível para compatibilidade com versões anteriores. *Os novos domínios de pilha dupla estão disponíveis [na Internet](https://docs.aws.amazon.com/general/latest/gr/controlcatalog.html) ou [em uma Amazon Virtual Private Cloud (VPC) usando](https://docs.aws.amazon.com/controlcatalog/latest/userguide/vpc-interface-endpoints.html). [AWS PrivateLink](https://aws.amazon.com/privatelink/)*

# Janeiro - dezembro de 2024
<a name="2024-all"></a>

Em 2024, o AWS Control Tower lançou as seguintes atualizações:
+ [O AWS Control Tower cFct suporta GitHub e RCPs](#cfct-github-support)
+ [O AWS Control Tower adiciona controles preventivos com políticas declarativas](#declarative-policies)
+ [O AWS Control Tower adiciona opções de plano de backup prescritivo](#aws-backup)
+ [O AWS Control Tower integra AWS Config controles](#config-controls)
+ [O AWS Control Tower melhora o gerenciamento de hooks e adiciona regiões de controle proativas](#hook-management)
+ [O AWS Control Tower lança políticas de controle de recursos gerenciado](#rcp-controls)
+ [O AWS Control Tower relata desvio da política de controle](#policy-drift)
+ [Nova API `ResetEnabledControl`](#reset-enabled-control-api)
+ [API `GetControl` de atualizações do catálogo de controle](#getcontrol-api-update)
+ [O AWS Control Tower é compatível com o AFT GitLab](#aft-gitlab-support)
+ [O AWS Control Tower está disponível na região AWS Ásia-Pacífico (Malásia)](#kul-region)
+ [AWS Control Tower é compatível com até mil contas por UO](#1000-accounts)
+ [AWS Control Tower adiciona a seleção de versão da zona de pouso](#lz-version-select)
+ [API de controle descritivo disponível, acesso expandido a regiões e controles](#get-and-list-controls)
+ [AWS Control Tower é compatível com AFT e CfCT em regiões opcionais](#aft-cfct-regions)
+ [AWS Control Tower adiciona a API `ListLandingZoneOperations`](#lz-operations-api)
+ [AWS Control Tower permite até 100 operações de controle simultâneas](#multiple-controls)
+ [O AWS Control Tower está disponível no Oeste AWS do Canadá (Calgary)](#yyc-available)
+ [AWS Control Tower permite ajustes na cota de autoatendimento](#service-quotas)
+ [AWS Control Tower lança o *Guia de referência de controles*](#controls-reference-guide)
+ [AWS Control Tower atualiza e renomeia dois controles proativos](#update-2-proactive-controls)
+ [Controles obsoletos não estão mais disponíveis](#deprecated-controls)
+ [O AWS Control Tower oferece suporte à marcação de `EnabledControl` recursos em CloudFormation](#cfn-tagging)
+ [O AWS Control Tower oferece suporte APIs para registro e configuração de UO com linhas de base](#baseline-apis)

## O AWS Control Tower cFct suporta GitHub e RCPs
<a name="cfct-github-support"></a>

 **9 de dezembro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte à GitHub TM como uma opção para um sistema de controle de versão (VCS) de terceiros e fonte de configuração para personalizações do AWS Control Tower (CFCT). Para obter mais informações, consulte [Configurar GitHub como fonte de configuração](cfct-github-configuration-source.md).

O AWS Control Tower agora oferece suporte a políticas de controle de recursos (RCPs) para personalizações da AWS Control Tower (CFCT). Para obter mais informações, consulte [Guia de personalização do CfCT](cfct-customizations-dev-guide.md).

## O AWS Control Tower adiciona controles preventivos com políticas declarativas
<a name="declarative-policies"></a>

 **1 de dezembro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte a controles preventivos que são implementados por políticas declarativas da AWS Organizations. As políticas declarativas são aplicadas diretamente no nível do serviço. Essa abordagem garante que a configuração especificada seja aplicada, mesmo quando novos recursos são introduzidos pelo serviço. APIs Para obter mais informações, consulte [Controles implementados com políticas declarativas](https://docs.aws.amazon.com//controltower/latest/controlreference/declarative-controls.html).

## O AWS Control Tower adiciona opções de plano de backup prescritivo
<a name="aws-backup"></a>

 **25 de novembro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte a AWS Backup planos prescritivos que permitem incorporar um fluxo de trabalho de backup e recuperação de dados diretamente na sua landing zone. O plano de backup inclui regras predefinidas, como dias de retenção, frequência de backup e a janela de tempo durante a qual o backup ocorre. Essas regras definem como fazer backup de seus recursos da AWS em todas as suas contas de membros governadas. Quando você aplica um plano de backup na landing zone, o AWS Control Tower garante que o plano seja consistente para todas as contas dos membros e esteja alinhado às recomendações de melhores práticas do AWS Backup.

Para obter mais informações, consulte [AWS Backup e AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/backup.html).

## O AWS Control Tower integra AWS Config controles
<a name="config-controls"></a>

**21 de novembro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower integrou AWS Config controles selecionados para que possam ser visualizados e gerenciados pela AWS Control Tower.

Para ter mais informações, consulte [Controles AWS Config integrados disponíveis no AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/config-controls.html)

## O AWS Control Tower melhora o gerenciamento de hooks e adiciona regiões de controle proativas
<a name="hook-management"></a>

**20 de novembro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Com essa versão, você pode utilizar a capacidade total dos CloudFormation ganchos, sem restrições do AWS Control Tower. Além disso, controles proativos estão disponíveis nas regiões Oeste do Canadá (Calgary) e Ásia-Pacífico (Malásia).

Anteriormente, todos os CloudFormation ganchos em seu ambiente precisavam ser protegidos pelo controle **CT.CLOUDFORMATION.PR.1, para que somente o AWS Control Tower** pudesse modificá-los. Com essa versão, você pode implantar CloudFormation e modificar esses ganchos sem as restrições exigidas anteriormente pelo serviço AWS Control Tower. 

Se você atualmente implanta controles proativos, pode migrar para essa funcionalidade aprimorada de hook. Para redefinir todos os controles proativos em uma UO, redefina qualquer controle proativo único que esteja ativo nessa UO. Você pode realizar a redefinição chamando a API `ResetEnabledControl` ou atualizando o controle no console com a funcionalidade **Redefinir**. Quando você conclui essa tarefa de redefinição para qualquer controle proativo, o AWS Control Tower move todos os hooks de controle proativo na UO para o novo recurso. Repita esse processo para cada UO que implanta controles proativos.

Depois de redefinir qualquer controle proativo, remova o controle **CT.CLOUDFORMATION.PR.1** da sua AWS Control Tower OUs, a menos que você tenha habilitado esse controle para outra finalidade. Se você não desativar o controle **CT.CLOUDFORMATION.PR.1**, não poderá criar e modificar seus outros ganchos. CloudFormation 

Consulte mais informações em [Atualizar hooks de controle proativo](https://docs.aws.amazon.com//controltower/latest/controlreference/get-new-hooks.html).

## O AWS Control Tower lança políticas de controle de recursos gerenciado
<a name="rcp-controls"></a>

 **15 de novembro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower oferece um novo tipo de controle preventivo, implementado com políticas de controle de recursos (RCPs). Esses controles ajudam você a estabelecer um perímetro de dados em todo o seu ambiente do AWS Control Tower, para proteger seus recursos contra acesso não intencional.

Por exemplo, você pode habilitar controles baseados em RCP para Amazon S3,,, AWS Security Token Service Amazon AWS Key Management Service SQS e serviços. AWS Secrets Manager Um controle baseado em RCP pode impor um requisito como “Exigir que os recursos do Amazon S3 da organização sejam acessíveis somente pelos diretores do IAM que pertencem à organização ou por um AWS serviço”, independentemente das permissões concedidas em políticas de bucket individuais.

Você pode configurar os novos controles baseados em RCP e certos controles preventivos baseados em SCP existentes para especificar isenções de AWS IAM para diretores e recursos. Se você não quiser que uma entidade principal ou um recurso seja governado pelo controle, poderá configurar uma isenção.

Ao combinar controles preventivos, proativos e de detetive no AWS Control Tower, você pode monitorar se seu AWS ambiente de várias contas é seguro e gerenciado de acordo com as melhores práticas, como o padrão [AWS Foundational Security](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp.html) Best Practices.

Esses novos controles preventivos baseados em RCP estão disponíveis Regiões da AWS onde o AWS Control Tower está disponível. Para obter uma lista completa de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower relata desvio da política de controle
<a name="policy-drift"></a>

**15 de novembro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora relata desvios na política de controle, para controles implementados com políticas de controle de recursos (RCPs) e controles que fazem parte do padrão **gerenciado por serviços CSPM do Security Hub: AWS Control** Tower. Esse tipo de desvio pode ser corrigido por meio da nova API `ResetEnabledControl`. Consulte mais informações em [Types of governance drift](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html).

## Nova API `ResetEnabledControl`
<a name="reset-enabled-control-api"></a>

 **14 de novembro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower anuncia uma nova API para ajudar você a gerenciar o desvio de controle de forma programática. Você pode reparar o desvio de controle e redefinir um controle para a configuração pretendida. A API `ResetEnabledControl` funciona com controles opcionais do AWS Control Tower, incluindo controles **eletivos** e **altamente recomendados**.

**Exceções de controle**
+ Os controles implementados com políticas de controle de serviço (SCPs) não podem ser redefinidos com essa API. Para obter mais informações, consulte [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html). 
+ Os controles obrigatórios não podem ser redefinidos, pois eles protegem os recursos do AWS Control Tower. 
+ O controle de **negação de região** para a zona de pouso deve ser redefinido por meio do console.

O desvio de controle ocorre quando um controle da AWS Control Tower é modificado fora da AWS Control Tower, por exemplo, a partir do AWS Organizations console. Resolver desvios ajuda a garantir a conformidade com os requisitos de governança.

## API `GetControl` de atualizações do catálogo de controle
<a name="getcontrol-api-update"></a>

 **8 de novembro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte a uma API `GetControl` atualizada que inclui dois novos campos: tipos de `Implementation` para todos os controles e `Parameters` para determinados controles que podem ser configurados.

A API `GetControl` faz parte do namespace `controlcatalog` do AWS Control Tower.

Consulte mais informações na [API `GetControl`](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) na *Referência da API do Control Catalog*.

**Essa versão inclui mudanças relacionadas que são mostradas no console do AWS Control Tower.**
+ Todos os AWS Security Hub CSPM controles existentes têm seus valores de `Implementation` parâmetros alterados de AWS Config regra para AWS Security Hub CSPM. O painel de ajuda do console correspondente foi modificado para refletir essa alteração.
+ Todos os controles Hook existentes têm seus valores de `Implementation` parâmetros alterados de regra de CloudFormation guarda para CloudFormation gancho. O painel de ajuda do console correspondente foi modificado para refletir essa alteração.

## O AWS Control Tower é compatível com o AFT GitLab
<a name="aft-gitlab-support"></a>

 **23 de outubro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte à GitLab TM e ao GitLab autogerenciamento como opções para um sistema de controle de versão (VCS) de terceiros e fonte de configuração para o Account Factory for Terraform (AFT).

## O AWS Control Tower está disponível na região AWS Ásia-Pacífico (Malásia)
<a name="kul-region"></a>

 **21 de outubro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower está disponível na região da AWS Ásia-Pacífico (Malásia).

Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na [Tabela de regiões da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower é compatível com até mil contas por UO
<a name="1000-accounts"></a>

 **30 de agosto de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower aumentou o número máximo de contas permitidas por unidade organizacional (UO) de 300 para 1.000. Agora, você pode inscrever até 1.000 Contas da AWS na governança do AWS Control Tower de uma só vez, sem alterar sua estrutura de OU. Os processos de registro e novo registro da UO também estão mais eficientes, exigindo muito menos tempo para implantar os recursos da linha de base do AWS Control Tower em suas contas.

Algumas limitações da conta ainda se aplicam devido às limitações no número de conjuntos de pilhas do CloudFormation disponíveis. Especificamente, o número máximo de contas que você pode inscrever em uma UO pode variar, dependendo do número de regiões que tem sob governança. Para saber mais, acesse [Limitações com base nos AWS serviços subjacentes](https://docs.aws.amazon.com//controltower/latest/userguide/region-stackset-limitations.html) no [https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html](https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html). Consulte uma lista completa de Regiões da AWS em que o AWS Control Tower está disponível na [Tabela de regiões da Região da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower adiciona a seleção de versão da zona de pouso
<a name="lz-version-select"></a>

 **15 de agosto de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Se estiver executando a versão 3.1 ou posterior da zona de pouso do AWS Control Tower, você poderá atualizar ou reparar a zona de pouco no local na versão atual, ou poderá fazer upgrade para uma versão de sua escolha. Anteriormente, qualquer atualização ou reparo da zona de pouso exigia um upgrade para a versão mais recente dela. 

Com a seleção de versão da zona de pouso, você tem mais flexibilidade para planejar atualizações de versão enquanto avalia possíveis mudanças no ambiente. Você não precisa escolher entre reparar o desvio para manter a conformidade, atualizar as configurações da zona de pouso ou atualizar para a versão mais recente da zona de pouso. Se estiver executando a versão 3.1 ou posta da zona de pouso, você poderá optar por permanecer na versão atual ou fazer upgrade para uma versão mais nova ao atualizar ou redefinir as configurações da zona de pouso. 

## API de controle descritivo disponível, acesso expandido a regiões e controles
<a name="get-and-list-controls"></a>

 **6 de agosto de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower adicionou duas novas operações de API que ajudam a encontrar mais informações sobre os controles disponíveis de forma programática. Essa funcionalidade facilita a implantação de controles com automação.
+ A API [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) retorna detalhes sobre um controle habilitado, incluindo o identificador de destino, um resumo das informações de controle, uma lista de regiões de destino e o status do desvio.
+ A API [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html) retorna uma lista paginada de todos os controles disponíveis na biblioteca de controles do AWS Control Tower.

Eles APIs são acessados por meio do [namespace AWS Control Catalog](https://docs.aws.amazon.com//controlcatalog/latest/userguide/what-is-controlcatalog.html). O Catálogo de AWS Controle faz parte do AWS Control Tower, que inclui controles que ajudam você a gerenciar outros AWS serviços, não apenas o AWS Control Tower. Esse catálogo expandido consolida controles de vários AWS serviços, para que você possa visualizar AWS os controles de acordo com alguns casos de uso comuns, como: segurança, custo, durabilidade e operações. Consulte mais informações na [Referência da API do Control Catalog](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/Welcome.html).

**Disponibilidade expandida da região**

A partir desse lançamento, você pode estender a governança do AWS Control Tower nas Regiões da AWS onde alguns dos seus controles (já) habilitados não estejam disponíveis. Além disso, agora é possível habilitar determinados controles em mais regiões, mesmo que o controle não seja compatível com todas as suas regiões administradas.

Anteriormente, o AWS Control Tower impedia que você estendesse a governança às regiões ou habilitasse controles, quando não oferecia consistência em todos os seus controles habilitados e regiões administradas. Com esse lançamento, você tem mais flexibilidade e responsabilidade de garantir que a configuração esteja correta para todos os controles habilitados e todas as regiões administradas. O [controle do AWS Control Tower APIs](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html) e o [catálogo de controle APIs](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/Welcome.html) podem ajudá-lo a obter informações sobre as AWS regiões nas quais você está protegido por controles habilitados e as regiões nas quais controles adicionais podem ser implantados. As informações de região e controle também estão disponíveis no console do AWS Control Tower.

## AWS Control Tower é compatível com AFT e CfCT em regiões opcionais
<a name="aft-cfct-regions"></a>

 **18 de julho de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Atualmente, as estruturas de personalização da AWS Control Tower Account Factory for Terraform (AFT) e Customizations for AWS Control Tower (CFCt) estão disponíveis em mais cinco Regiões da AWS: Ásia-Pacífico (Hyderabad, Jacarta e Osaka), Israel (Tel Aviv) e Oriente Médio (Emirados Árabes Unidos).

O Account Factory for Terraform (AFT) configura um pipeline do Terraform para ajudar a provisionar e personalizar contas no AWS Control Tower. As personalizações do AWS Control Tower (cFct) ajudam você a personalizar sua zona de pouso e contas da AWS Control Tower com CloudFormation modelos e políticas de controle de serviços (). SCPs

Para saber mais, acesse as páginas do Account Factory for Terraform e do Customizations for AWS Control Tower no Guia do usuário do AWS Control Tower. Você também pode consultar as notas de lançamento na página do AFT no Github e na página do CfCT no Github. AFT e cFct são suportados em todas as AWS regiões, com algumas exceções. Consulte detalhes em [Region limitations](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html).

## AWS Control Tower adiciona a API `ListLandingZoneOperations`
<a name="lz-operations-api"></a>

 **26 de junho de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

 O AWS Control Tower adicionou uma API que permite recuperar uma lista das operações aplicadas recentemente à zona de pouso e das operações atualmente em andamento. A API pode retornar o histórico das operações da zona de pouso e seus identificadores por até 90 dias. Consulte exemplos de uso em [View the status of your landing zone operations](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html).

Consulte mais informações sobre a API `ListLandingZoneOperations` em [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html) na *Referência de API do AWS Control Tower*.

## AWS Control Tower permite até 100 operações de controle simultâneas
<a name="multiple-controls"></a>

 **20 de maio de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora é compatível com várias operações de controle com maior simultaneidade. Você pode enviar até 100 operações de controle do AWS Control Tower, em várias unidades organizacionais (OUs), ao mesmo tempo, a partir do console ou com APIs. Até dez (10) operações podem ser executadas simultaneamente, e as adicionais são colocadas na fila. Dessa forma, você pode definir uma configuração mais padronizada em várias Contas da AWS, sem a carga operacional das operações de controle repetitivas.

Para monitorar o status das operações de controle em andamento e na fila, você pode acessar a nova página **Operações recentes** no console do AWS Control Tower ou pode chamar a nova API [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListControlOperations.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListControlOperations.html).

A biblioteca do AWS Control Tower contém mais de 500 controles, que são mapeados para diferentes serviços, frameworks e objetivos de controle. Para um objetivo de controle específico, como **Criptografar dados em repouso**, é possível habilitar vários controles com uma única operação de controle, para ajudar a atingir o objetivo. Esse recurso facilita o desenvolvimento acelerado, permite a adoção mais rápida dos controles de práticas recomendadas e reduz as complexidades operacionais.

## O AWS Control Tower está disponível no Oeste AWS do Canadá (Calgary)
<a name="yyc-available"></a>

**3 de maio de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A partir de hoje, é possível ativar o AWS Control Tower na região Oeste do Canadá (Calgary). Se você já implantou o AWS Control Tower e deseja estender seus recursos de governança para essa região, você pode fazer isso com a [landing zone APIs](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html) da AWS Control Tower. Ou, no console, acesse a página **Configurações** no painel do AWS Control Tower, selecione as regiões e atualize a zona de pouso.

A região Oeste do Canadá (Calgary) não é compatível com o AWS Service Catalog. Por esse motivo, algumas funcionalidades do AWS Control Tower são diferentes. A mudança de funcionalidade mais notável é que o Account Factory não está disponível. Se você escolher Oeste do Canadá (Calgary) como a região de origem, os procedimentos para atualizar contas, configurar automações de contas e todos os outros processos que envolvam o Service Catalog serão diferentes dos de outras regiões.

**Provisionar contas**

Para criar e provisionar uma conta na região Oeste do Canadá (Calgary), recomendamos que você crie uma conta fora do AWS Control Tower e, depois, inscreva-a em uma UO registrada. Consulte mais informações em [Enroll an existing account](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html) e em [Steps to enroll an account](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html#enrollment-steps).

O Service Catalog não APIs está disponível na região Oeste do Canadá (Calgary). O script de exemplo mostrado em [Automatizar o provisionamento de contas no AWS Control Tower by Service Catalog não APIs é viável](https://docs.aws.amazon.com//controltower/latest/userguide/automated-provisioning-walkthrough.html).

O Account Factory Customization (AFC), o Account Factory for Terraform (AFT) e o Customizations for AWS Control Tower (CfCT) não estão disponíveis na região Oeste do Canadá (Calgary), devido à falta de outras dependências subjacentes do AWS Control Tower. Se estender a governança para a região Oeste do Canadá (Calgary), você poderá continuar gerenciando os esquemas do AFC em todas as regiões compatíveis com o AWS Control Tower, desde que o Service Catalog esteja disponível na região de origem.

**Controles**

Controles e controles proativos para o **Padrão gerenciado por serviços do AWS Security Hub CSPM : AWS Control Tower** não estão disponíveis na região Oeste do Canadá (Calgary). O controle preventivo `CT.CLOUDFORMATION.PR.1` não está disponível na região Oeste do Canadá (Calgary) porque ele é necessário apenas para ativar os controles proativos baseados em hook. Certos controles de detetive baseados em não AWS Config estão disponíveis. Para obter detalhes, consulte [Limitações de controle](control-limitations.md).

**Provedor de identidades**

O Centro de Identidade do IAM não está disponível na região Oeste do Canadá (Calgary). As práticas recomendadas instruem a configurar a zona de pouso em uma região onde o Centro de Identidade do IAM esteja disponível. Como alternativa, você tem a opção de autogerenciar a configuração de acesso à conta se usar um provedor de identidades externo na região Oeste do Canadá (Calgary).

A indisponibilidade do Service Catalog na região Oeste do Canadá (Calgary) não afeta outras regiões compatíveis com o AWS Control Tower. Essas diferenças serão aplicadas somente se a região de origem for Oeste do Canadá (Calgary).

Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na [Tabela de regiões da AWS]( https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower permite ajustes na cota de autoatendimento
<a name="service-quotas"></a>

**25 de abril de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora permite ajustes na cota de autoatendimento por meio do console Service Quotas. Para obter mais informações, consulte [Solicitar um aumento da cota](request-an-increase.md).

## AWS Control Tower lança o *Guia de referência de controles*
<a name="controls-reference-guide"></a>

**21 de abril de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower lançou o *Guia de referência de controles*, um novo documento no qual você pode encontrar informações detalhadas sobre os controles específicos do ambiente do AWS Control Tower. Anteriormente, esse material estava incluído no *Guia do usuário do AWS Control Tower*. O *Guia de referência de controles* abrange os controles em um formato expandido. Consulte mais informações no [Guia de referência de controles do AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html).

## AWS Control Tower atualiza e renomeia dois controles proativos
<a name="update-2-proactive-controls"></a>

**26 de março de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower renomeou dois controles proativos para se alinharem às atualizações do Amazon Service. OpenSearch 
+ [**[CT.OPENSEARCH.PR.8]** Exigir um domínio do Elasticsearch Service para usar .2 TLSv1](https://docs.aws.amazon.com//controltower/latest/controlreference/opensearch-rules.html#ct-opensearch-pr-8-description)
+ [**[CT.OPENSEARCH.PR.16 ]** Exigir um domínio do Amazon OpenSearch Service para usar TLSv1 .2](https://docs.aws.amazon.com//controltower/latest/controlreference/opensearch-rules.html#ct-opensearch-pr-16-description)

Atualizamos os nomes dos controles e os artefatos desses dois controles para se alinharem à versão recente do Amazon OpenSearch Service, que [agora oferece suporte à versão 1.3 do Transport Layer Security (TLS)](https://aws.amazon.com/about-aws/whats-new/2024/01/amazon-opensearch-service-tls-1-3-perfect-forward-secrecy), entre suas opções de segurança de transporte para segurança de endpoints de domínio.

Para adicionar suporte para TLSv1 .3 para esses controles, atualizamos o artefato e o nome dos controles para refletir a intenção do controle. Agora, eles avaliam a versão mínima do TLS do domínio do serviço. Para fazer essa atualização no ambiente, é necessário **Desabilitar** e **Habilitar** os controles para implantar o artefato mais recente.

Nenhum outro controle proativo é afetado por essa alteração. Recomendamos que você revise esses controles para garantir que eles atendam aos seus objetivos de controle.

Se tiver dúvidas ou solicitações, entre em contato com o [AWS Support](https://aws.amazon.com/support).

## Controles obsoletos não estão mais disponíveis
<a name="deprecated-controls"></a>

**12 de março de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower desativou alguns controles. Esses controles não estarão mais disponíveis.
+ CT.ATHENA.PR.1
+ CT.CODEBUILD.PR.4
+ CT.AUTOSCALING.PR.3
+ SH.Athena.1
+ SH.Codebuild.5
+ SH.AutoScaling.4
+ SH.SNS.1
+ SH.SNS.2

## O AWS Control Tower oferece suporte à marcação de `EnabledControl` recursos em CloudFormation
<a name="cfn-tagging"></a>

**22 de fevereiro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Esse lançamento do AWS Control Tower atualiza o comportamento do recurso `EnabledControl`, para se alinhar melhor aos controles configuráveis e melhorar a capacidade de gerenciar o ambiente do AWS Control Tower com automação. Com esse lançamento, é possível adicionar tags a recursos `EnabledControl` configuráveis por meio de modelos do CloudFormation . Anteriormente, você podia adicionar tags APIs somente por meio do console do AWS Control Tower.

As operações de API `GetEnabledControl`, `EnableControl` e `ListTagsforResource` do AWS Control Tower são atualizadas com esse lançamento, pois dependem da funcionalidade do recurso `EnabledControl`.

Consulte mais informações em [Tagging `EnabledControl` resources in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/controlreference/tagging.html) e em [https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/aws-resource-controltower-enabledcontrol.html](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/aws-resource-controltower-enabledcontrol.html) no *Guia do usuário do CloudFormation *.

## O AWS Control Tower oferece suporte APIs para registro e configuração de UO com linhas de base
<a name="baseline-apis"></a>

**14 de fevereiro de 2024**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Eles APIs oferecem suporte ao registro programático de OU com a `EnableBaseline` chamada. Quando você habilita uma linha de base em uma UO, as contas-membros dentro da UO são inscritas na governança do AWS Control Tower. Algumas ressalvas podem se aplicar. Por exemplo, o registro de UO por meio do console do AWS Control Tower habilita controles opcionais, bem como controles obrigatórios. Ao ligar APIs, talvez seja necessário concluir uma etapa extra para que os controles opcionais sejam ativados.

Uma *linha de base* do AWS Control Tower incorpora as práticas recomendadas para a governança do AWS Control Tower de uma UO e contas-membros. Por exemplo, quando você habilita uma linha de base em uma OU, as contas membros dentro da OU recebem um grupo definido de recursos, incluindo, AWS CloudTrail AWS Config, IAM Identity Center e as funções necessárias AWS do IAM.

As linhas de base específicas são compatíveis com versões específicas da zona de pouso do AWS Control Tower. O AWS Control Tower pode aplicar a linha de base compatível mais recente à zona de pouso quando você altera as configurações de zona inicial. Para obter mais informações, consulte [Compatibilidade das linhas de base da UO e das versões da zona de pouso](table-of-baselines.md).

**Esse lançamento inclui quatro [Tipos de linhas de base](types-of-baselines.md) essenciais**
+ `AWSControlTowerBaseline`
+ `AuditBaseline`
+ `LogArchiveBaseline`
+ `IdentityCenterBaseline`

Com as linhas de base novas APIs e definidas, você pode registrar OUs e automatizar seu fluxo de trabalho de provisionamento de OU. Eles APIs também podem gerenciar o OUs que já está sob a governança do AWS Control Tower, para que você possa se registrar novamente OUs após as atualizações da landing zone. Eles APIs incluem suporte para um CloudFormation `EnabledBaseline` recurso, que permite gerenciar sua OUs infraestrutura como código (IaC).

**Linha de base APIs**
+ **EnableBaseline**, **UpdateEnabledBaseline**, **DisableBaseline**: Aja com base em uma linha de base para uma OU.
+ **GetEnabledBaseline**, **ListEnabledBaselines**: Descubra as configurações para suas linhas de base habilitadas.
+ **GetBaselineOperation**: Visualize o status de uma operação de linha de base específica.
+ **ResetEnabledBaseline**: corrija o desvio de recursos em uma OU com uma linha de base habilitada (incluindo desvio de controle aninhado OUs e obrigatório). Também corrige a deriva para a landing-zone-level Região, negar o controle
+ **GetBaseline**, **ListBaselines**: Descubra o conteúdo das linhas de base do AWS Control Tower.

Para saber mais sobre elas APIs, analise as [linhas de base](https://docs.aws.amazon.com//controltower/latest/userguide/table-of-baselines.html) no Guia do usuário do AWS Control Tower e na referência da [API](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html). Os novos APIs estão disponíveis Regiões da AWS onde o AWS Control Tower está disponível, exceto nas regiões GovCloud (EUA). Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a Região da AWS tabela. 

# De janeiro a dezembro de 2023
<a name="2023-all"></a>

Em 2023, o AWS Control Tower lançou as seguintes atualizações:
+ [Transição para um novo tipo de produto AWS Service Catalog externo (fase 3)](#phase-3-tos-external)
+ [Versão 3.3 da zona de pouso do AWS Control Tower](#lz-3-3)
+ [Transição para um novo tipo de produto AWS Service Catalog externo (fase 2)](#phase-2-tos-external)
+ [AWS Control Tower anuncia controles para auxiliar a soberania digital](#digital-sovereignty)
+ [Zona de pouso do AWS Control Tower APIs](#landing-zone-apis)
+ [Marcação de controle do AWS Control Tower APIs](#control-tagging-apis)
+ [AWS Control Tower disponível na AWS Ásia-Pacífico (Melbourne)](#mel-region)
+ [Transição para um novo tipo de produto AWS Service Catalog externo (fase 1)](#transition-sc-tos-external)
+ [O AWS Control Tower adiciona uma nova API de controle](#new-control-api)
+ [O AWS Control Tower adiciona novos controles](#q3-new-controls)
+ [O AWS Control Tower detecta desvio de acesso confiável](#trust-access-drift)
+ [O AWS Control Tower está disponível em mais quatro Regiões da AWS](#four-regions)
+ [AWS Control Tower disponível em AWS Israel (Tel Aviv)](#new-tlv-region)
+ [O AWS Control Tower adiciona 28 novos controles proativos](#28-proactive-controls)
+ [AWS Control Tower desativa dois controles](#deprecate-2controls)
+ [Versão 3.2 da zona de pouso do AWS Control Tower](#lz-3-2)
+ [O AWS Control Tower adiciona email-to-ID mapeamento para o IAM Identity Center](#email-to-id)
+ [O AWS Control Tower adiciona mais AWS Security Hub CSPM controles](#more-sh-controls)
+ [O AWS Control Tower publica metadados para controles AWS Security Hub CSPM](#publish-metadata)
+ [O AWS Control Tower adiciona Account Factory Customization (AFC) for Terraform](#afc-terraform)
+ [O AWS Control Tower adiciona um centro de identidade autogerenciado do IAM](#iam-self-manage)
+ [O AWS Control Tower adiciona uma nota de governança mista](#mixed-governance-note)
+ [O AWS Control Tower adiciona novos controles proativos](#new-proactive-controls)
+ [O AWS Control Tower atualiza controles do Amazon EC2](#updated-ec2-controls)
+  [O AWS Control Tower está disponível em mais sete Regiões da AWS](#seven-regions)
+ [Account Factory Customization (AFC) do AWS Control Tower e rastreamento de solicitações disponíveis ao público](#account-customization-request-tracing-ga)
+ [Versão 3.1 da zona de pouso do AWS Control Tower](#lz-3-1)
+ [Controles proativos do AWS Control Tower disponíveis ao público em geral](#proactive-control-ga)

## Transição para um novo tipo de produto AWS Service Catalog externo (fase 3)
<a name="phase-3-tos-external"></a>

**14 de dezembro de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower não oferece mais suporte ao *Terraform Open Source* como um tipo de produto (blueprint) ao criar um novo. Contas da AWS Para obter mais informações e instruções sobre como atualizar os esquemas da sua conta, consulte [Transição para o tipo de produto AWS Service Catalog externo](https://docs.aws.amazon.com//controltower/latest/userguide/service-catalog.html). 

Se não atualizar os esquemas da conta para usar o tipo de produto *External*, você só poderá atualizar ou encerrar contas que provisionou usando esquemas do Terraform Open Source. 

## Versão 3.3 da zona de pouso do AWS Control Tower
<a name="lz-3-3"></a>

**14 de dezembro de 2023**

(É necessário atualizar a zona de pouso do AWS Control Tower para a versão 3.3. Consulte informações em [Atualizar a zona de pouso](update-controltower.md)).

**Atualizações na política de bucket do S3 na conta de auditoria do AWS Control Tower**

Modificamos a política de bucket de auditoria do Amazon S3 que o AWS Control Tower implanta nas contas, de modo que uma condição `aws:SourceOrgID` deve ser atendida para qualquer permissão de gravação. Com essa versão, AWS os serviços têm acesso aos seus recursos somente quando a solicitação é originada da sua organização ou unidade organizacional (OU). 

É possível usar a chave de condição `aws:SourceOrgID` e definir o valor do **ID da organização** no elemento de condição da política de bucket do S3. Essa condição garante que CloudTrail somente registros em nome de contas dentro de sua organização possam ser gravados em seu bucket do S3; ela impede que CloudTrail registros de fora da sua organização gravem em seu bucket S3 do AWS Control Tower.

Fizemos essa alteração para corrigir uma possível vulnerabilidade de segurança, sem afetar a funcionalidade das workloads existentes. Consulte a política atualizada em [Política de bucket do Amazon S3 na conta de auditoria](logging-s3-audit-bucket.md).

Para obter mais informações sobre a nova chave de condição, consulte a documentação do IAM e a postagem no blog do IAM intitulada “*Use controles escaláveis para AWS serviços que acessam seus recursos*”. 

**Atualizações da política no tópico do AWS Config SNS**

Adicionamos a nova chave de `aws:SourceOrgID` condição à política do tópico AWS Config SNS. Para ver a política atualizada, consulte A política de tópicos [do AWS Config](https://docs.aws.amazon.com//controltower/latest/userguide/receive-notifications.html#config-sns-policy) SNS.

**Atualizações no controle de negação de região da zona de pouso**
+ `discovery-marketplace:` removido. Essa ação é coberta pela isenção `aws-marketplace:*`.
+ `quicksight:DescribeAccountSubscription` adicionado

** CloudFormation Modelo atualizado**

Atualizamos o CloudFormation modelo da pilha chamada para `BASELINE-CLOUDTRAIL-MASTER` que ela não mostre desvio quando a AWS KMS criptografia não for usada.

## Transição para um novo tipo de produto AWS Service Catalog externo (fase 2)
<a name="phase-2-tos-external"></a>

**7 de dezembro de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

HashiCorp atualizou seu licenciamento do Terraform. *Como resultado, AWS Service Catalog alterou o suporte para produtos *Terraform Open Source* e provisionou produtos para um novo tipo de produto, chamado Externo.* 

Para evitar interrupções nas cargas de trabalho e nos AWS recursos existentes em suas contas, siga as etapas de transição do AWS Control Tower em [Transição para o tipo de produto AWS Service Catalog externo](af-customization-page.md#service-catalog-external-product-type) até 14 de dezembro de 2023. 

## AWS Control Tower anuncia controles para auxiliar a soberania digital
<a name="digital-sovereignty"></a>

**27 de novembro de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower anuncia 65 novos controles AWS gerenciados para ajudar você a atender aos seus requisitos de soberania digital. Com esse lançamento, é possível descobrir esses controles sob um novo *grupo de soberania digital* no console do AWS Control Tower. É possível usar esses controles para ajudar a evitar ações e detectar alterações de recursos em relação à *residência de dados*, *restrição de acesso granular*, *criptografia* e recursos de *resiliência*. Esses controles foram projetados para simplificar o atendimento dos requisitos em grande escala. Consulte mais informações sobre controles de soberania digital em [Controls that enhance digital sovereignty protection](https://docs.aws.amazon.com//controltower/latest/controlreference/digital-sovereignty-controls.html).

Por exemplo, você pode optar por ativar controles que ajudem a aplicar suas estratégias de criptografia e resiliência, como **Exigir um cache de AWS AppSync API para ter a criptografia em trânsito habilitada** ou **Exigir que um Firewall de AWS Rede seja implantado em várias** zonas de disponibilidade. Você também pode personalizar o controle de negação de região do AWS Control Tower para aplicar restrições regionais que melhor atendam às suas necessidades comerciais exclusivas.

Esse lançamento traz recursos bem aprimorados de negação de região do AWS Control Tower. É possível aplicar um novo controle de negação de região parametrizado no nível da UO, para aumentar a granularidade da governança e, ao mesmo tempo, manter a governança adicional da região no nível da zona de pouso. Esse controle de negação de região personalizável ajuda você a aplicar restrições regionais que melhor atendam às suas necessidades comerciais exclusivas. Consulte mais informações sobre o novo controle de negação de região configurável em [Region deny control applied to the OU](https://docs.aws.amazon.com//controltower/latest/controlreference/ou-region-deny.html).

Como uma nova ferramenta para o novo aprimoramento de negação de região, esse lançamento inclui uma nova API `UpdateEnabledControl`, que permite redefinir os controles habilitados para as configurações padrão. Essa API é especialmente útil em casos de uso em que você precisa resolver o desvio rapidamente ou para garantir de forma programática que um controle não esteja em um estado de desvio. Consulte mais informações sobre a nova API na [Referência de API do AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html).

**Novos controles proativos**
+ CT.APIGATEWAY.PR.6: Exija um domínio REST do Amazon API Gateway para usar uma política de segurança que especifique uma versão mínima do protocolo TLS de .2 TLSv1
+ CT.APPSYNC.PR.2: Exigir que uma API AWS AppSync GraphQL seja configurada com visibilidade privada 
+ CT.APPSYNC.PR.3: Exija que uma API AWS AppSync GraphQL não seja autenticada com chaves de API
+ CT.APPSYNC.PR.4: Exigir um cache da API AWS AppSync GraphQL para ter a criptografia em trânsito ativada.
+ CT.APPSYNC.PR.5: Exigir um cache da API AWS AppSync GraphQL para ter a criptografia em repouso ativada.
+ CT.AUTOSCALING.PR.9: exija um volume do Amazon EBS configurado por meio de uma configuração de lançamento do Amazon EC2 Auto Scaling para criptografar dados em repouso.
+ CT.AUTOSCALING.PR.10: Exija que um grupo do Amazon EC2 Auto Scaling AWS use somente tipos de instância Nitro ao substituir um modelo de execução
+ CT.AUTOSCALING.PR.11: Exija que somente os tipos de instância AWS Nitro que suportem criptografia de tráfego de rede entre instâncias sejam adicionados a um grupo do Amazon EC2 Auto Scaling, ao substituir um modelo de execução
+ CT.DAX.PR.3: exija um cluster do DynamoDB Accelerator para criptografar dados em trânsito com o Transport Layer Security (TLS).
+ CT.DMS.PR.2: Exigir um endpoint do AWS Database Migration Service (DMS) para criptografar conexões para endpoints de origem e destino
+ CT.EC2.PR.15: exija que uma instância do Amazon EC2 use um tipo de instância do AWS Nitro ao criar do tipo de recurso `AWS::EC2::LaunchTemplate`.
+ CT.EC2.PR.16: exija que uma instância do Amazon EC2 use um tipo de instância do AWS Nitro quando criada usando o tipo de recurso `AWS::EC2::Instance`.
+ CT.EC2.PR.17: exija um host dedicado do Amazon EC2 para usar um tipo de instância do AWS Nitro.
+ CT.EC2.PR.18: Exija que uma frota do Amazon EC2 substitua somente os modelos de lançamento com AWS os tipos de instância Nitro
+ CT.EC2.PR.19: exija que uma instância do Amazon EC2 use um tipo de instância do Nitro que seja compatível com a criptografia em trânsito entre instâncias quando criada usando o tipo de recurso `AWS::EC2::Instance`.
+ CT.EC2.PR.20: Exija que uma frota do Amazon EC2 substitua somente os modelos de lançamento por tipos de instância AWS Nitro que suportem criptografia em trânsito entre instâncias
+ CT.ELASTICACHE.PR.8: Exija que um grupo de ElastiCache replicação da Amazon de versões posteriores do Redis tenha a autenticação RBAC ativada
+ CT.MQ.PR.1: Exigir que um agente Amazon MQ ActiveMQ use o modo de implantação para alta disponibilidade active/standby 
+ CT.MQ.PR.2: exija que um agente do Amazon MQ Rabbit MQ use o modo de cluster multi-AZ para alta disponibilidade.
+ CT.MSK.PR.1: exija um cluster do Amazon Managed Streaming for Apache Kafka (MSK) para aplicar a criptografia em trânsito entre os nós do agente de cluster.
+ CT.MSK.PR.2: Exija que um cluster Amazon Managed Streaming for Apache Kafka (MSK) seja configurado com desativado PublicAccess 
+ CT.NETWORK-FIREWALL.PR.5: Exigir que um firewall de Firewall de AWS Rede seja implantado em várias zonas de disponibilidade
+ CT.RDS.PR.26: exija um proxy de banco de dados do Amazon RDS para requerer conexões de Transport Layer Security (TLS).
+ CT.RDS.PR.27: exija um grupo de parâmetros de cluster de banco de dados do Amazon RDS para requerer conexões de Transport Layer Security (TLS) para tipos de mecanismos compatíveis.
+ CT.RDS.PR.28: exija um grupo de parâmetros de banco de dados do Amazon RDS para requerer conexões de Transport Layer Security (TLS) para tipos de mecanismos compatíveis.
+ CT.RDS.PR.29: Exija que um cluster Amazon RDS não esteja configurado para ser acessível publicamente por meio da propriedade 'PubliclyAccessible'
+ CT.RDS.PR.30: exija que uma instância de banco de dados do Amazon RDS tenha a criptografia em repouso configurada para usar uma chave do KMS que você especifique para os tipos de mecanismos compatíveis.
+ CT.S3.PR.12: exija que um ponto de acesso Amazon S3 tenha uma configuração de Bloqueio de Acesso Público (BPA) com todas as opções definidas como verdadeiras.

**Novos controles preventivos**
+ CT.APPSYNC.PV.1Exija que uma API AWS AppSync GraphQL esteja configurada com visibilidade privada 
+ CT.EC2.PV.1: exija que um snapshot do Amazon EBS seja criado com base em um volume do EC2 criptografado.
+ CT.EC2.PV.2: exija que um volume anexado do Amazon EBS esteja configurado para criptografar dados em repouso.
+ CT.EC2.PV.3: exija que um snapshot do Amazon EBS não possa ser restaurado publicamente.
+ CT.EC2.PV.4Exija que o Amazon EBS direct não APIs seja chamado
+ CT.EC2.PV.5: proíba o uso da importação e exportação de VMs do Amazon EC2.
+ CT.EC2.PV.6Proibir o uso de ações obsoletas do Amazon EC2 e da API RequestSpotFleet RequestSpotInstances 
+ CT.KMS.PV.1Exija que uma política AWS KMS fundamental tenha uma declaração que limite a criação de AWS KMS subsídios a AWS serviços 
+ CT.KMS.PV.2Exija que uma chave AWS KMS assimétrica com material de chave RSA usado para criptografia não tenha um comprimento de chave de 2048 bits
+ CT.KMS.PV.3Exija que uma AWS KMS chave seja configurada com a verificação de segurança de bloqueio de política de desvio ativada 
+ CT.KMS.PV.4Exija que uma chave AWS KMS gerenciada pelo cliente (CMK) seja configurada com material de chave proveniente do CloudHSM AWS 
+ CT.KMS.PV.5Exigir que uma chave AWS KMS gerenciada pelo cliente (CMK) seja configurada com material de chave importado 
+ CT.KMS.PV.6Exija que uma chave AWS KMS gerenciada pelo cliente (CMK) seja configurada com material de chaves proveniente de um armazenamento de chaves externo (XKS)
+ CT.LAMBDA.PV.1Exigir um URL de AWS Lambda função para usar a autenticação AWS baseada em IAM 
+ CT.LAMBDA.PV.2Exija que um URL de AWS Lambda função seja configurado para acesso somente por diretores dentro de seu Conta da AWS

## Zona de pouso do AWS Control Tower APIs
<a name="landing-zone-apis"></a>

**26 de novembro de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Agora, o AWS Control Tower oferece ofertas APIs que ajudam você a gerenciar sua landing zone de forma programática. Eles APIs permitem que você crie, atualize e redefina sua zona de pouso, bem como recupere informações sobre a configuração e as operações da sua zona de pouso. Para obter mais informações, consulte [Exemplos da API da zona de pouso](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html).

A landing zone APIs está disponível em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível, exceto nas regiões GovCloud (EUA). Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## Marcação de controle do AWS Control Tower APIs
<a name="control-tagging-apis"></a>

**10 de novembro de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Agora, o AWS Control Tower oferece ofertas APIs que ajudam você a marcar programaticamente seus controles habilitados. Eles APIs permitem que você adicione, remova e liste tags para seus controles ativados. Para obter mais informações, consulte [Marcação de recursos do AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/tagging-resources.html).

A marcação de controle APIs está disponível em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível, exceto nas regiões GovCloud (EUA). Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower disponível na AWS Ásia-Pacífico (Melbourne)
<a name="mel-region"></a>

**3 de novembro de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower está disponível na região Ásia-Pacífico (Melbourne). Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na [Tabela de Região da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## Transição para um novo tipo de produto AWS Service Catalog externo (fase 1)
<a name="transition-sc-tos-external"></a>

**31 de outubro de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

HashiCorp atualizou seu licenciamento do Terraform. *Como resultado, AWS Service Catalog alterou o suporte para produtos *Terraform Open Source* e provisionou produtos para um novo tipo de produto, chamado Externo.* 

Para evitar interrupções nas cargas de trabalho e nos AWS recursos existentes em suas contas, siga as etapas de transição do AWS Control Tower em [Transição para o tipo de produto AWS Service Catalog externo](af-customization-page.md#service-catalog-external-product-type) até 14 de dezembro de 2023. 

## O AWS Control Tower adiciona uma nova API de controle
<a name="new-control-api"></a>

**27 de outubro de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece uma nova API, `UpdateEnabledControl`, que permite que você atualize seus controles habilitados. Essa API é especialmente útil em casos de uso em que você precisa resolver o desvio rapidamente ou para garantir de forma programática que um controle não esteja em um estado de desvio. Consulte mais informações sobre a nova API na [Referência de API do AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html).

A `UpdateEnabledControl` API está disponível em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível, exceto nas regiões GovCloud (EUA). Consulte uma lista de Regiões da AWS em que o AWS Control Tower está disponível na [Tabela de Região da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower adiciona novos controles
<a name="q3-new-controls"></a>

**20 de outubro de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower adicionou 22 novos controles à biblioteca de controles do AWS Control Tower. Esses controles ajudam você a aplicar as melhores práticas para seus AWS recursos. Para obter mais informações sobre os novos controles, consulte [Categorias de controle](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html).

Os novos controles estão disponíveis em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower detecta desvio de acesso confiável
<a name="trust-access-drift"></a>

**13 de outubro de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora detecta e relata desvios em configurações de acesso confiáveis. As configurações de acesso confiáveis permitem que o AWS Control Tower interaja com outros AWS serviços em seu nome. Se essas configurações forem alteradas fora do AWS Control Tower, o AWS Control Tower detectará o desvio e o reportará no console do AWS Control Tower. Consulte mais informações em [Tipos de desvios de governança](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html).

A detecção confiável de desvios de acesso está disponível em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower está disponível em mais quatro Regiões da AWS
<a name="four-regions"></a>

**29 de setembro de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower está disponível em mais quatro Regiões da AWS: Ásia-Pacífico (Hyderabad), Ásia-Pacífico (Jacarta), Europa (Espanha) e Europa (Zurique). Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na [Tabela de Região da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower disponível em AWS Israel (Tel Aviv)
<a name="new-tlv-region"></a>

**1 de agosto de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower está disponível em Israel (Tel Aviv). Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na [Tabela de Região da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower adiciona 28 novos controles proativos
<a name="28-proactive-controls"></a>

**27 de julho de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower adicionou 28 novos controles à biblioteca de controles do AWS Control Tower. Esses controles ajudam você a aplicar as melhores práticas para seus AWS recursos. Para obter mais informações sobre os novos controles, consulte [Categorias de controle](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html).

Os novos controles estão disponíveis em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower desativa dois controles
<a name="deprecate-2controls"></a>

**27 de julho de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower desativou dois controles: CT.CLOUDFORMATION.PR.2 e CT.CLOUDFORMATION.PR.3. Esses controles não estarão mais disponíveis na biblioteca de controles do AWS Control Tower. Para obter mais informações sobre os controles obsoletos, consulte [Categorias de controle](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html).

Os controles obsoletos não estão mais disponíveis em nenhum. Região da AWS

## Versão 3.2 da zona de pouso do AWS Control Tower
<a name="lz-3-2"></a>

**16 de junho de 2023**

(É necessário atualizar a zona de pouso do AWS Control Tower para a versão 3.2. Consulte informações em [Atualizar a zona de pouso](update-controltower.md)).

A versão 3.2 do AWS Control Tower landing zone traz os controles que fazem parte do **padrão AWS Security Hub CSPM gerenciado por serviços: AWS Control Tower para disponibilidade** geral. Ele introduz a capacidade de visualizar o status de desvio dos controles que fazem parte desse padrão no console do AWS Control Tower.

**Essa atualização inclui uma nova função vinculada ao serviço (SLR), chamada Torre. AWSService RoleFor AWSControl** Essa função auxilia o AWS Control Tower criando uma regra EventBridge gerenciada, chamada de **AWSControlTowerManagedRule**em cada conta membro. Essa regra gerenciada coleta eventos de AWS Security Hub CSPM **busca**, com o AWS Control Tower que pode determinar o desvio do controle.

Essa regra é a primeira regra gerenciada a ser criada pelo AWS Control Tower. A regra não é implantada por uma pilha; ela é implantada diretamente do. EventBridge APIs Você pode ver a regra no EventBridge console ou por meio do EventBridge APIs. Se o campo `managed-by` for preenchido, ele mostrará a entidade principal do serviço AWS Control Tower.

Anteriormente, o AWS Control Tower assumia a **AWSControlTowerExecution**função de realizar operações nas contas dos membros. Essa nova função e regra estão melhor alinhadas com o princípio de melhores práticas de permitir o mínimo de privilégios ao realizar operações em um ambiente com várias AWS contas. O novo perfil fornece permissões de escopo reduzido que permitem especificamente: criar a regra gerenciada nas contas-membros, manter a regra gerenciada, publicar notificações de segurança por meio do SNS e verificar o desvio. Para obter mais informações, consulte [AWSServiceRoleForAWSControlTorre](access-control-managing-permissions.md#AWSServiceRoleForAWSControlTower).

A atualização do landing zone 3.2 também inclui um novo StackSet recurso na conta de gerenciamento`BP_BASELINE_SERVICE_LINKED_ROLE`, que inicialmente implanta a função vinculada ao serviço.

Ao relatar o desvio de controle do CSPM do Security Hub (na landing zone 3.2 e posterior), o AWS Control Tower recebe uma atualização diária do status do CSPM do Security Hub. Embora os controles estejam ativos em todas as regiões governadas, o AWS Control Tower envia os eventos AWS Security Hub CSPM **Finding** somente para a região de origem da AWS Control Tower. Consulte mais informações em [Security Hub control drift reporting](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html#sh-drift).

**Atualização do controle de negação de região**

Essa versão da zona de pouso também inclui uma atualização para o controle de negação de região.

**Serviços globais e APIs adicionados**
+ Gerenciamento de Faturamento e Custos da AWS (`billing:*`)
+ AWS CloudTrail (`cloudtrail:LookupEvents`) para permitir a visibilidade de eventos globais nas contas dos membros.
+ AWS Faturamento consolidado () `consolidatedbilling:*`
+ AWS Management Console Mobile Application (`consoleapp:*`)
+ AWS Nível gratuito (`freetier:*`)
+ Faturamento da AWS (`invoicing:*`)
+ AWS QI () `iq:*`
+ AWS Notificações do usuário (`notifications:*`)
+ AWS Contatos de notificações do usuário (`notifications-contacts:*`)
+ Pagamentos da Amazon (`payments:*`)
+ AWS Configurações fiscais (`tax:*`)

**Serviços globais e APIs removidos**
+ Remoção de `s3:GetAccountPublic` porque não é uma ação válida.
+ Remoção de `s3:PutAccountPublic` porque não é uma ação válida.

## O AWS Control Tower adiciona email-to-ID mapeamento para o IAM Identity Center
<a name="email-to-id"></a>

**13 de julho de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte ao email-to-ID mapeamento para o IAM Identity Center. Esse recurso permite mapear endereços de e-mail para o usuário do IAM Identity Center IDs, o que facilita o gerenciamento do acesso do usuário ao seu ambiente do AWS Control Tower. Para obter mais informações sobre email-to-ID mapeamento, consulte [Integração com o IAM Identity Center](https://docs.aws.amazon.com//controltower/latest/userguide/sso-integration.html).

Email-to-ID o mapeamento está disponível em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower adiciona mais AWS Security Hub CSPM controles
<a name="more-sh-controls"></a>

**29 de junho de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower adicionou mais AWS Security Hub CSPM controles à biblioteca de controles da AWS Control Tower. Esses controles ajudam você a aplicar as melhores práticas para seus AWS recursos. Para obter mais informações sobre os novos controles, consulte [Categorias de controle](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html).

Os novos controles estão disponíveis em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower publica metadados para controles AWS Security Hub CSPM
<a name="publish-metadata"></a>

**22 de junho de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora publica metadados para AWS Security Hub CSPM controles. Esses metadados incluem informações sobre o controle, como ID do controle, título do controle e descrição do controle. Para obter mais informações sobre metadados, consulte [Metadados de controle](https://docs.aws.amazon.com//controltower/latest/userguide/control-metadata.html).

Os metadados de controle estão disponíveis em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower adiciona Account Factory Customization (AFC) for Terraform
<a name="afc-terraform"></a>

**15 de junho de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora é compatível com Account Customization (AFC) for Terraform. Esse atributo permite usar o Terraform para personalizar suas contas do AWS Control Tower. Para obter mais informações sobre o AFC for Terraform, consulte [Account Factory Customization for Terraform](https://docs.aws.amazon.com//controltower/latest/userguide/afc-terraform.html).

O AFC for Terraform está disponível em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower adiciona um centro de identidade autogerenciado do IAM
<a name="iam-self-manage"></a>

**8 de junho de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora é compatível com um centro de identidades autogerenciado do IAM. Esse atributo permite que você use seu próprio provedor de identidades com o AWS Control Tower. Para obter mais informações sobre o Centro de Identidade do IAM, consulte [Centro de Identidade do IAM](https://docs.aws.amazon.com//controltower/latest/userguide/iam-identity-center.html).

O centro de identidade autogerenciado do IAM está disponível em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower adiciona uma nota de governança mista
<a name="mixed-governance-note"></a>

**1.º de junho de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora inclui uma nota sobre governança mista. Esta nota explica como o AWS Control Tower trabalha com outros AWS serviços para fornecer governança para seus AWS recursos. Para obter mais informações sobre governança mista, consulte [Governança mista](https://docs.aws.amazon.com//controltower/latest/userguide/mixed-governance.html).

A nota de governança mista está disponível em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower adiciona novos controles proativos
<a name="new-proactive-controls"></a>

**25 de maio de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower adicionou novos controles à biblioteca de controles do AWS Control Tower. Esses controles ajudam você a aplicar as melhores práticas para seus AWS recursos. Para obter mais informações sobre os novos controles, consulte [Categorias de controle](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html).

Os novos controles estão disponíveis em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower atualiza controles do Amazon EC2
<a name="updated-ec2-controls"></a>

**18 de maio de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower atualizou os controles do Amazon EC2 na biblioteca de controles do AWS Control Tower. Essas atualizações melhoram a segurança e a confiabilidade do seu ambiente do AWS Control Tower. Para obter mais informações sobre os controles atualizados, consulte [Categorias de controle](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html).

Os controles atualizados estão disponíveis em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## O AWS Control Tower está disponível em mais sete Regiões da AWS
<a name="seven-regions"></a>

**11 de maio de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower está disponível em mais sete Regiões da AWS: Ásia-Pacífico (Osaka), Canadá (Central), Europa (Milão), Europa (Estocolmo), Oriente Médio (Bahrein), Oriente Médio (Emirados Árabes Unidos) e América do Sul (São Paulo). Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na [Tabela de Região da AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## Account Factory Customization (AFC) do AWS Control Tower e rastreamento de solicitações disponíveis ao público
<a name="account-customization-request-tracing-ga"></a>

**27 de abril de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O Account Factory Customization (AFC) do AWS Control Tower e rastreamento de solicitações agora estão disponíveis ao público. O AFC permite que você personalize suas contas do AWS Control Tower, e o rastreamento de solicitações permite que você acompanhe o status de suas solicitações do AWS Control Tower. Para obter mais informações sobre AFC e rastreamento de solicitações, consulte [Account Factory Customization](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-customization.html) e [Rastreamento de solicitações](https://docs.aws.amazon.com//controltower/latest/userguide/request-tracing.html).

O AFC e o rastreamento de solicitações estão disponíveis em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## Versão 3.1 da zona de pouso do AWS Control Tower
<a name="lz-3-1"></a>

9 de fevereiro de 2023

(É necessário atualizar a zona de pouso do AWS Control Tower para a versão 3.1. Consulte informações em [Atualizar a zona de pouso](update-controltower.md))

A versão 3.1 da zona de pouso do AWS Control Tower inclui as seguintes atualizações:
+ Com esse lançamento, o AWS Control Tower desativa o registro em log de acesso desnecessário para o *bucket de registro em log de acesso*, que é o bucket do Amazon S3 em que os logs de acesso são armazenados na conta de arquivamento de logs, enquanto continua habilitando o registro em log de acesso ao servidor para buckets do S3. Esta versão também inclui atualizações no controle Region Deny que permitem ações adicionais para serviços globais, como Suporte Planos AWS Artifact e. 
+ A desativação do registro de acesso ao servidor para o bucket de registro de acesso do AWS Control Tower faz com que o Security Hub CSPM crie uma descoberta para o *bucket de registro de acesso da conta do Log Archive, devido a uma AWS Security Hub CSPM regra: [S3.9] O registro* [de acesso ao servidor do bucket S3](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-9) deve ser ativado. Em alinhamento com o CSPM do Security Hub, recomendamos que você suprima essa descoberta específica, conforme declarado na descrição dessa regra no CSPM do Security Hub. Consulte informações adicionais [sobre descobertas suprimidas](https://docs.aws.amazon.com//securityhub/latest/userguide/finding-workflow-status.html).
+ O registro em log de acesso para o bucket de registro em log (regular) na conta de arquivamento de logs permanece inalterado na versão 3.1. De acordo com as práticas recomendadas, os eventos de acesso desse bucket são registrados como entradas de log no *bucket de registro em log de acesso*. Consulte mais informações sobre o registro em log de acesso em [Registrar em log as solicitações com registro em log de acesso ao servidor](https://docs.aws.amazon.com//AmazonS3/latest/userguide/ServerLogs.html) na documentação do Amazon S3.
+ Fizemos uma atualização no controle de negação de região. Essa atualização permite ações de mais serviços globais. Para obter detalhes sobre esse SCP, consulte [Negar acesso AWS com base na solicitação Região da AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html) e [Controles que aprimoram a proteção da residência de dados](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html).

  **Serviços globais adicionados:**
  + AWS Gerenciamento de contas (`account:*`)
  + AWS Ativar (`activate:*`)
  + AWS Artifact (`artifact:*`)
  + AWS Billing Conductor (`billingconductor:*`)
  + AWS Compute Optimizer (`compute-optimizer:*`)
  + AWS Data Pipeline (`datapipeline:GetAccountLimits`)
  + AWS Device Farm(`devicefarm:*`)
  + AWS Marketplace (`discovery-marketplace:*`)
  + Amazon ECR (`ecr-public:*`)
  + AWS License Manager (`license-manager:ListReceivedLicenses`)
  + AWS `lightsail:Get*`Lightsail ()
  + Explorador de recursos da AWS (`resource-explorer-2:*`)
  + Amazon S3 (`s3:CreateMultiRegionAccessPoint`, `s3:GetBucketPolicyStatus`, `s3:PutMultiRegionAccessPointPolicy`)
  + AWS Savings Plans (`savingsplans:*`)
  + Centro de Identidade do IAM (`sso:*`)
  + AWS Support App (`supportapp:*`)
  + Suporte Planos (`supportplans:*`)
  + AWS Sustentabilidade (`sustainability:*`)
  + AWS Resource Groups Tagging API (`tag:GetResources`)
  + AWS Marketplace Informações do fornecedor () `vendor-insights:ListEntitledSecurityProfiles`

## Controles proativos do AWS Control Tower disponíveis ao público em geral
<a name="proactive-control-ga"></a>

**13 de abril de 2023**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Os controles proativos do AWS Control Tower agora estão disponíveis ao público em geral. Os controles proativos ajudam você a aplicar as melhores práticas para seus AWS recursos. Consulte mais informações sobre controles proativos em [Proactive controls](https://docs.aws.amazon.com//controltower/latest/userguide/proactive-controls.html).

Os controles proativos estão disponíveis em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a [Região da AWS tabela](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

# De janeiro a dezembro de 2022
<a name="2022-all"></a>

Em 2022, o AWS Control Tower lançou as seguintes atualizações:
+ [Operações de conta simultâneas](#concurrent-account-operations)
+ [Account Factory Customization (AFC)](#af-customization)
+ [Controles abrangentes auxiliam no provisionamento e gerenciamento de AWS recursos](#proactive-controls-notes)
+ [Status de conformidade visível para todas as AWS Config regras](#config-compliance-status)
+ [API para controles e um novo CloudFormation recurso](#control-control-api)
+ [O CfCT permite a exclusão do conjunto de pilhas](#stack-set-deletion-cfct)
+ [Retenção de logs personalizada](#log-retention)
+ [Reparo de desvio de perfil disponível](#role-drift-repair)
+ [Versão 3.0 da zona de pouso do AWS Control Tower](#version-3.0)
+ [A página Organização combina visualizações OUs e contas](#ou-hierarchy-page)
+ [Criação e inscrição de contas simplificadas](#simple-create-and-enroll)
+ [AFT permite a personalização automatizada para contas compartilhadas do AWS Control Tower](#aft-supports-shared-accounts)
+ [Operações simultâneas para todos os controles opcionais](#concurrent-preventive-controls)
+ [Contas de segurança e de registro em log existentes](#existing-security-and-logging-accounts)
+ [Versão 2.9 da zona de pouso do AWS Control Tower](#version-2.9)
+ [Versão 2.8 da zona de pouso do AWS Control Tower](#version-2.8)

## Operações de conta simultâneas
<a name="concurrent-account-operations"></a>

**16 de dezembro de 2022**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora permite ações simultâneas no Account Factory. É possível criar, atualizar ou inscrever até cinco (5) contas por vez. Envie até cinco ações consecutivas e veja o status de conclusão de cada solicitação, enquanto as contas terminam de ser criadas em segundo plano. Por exemplo, você não precisa mais esperar que cada processo seja concluído antes de atualizar outra conta ou antes de registrar novamente uma unidade organizacional (UO) inteira.

## Account Factory Customization (AFC)
<a name="af-customization"></a>

**28 de novembro de 2022**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O Account Factory Customization permite que você personalize contas novas e existentes no console do AWS Control Tower. Esses novos recursos de personalização oferecem a flexibilidade de definir esquemas de conta, que são CloudFormation modelos contidos em um produto especializado do Service Catalog. Os esquemas fornecem recursos e configurações totalmente personalizados. Você também pode optar por usar esquemas predefinidos, criados e gerenciados por parceiros da AWS , que ajudam a personalizar contas para casos de uso específicos.

Anteriormente, o Account Factory do AWS Control Tower não permitia a personalização de contas no console. Com essa atualização do Account Factory, é possível predefinir os requisitos da conta e implementá-los como parte de um fluxo de trabalho bem definido. Você pode aplicar esquemas para criar novas contas, inscrever outras AWS contas na AWS Control Tower e atualizar as contas existentes da AWS Control Tower.

Ao provisionar, inscrever ou atualizar uma conta no Account Factory, você seleciona o esquema a ser implantado. Esses recursos especificados no esquemas são provisionados na conta. Quando a conta termina de ser criada, todas as configurações personalizadas ficam disponíveis para uso imediato.

Para começar a personalizar contas, é possível definir os recursos para o caso de uso pretendido em um produto do Service Catalog. Você também pode selecionar soluções gerenciadas por parceiros na AWS Getting Started Library. Para obter mais informações, consulte [Personalizar contas com Account Factory Customization (AFC)](af-customization-page.md).

## Controles abrangentes auxiliam no provisionamento e gerenciamento de AWS recursos
<a name="proactive-controls-notes"></a>

**28 de novembro de 2022**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte ao gerenciamento abrangente de controles, incluindo controles proativos novos e opcionais, implementados por meio de CloudFormation ganchos. Esses controles são chamados de proativos porque verificam seus recursos, antes de serem implantados, para determinar se os novos recursos estão em conformidade com os controles ativados no ambiente.

Mais de 130 novos controles proativos ajudam você a cumprir objetivos políticos específicos para seu ambiente da AWS Control Tower; a atender aos requisitos das estruturas de conformidade padrão do setor; e a governar as interações da AWS Control Tower em mais de vinte outros serviços. AWS 

A biblioteca de controles do AWS Control Tower classifica esses controles de acordo com os AWS serviços e recursos associados. Consulte mais detalhes em [Proactive controls](https://docs.aws.amazon.com//controltower/latest/controlreference/proactive-controls.html).

Com essa versão, o AWS Control Tower também é integrado AWS Security Hub CSPM, por meio do novo **padrão gerenciado de serviços CSPM do Security Hub: AWS Control Tower, que suporta o padrão** AWS Foundational Security Best Practices (FSBP). Você pode ver mais de 160 controles CSPM do Security Hub junto com os controles da AWS Control Tower no console e obter uma pontuação de segurança do CSPM do Security Hub para seu ambiente do AWS Control Tower. Consulte mais informações em [Security Hub controls](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html).

## Status de conformidade visível para todas as AWS Config regras
<a name="config-compliance-status"></a>

**18 de novembro de 2022**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora exibe o status de conformidade de todas as AWS Config regras implantadas em unidades organizacionais registradas na AWS Control Tower. Você pode ver o status de conformidade de todas AWS Config as regras que afetam suas contas na AWS Control Tower, inscritas ou não inscritas, sem sair do console do AWS Control Tower. Os clientes podem optar por configurar regras do Config, chamadas de controles de detetive, no AWS Control Tower ou configurá-las diretamente por meio do serviço. AWS Config As regras implantadas por AWS Config são mostradas, junto com as regras implantadas pelo AWS Control Tower.

Anteriormente, AWS Config as regras implantadas por meio do AWS Config serviço não eram visíveis no console do AWS Control Tower. Os clientes precisavam acessar o AWS Config serviço para identificar regras não compatíveis. AWS Config Agora você pode identificar qualquer AWS Config regra não compatível no console do AWS Control Tower. Para ver o status de conformidade de todas as regras do Config, acesse a página **Detalhes da conta** no console do AWS Control Tower. Você verá uma lista mostrando o status de conformidade dos controles gerenciados pelas regras do Config e do AWS Control Tower implantadas fora do AWS Control Tower.

## API para controles e um novo CloudFormation recurso
<a name="control-control-api"></a>

**1º de setembro de 2022**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora permite o gerenciamento programático de controles, também conhecido como *barreiras de proteção*, por meio de um conjunto de chamadas de API. Um novo recurso da CloudFormation é compatível com a funcionalidade da API para controles. Para obter mais detalhes, consulte [Automatizar tarefas no AWS Control Tower](automating-tasks.md) e [Crie AWS Control Tower recursos com AWS CloudFormation](creating-resources-with-cloudformation.md).

Eles APIs permitem que você ative, desative e visualize o status dos controles do aplicativo na biblioteca do AWS Control Tower. Eles APIs incluem suporte para CloudFormation, para que você possa gerenciar AWS recursos como infrastructure-as-code (IaC). O AWS Control Tower fornece controles preventivos e de deteção opcionais que expressam suas intenções políticas em relação a toda uma unidade organizacional (OU) e a cada AWS conta dentro da OU. Essas regras permanecem em vigor à medida que você cria contas ou faz alterações nas contas existentes.

**APIs incluído nesta versão**
+ **EnableControl**— Essa chamada de API ativa um controle. Ele inicia uma operação assíncrona que cria recursos da AWS na unidade organizacional especificada e nas contas que ela contém.
+ **DisableControl**— Essa chamada de API desativa um controle. Ele inicia uma operação assíncrona que exclui recursos da AWS na unidade organizacional especificada e nas contas que ela contém. 
+ **GetControlOperation**— Retorna o status de uma determinada **DisableControl**operação **EnableControl**ou operação.
+ **ListEnabledControls**— Lista os controles habilitados pelo AWS Control Tower na unidade organizacional especificada e nas contas que ela contém.

Para ver uma lista de nomes de controle para controles opcionais, consulte [Identificadores de recursos APIs e controles](https://docs.aws.amazon.com//controltower/latest/userguide/control-identifiers.html) no *Guia do usuário do AWS Control Tower*.

## O CfCT permite a exclusão do conjunto de pilhas
<a name="stack-set-deletion-cfct"></a>

**26 de agosto de 2022**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O Customizations for AWS Control Tower (CfCT) agora permite a exclusão de conjuntos de pilhas, definindo um parâmetro no arquivo `manifest.yaml`. Para obter mais informações, consulte [Excluir um conjunto de pilhas](cfct-delete-stack.md).

**Importante**  
Quando você define inicialmente o valor de `enable_stack_set_deletion` para `true`, na próxima vez que invocar o CfCT, **TODOS** os recursos que começam com o prefixo `CustomControlTower-`, que têm a tag de chave `Key:AWS_Solutions, Value: CustomControlTowerStackSet` associada e que não são declarados no arquivo de manifesto, são preparados para exclusão.

## Retenção de logs personalizada
<a name="log-retention"></a>

**15 de agosto de 2022**

(Atualização necessária para a zona de pouso do AWS Control Tower. Consulte informações em [Atualizar a zona de pouso](update-controltower.md))

O AWS Control Tower agora oferece a capacidade de personalizar a política de retenção para buckets do Amazon S3 que armazenam seus registros da AWS Control Tower. CloudTrail É possível personalizar a política de retenção de logs do Amazon S3, em incrementos de dias ou anos, até um máximo de 15 anos. 

Se você optar por não personalizar a retenção de logs, as configurações padrão são de um ano para registro em log de conta padrão e 10 anos para registro em log de acesso.

Esse atributo está disponível para clientes existentes por meio do AWS Control Tower quando você atualiza ou repara a zona de pouso, e para novos clientes por meio da configuração do AWS Control Tower.

## Reparo de desvio de perfil disponível
<a name="role-drift-repair"></a>

**11 de agosto de 2022**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora permite o reparo em caso de desvio de perfil. É possível restaurar um perfil necessário sem um reparo completo da zona de pouso. Se esse tipo de reparo de desvio for necessário, a página de erro do console fornece etapas para restaurar o perfil, para que a zona de pouso esteja novamente disponível.

## Versão 3.0 da zona de pouso do AWS Control Tower
<a name="version-3.0"></a>

**29 de julho de 2022**

(É necessário atualizar a zona de pouso do AWS Control Tower para a versão 3.0. Consulte informações em [Atualizar a zona de pouso](update-controltower.md))

A versão 3.0 da zona de pouso do AWS Control Tower inclui as seguintes atualizações:
+ A opção de escolher trilhas em nível organizacional ou optar por não participar das AWS CloudTrail CloudTrail trilhas gerenciadas pelo AWS Control Tower.
+ Dois novos controles de detetive para determinar se AWS CloudTrail está registrando atividades em suas contas.
+ A opção de agregar AWS Config informações sobre recursos globais somente na sua região de origem.
+ Uma atualização do controle de negação de região.
+ Uma atualização da política gerenciada, **AWSControlTowerServiceRolePolicy**.
+ Não criamos mais a função do IAM `aws-controltower-CloudWatchLogsRole` e o grupo de CloudWatch registros `aws-controltower/CloudTrailLogs` em cada conta inscrita. Anteriormente, nós os criávamos em cada conta para sua trilha de conta. Com trilhas da organização, criamos apenas um na conta de gerenciamento.

As seções a seguir fornecem mais detalhes sobre cada recurso novo.

** CloudTrail Trilhas em nível organizacional no AWS Control Tower**

 Com a versão 3.0 da zona de pouso, o AWS Control Tower agora permite trilhas do AWS CloudTrail no nível da organização.

Ao atualizar sua zona de pouso da AWS Control Tower para a versão 3.0, você tem a opção de selecionar AWS CloudTrail trilhas no nível da organização como sua preferência de registro ou optar por não receber CloudTrail trilhas gerenciadas pela AWS Control Tower. Quando você atualiza para a versão 3.0, o AWS Control Tower exclui *as trilhas existentes no nível da conta para contas inscritas* após um período de espera de 24 horas. O AWS Control Tower não exclui trilhas no nível da conta para contas não inscritas. No caso improvável de a atualização da zona de pouso não ser bem-sucedida, mas a falha ocorrer depois que o AWS Control Tower já tiver criado a trilha no nível da organização, você poderá incorrer em cobranças duplicadas pelas trilhas no nível da organização e da conta, até que a operação de atualização seja concluída com sucesso.

A partir da landing zone 3.0, o AWS Control Tower não oferece mais suporte a trilhas gerenciadas em nível de conta. AWS Em vez disso, o AWS Control Tower cria uma trilha no nível da organização, que é ativa ou inativa, de acordo com sua seleção.

**nota**  
Depois de atualizar para a versão 3.0 ou posterior, você não tem a opção de continuar com CloudTrail trilhas em nível de conta gerenciadas pelo AWS Control Tower.

Nenhum dado de registro em log é perdido dos logs de conta agregados, porque os logs permanecem no bucket existente do Amazon S3, onde estão armazenados. Somente as trilhas são excluídas, não os logs existentes. Se você selecionar a opção de adicionar trilhas no nível da organização, o AWS Control Tower abrirá um novo caminho para uma nova pasta dentro do bucket do Amazon S3 e continuará enviando informações de registro em log para esse local. Se você optar por não participar das trilhas gerenciadas pelo AWS Control Tower, os logs existentes permanecerão no bucket, inalterados.

**Convenções de nomenclatura de caminhos para armazenamento de logs**
+ Os logs de trilha da conta são armazenados com um caminho deste formato: `/org id/AWSLogs/… `
+ Os logs de trilha da organização são armazenados com um caminho deste formato: `/org id/AWSLogs/org id/… `

 O caminho que o AWS Control Tower cria para suas CloudTrail trilhas em nível organizacional é diferente do caminho padrão para uma trilha em nível organizacional criada manualmente, que teria o seguinte formato:
+  `/AWSLogs/org id/… `

Para obter mais informações sobre a nomenclatura de CloudTrail caminhos, consulte [Encontrando seus arquivos de CloudTrail log](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-find-log-files.html ).

**dica**  
Se você planeja criar e gerenciar suas próprias trilhas no nível de conta, recomendamos que você crie as trilhas antes de concluir a atualização para a versão 3.0 da zona de pouso do AWS Control Tower, para começar o registro em log imediatamente.

A qualquer momento, você pode optar por criar novas CloudTrail trilhas no nível da conta ou da organização e gerenciá-las por conta própria. A opção de escolher CloudTrail trilhas em nível organizacional gerenciadas pelo AWS Control Tower está disponível durante qualquer atualização da landing zone para a versão 3.0 ou posterior. Você pode optar por *aceitar* ou *cancelar* trilhas no nível da organização, sempre que atualizar a zona de pouso. 

Se os logs forem gerenciados por um serviço de terceiros, forneça o nome do novo caminho para o serviço.

**nota**  
Para zonas de pouso na versão 3.0 ou posterior, AWS CloudTrail trilhas em nível de conta não são suportadas pelo AWS Control Tower. É possível criar e manter suas próprias trilhas no nível da conta a qualquer momento, ou pode optar por trilhas no nível da organização gerenciadas pelo AWS Control Tower.

** AWS Config Registre recursos somente na região de origem**

Na versão 3.0 da zona de pouso, o AWS Control Tower atualizou a configuração da linha de base para o AWS Config a fim de registrar recursos globais somente na região de origem. Depois de atualizar para a versão 3.0, a gravação de recursos globais é ativada somente na região de origem.

Essa configuração é considerada uma prática recomendada. É recomendado por AWS Security Hub CSPM e e AWS Config gera economia de custos ao reduzir o número de itens de configuração criados quando recursos globais são criados, modificados ou excluídos. Anteriormente, sempre que um recurso global era criado, atualizado ou excluído, seja por um cliente ou por um serviço da AWS , um item de configuração era criado para cada item em cada região administrada.

**Dois novos controles de detecção para registro em log do AWS CloudTrail **

Como parte da mudança nas AWS CloudTrail trilhas em nível organizacional, o AWS Control Tower está introduzindo dois novos controles de detetive que verificam se está habilitado. CloudTrail O primeiro controle tem orientação **Obrigatória** e é habilitado na UO de segurança durante as atualizações de configuração ou da zona de pouso da versão 3.0 e posterior. O segundo controle tem uma orientação **altamente recomendada** e é aplicado opcionalmente a qualquer OUs outro que não seja a UO de Segurança, que já tem a proteção de controle obrigatória aplicada.

**Controle obrigatório:** [detecte se as contas compartilhadas na unidade organizacional de segurança têm AWS CloudTrail ou o CloudTrail Lake ativado](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#ensure-cloudtrail-enabled-mandatory)

**Controle altamente recomendado:** [detecte se uma conta tem AWS CloudTrail ou o CloudTrail Lake ativado](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#ensure-cloudtrail-enabled-recommended)

Consulte mais informações sobre os novos controles em [The AWS Control Tower controls library](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html).

**Uma atualização do controle de negação de região**

Atualizamos a **NotAction**lista na Região de negação de controle para incluir ações de alguns serviços adicionais, listados abaixo:

```
            "chatbot:*",
            "s3:GetAccountPublic",
            "s3:DeleteMultiRegionAccessPoint", 
            "s3:DescribeMultiRegionAccessPointOperation", 
            "s3:GetMultiRegionAccessPoint", 
            "s3:GetMultiRegionAccessPointPolicy", 
            "s3:GetMultiRegionAccessPointPolicyStatus",
            "s3:ListMultiRegionAccessPoints",
            "s3:GetStorageLensConfiguration", 
            "s3:GetStorageLensDashboard", 
            "s3:ListStorageLensConfigurations"
            "s3:GetAccountPublicAccessBlock",
            "s3:PutAccountPublic", 
            "s3:PutAccountPublicAccessBlock",
```

### Vídeo de demonstração
<a name="update-to-3.0-video"></a>

Este vídeo (3:07) descreve como atualizar a zona de pouso atual do AWS Control Tower para a versão 3. Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.

[![AWS Videos](http://img.youtube.com/vi/zf-dJ6_joTw/0.jpg)](http://www.youtube.com/watch?v=zf-dJ6_joTw)


## A página Organização combina visualizações OUs e contas
<a name="ou-hierarchy-page"></a>

**18 de julho de 2022**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

A nova página **da organização** no AWS Control Tower mostra uma visão hierárquica (em árvore) de todas as unidades organizacionais (OUs) e contas. Ele combina as informações das páginas **OUs**e **Contas**, que existiam anteriormente.

Na nova página, você pode ver as relações entre os pais OUs e suas contas aninhadas OUs. Você pode agir em agrupamentos de recursos. É possível configurar a visualização da página. Por exemplo, você pode expandir ou reduzir a exibição hierárquica, filtrar a exibição para ver contas ou OUs somente, optar por visualizar somente suas contas inscritas e registradas OUs, ou você pode visualizar grupos de recursos relacionados. É mais fácil garantir que toda a organização seja atualizada adequadamente.

## Criação e inscrição de contas simplificadas
<a name="simple-create-and-enroll"></a>

**30 de junho de 2022**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora fornece um fluxo de trabalho simplificado para criar e cadastrar contas. Você pode criar uma nova conta ou inscrever uma conta existente em um único fluxo de trabalho, sem precisar navegar até o console do Catálogo de serviços. Para obter mais informações, consulte [Inscrever uma conta existente pelo console do AWS Control Tower](quick-account-provisioning.md).

## AFT permite a personalização automatizada para contas compartilhadas do AWS Control Tower
<a name="aft-supports-shared-accounts"></a>

**27 de maio de 2022**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O Account Factory for Terraform (AFT) agora pode personalizar e atualizar programaticamente qualquer uma das suas contas gerenciadas pelo AWS Control Tower, incluindo a conta de gerenciamento, a conta de auditoria e a conta de arquivamento de logs, junto com suas contas inscritas. É possível centralizar a personalização da conta e o gerenciamento de atualizações e, ao mesmo tempo, proteger a segurança das configurações da conta, porque você define o escopo do perfil que executa o trabalho.

A **AWSAFTExecution**função existente agora implanta personalizações em todas as contas. Você pode configurar permissões do IAM com limites que limitam o acesso à **AWSAFTExecution**função de acordo com seus requisitos comerciais e de segurança. Você também pode delegar programaticamente as permissões de personalização aprovadas nesse perfil para usuários confiáveis. Como prática recomendada, é aconselhável restringir as permissões às necessárias para implantar as personalizações necessárias.

A AFT agora cria a nova **AWSAFTService**função para implantar recursos da AFT em todas as contas gerenciadas, incluindo as contas compartilhadas e a conta de gerenciamento. Anteriormente, os recursos eram distribuídos pela **AWSAFTExecution**função.

As contas compartilhadas e gerenciadas do AWS Control Tower não são provisionadas pela fábrica de contas, portanto, elas não têm produtos provisionados correspondentes. AWS Service Catalog Portanto, você não pode atualizar as contas compartilhadas e de gerenciamento no Service Catalog.

## Operações simultâneas para todos os controles opcionais
<a name="concurrent-preventive-controls"></a>

**18 de maio de 2022**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O AWS Control Tower agora permite operações simultâneas para controles preventivos, bem como para controles de detecção.

Com esse novo recurso, qualquer controle opcional agora pode ser aplicado ou removido simultaneamente, melhorando assim a facilidade de uso e o desempenho de todos os controles opcionais. É possível habilitar vários controles opcionais sem esperar que as operações de controle individuais sejam concluídas. Os únicos horários restritos são quando o AWS Control Tower está no processo de configuração da zona de pouso ou ao estender a governança a uma nova organização.

**Funcionalidade compatível apenas com controles preventivos:**
+ Aplique e remova diferentes controles preventivos na mesma UO.
+ Aplique e remova diferentes controles preventivos em diferentes OUs, simultaneamente. 
+ Aplique e remova o mesmo controle preventivo em vários OUs, simultaneamente. 
+ É possível aplicar e remover controles preventivos e de detecção simultaneamente.

Você pode experimentar essas melhorias de controle simultâneo em todas as versões lançadas do AWS Control Tower.

Quando você aplica controles preventivos ao aninhado OUs, os controles preventivos afetam todas as contas e estão OUs aninhadas na OU de destino, mesmo que essas contas não OUs estejam registradas no AWS Control Tower. Os controles preventivos são implementados usando as Políticas de Controle de Serviços (SCPs), que fazem parte de AWS Organizations. Os controles de detetive são implementados usando AWS Config regras. As barreiras de proteção permanecem em vigor à medida que você cria contas ou faz alterações em contas existentes, e o AWS Control Tower fornece um relatório resumido de como cada conta está em conformidade com as políticas habilitadas. Consulte uma lista completa dos controles disponíveis em [The AWS Control Tower controls library](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html). 

## Contas de segurança e de registro em log existentes
<a name="existing-security-and-logging-accounts"></a>

**16 de maio de 2022**

(Disponível durante a configuração inicial.)

O AWS Control Tower agora oferece a opção de você especificar uma AWS conta existente como uma conta de segurança ou de registro da AWS Control Tower, durante o processo inicial de configuração da landing zone. Essa opção elimina a necessidade de o AWS Control Tower criar contas novas e compartilhadas. A conta de segurança, chamada de conta de **auditoria** por padrão, é uma conta restrita que dá às equipes de segurança e conformidade acesso a todas as contas na zona de pouso. A conta de registro em log, chamada de conta de **arquivamento de logs** por padrão, funciona como um repositório. Ela armazena logs de atividades de API e configurações de recursos de todas as contas na zona de pouso.

Ao trazer suas contas existentes de segurança e de registro em log, é mais fácil estender a governança do AWS Control Tower para suas organizações existentes ou migrar de uma zona de pouso alternativa para o AWS Control Tower. A opção de usar contas existentes é exibida durante a configuração inicial da zona de pouso. Ela inclui verificações durante o processo de configuração, que garantem a implantação bem-sucedida. O AWS Control Tower implementa os perfil e os controles necessários nas contas existentes. Ele não remove nem mescla nenhum recurso ou dado existente nessas contas.

Limitação: Se você planeja trazer AWS contas existentes para a AWS Control Tower como contas de auditoria e arquivamento de log, e se essas contas tiverem AWS Config recursos existentes, você deverá excluir os AWS Config recursos existentes antes de poder cadastrá-las na AWS Control Tower.

## Versão 2.9 da zona de pouso do AWS Control Tower
<a name="version-2.9"></a>

**22 de abril de 2022**

(É necessário atualizar a zona de pouso do AWS Control Tower para a versão 2.9. Consulte informações em [Atualizar a zona de pouso](update-controltower.md))

A versão 2.9 da zona de pouso do AWS Control Tower atualiza o encaminhador de notificações do Lambda para usar o runtime do Python versão 3.9. Essa atualização aborda a desativação da versão 3.6 do Python, planejada para julho de 2022. Consulte as informações mais recentes na [página de desativação do Python](https://docs.aws.amazon.com//lambda/latest/dg/runtime-support-policy.html).

## Versão 2.8 da zona de pouso do AWS Control Tower
<a name="version-2.8"></a>

**10 de fevereiro de 2022**

(É necessário atualizar a zona de pouso do AWS Control Tower para a versão 2.8. Consulte informações em [Atualizar a zona de pouso](update-controltower.md))

A versão 2.8 da zona de pouso do AWS Control Tower adiciona uma funcionalidade que se alinha às atualizações recentes de [AWS Foundational Security Best Practices](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp.html).

**Nesse lançamento:**
+ O registro em log de acesso é configurado para o bucket de log de acesso na conta de arquivamento de logs, para acompanhar o acesso ao bucket de log de acesso existente do S3. 
+ Suporte adicionado para políticas de ciclo de vida. O log de acesso do bucket de log de acesso existente do S3 está definido para um tempo de retenção padrão de 10 anos.
+ Além disso, esta versão atualiza o AWS Control Tower para usar o AWS Service Linked Role (SLR) fornecido por AWS Config, em todas as contas gerenciadas (sem incluir a conta de gerenciamento), para que você possa configurar e gerenciar as regras do Config de acordo AWS Config com as melhores práticas. Os clientes que não fizerem upgrade continuarão usando o perfil atual.
+ Essa versão simplifica o processo de configuração do AWS Control Tower KMS para criptografar AWS Config dados e melhora as mensagens de status relacionadas. CloudTrail 
+ O lançamento inclui uma atualização do controle de negação de região, para permitir o recurso `route53-application-recovery` na região `us-west-2`.
+ Atualização: em 15 de fevereiro de 2022, removemos a fila de mensagens não entregues das funções do AWS Lambda.

**Outros detalhes:**
+ Se você desativar a zona de pouso, o AWS Control Tower não removerá o perfil vinculado ao serviço do AWS Config .
+ Se você desprovisionar uma conta do Account Factory, o AWS Control Tower não removerá o perfil vinculado ao serviço do AWS Config .

Para atualizar a zona de pouso para 2.8, acesse a página **Configurações de zona inicial**, selecione a versão 2.8 e escolha **Atualizar**. Depois de atualizar a zona de pouso, você deve atualizar todas as contas que são administradas pelo AWS Control Tower, conforme indicado em [Gerenciamento de atualizações de configuração no AWS Control Tower](configuration-updates.md).

# De janeiro a dezembro de 2021
<a name="2021-all"></a>

Em 2021, o AWS Control Tower lançou as seguintes atualizações:
+ [Recursos de negação de região](#region-deny-control)
+ [Atributos de residência de dados](#data-residency-feature)
+ [AWS Control Tower apresenta o provisionamento e a personalização de contas do Terraform](#aft-available)
+ [Novo evento do ciclo de vida disponível](#precheck-organizational-unit-event)
+ [O AWS Control Tower permite o aninhamento OUs](#nested-ou)
+ [Simultaneidade do controle de detecção](#detective-control-concurrency)
+ [Duas novas regiões disponíveis](#paris-and-sao-paulo)
+ [Desmarcação de região](#region-deselect)
+ [O AWS Control Tower funciona com sistemas de gerenciamento de AWS chaves](#kms-keys)
+ [Controles renomeados, funcionalidade inalterada](#control-renaming)
+ [O AWS Control Tower escaneia SCPs diariamente para verificar se há desvio](#daily-scp-scans)
+ [Nomes OUs e contas personalizados](#rename-core-ous-and-accounts)
+ [Versão 2.7 da zona de pouso do AWS Control Tower](#version-2.7)
+ [Três novas AWS regiões disponíveis](#three-new-regions)
+ [Administrar somente regiões selecionadas](#region-select)
+ [O AWS Control Tower agora estende a governança às existentes OUs em suas AWS organizações](#extended-governance)
+ [AWS Control Tower disponibiliza atualizações de contas em massa](#bulk-update)

## Recursos de negação de região
<a name="region-deny-control"></a>

**30 de novembro de 2021**

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora fornece recursos de negação de regiões, que ajudam você a limitar o acesso a AWS serviços e operações para contas inscritas em seu ambiente do AWS Control Tower. O recurso de negação de região complementa os recursos existentes de seleção e desmarcação de regiões no AWS Control Tower. Em conjunto, esses recursos ajudam a lidar com questões regulatórias e de conformidade, ao mesmo tempo que equilibram os custos associados à expansão para outras regiões.

Por exemplo, AWS clientes na Alemanha podem negar acesso AWS a serviços em regiões fora da região de Frankfurt. Você pode selecionar regiões restritas durante o processo de configuração do AWS Control Tower ou na página **Configurações de zona inicial**. O recurso de negação de região é disponibilizado quando você atualiza a versão da zona de pouso do AWS Control Tower. Alguns AWS serviços estão isentos dos recursos de negação por região. Para saber mais, consulte [Configure the Region deny control](https://docs.aws.amazon.com//controltower/latest/userguide/region-deny.html).

## Atributos de residência de dados
<a name="data-residency-feature"></a>

**30 de novembro de 2021**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O AWS Control Tower agora oferece controles específicos para ajudar a garantir que todos os dados de clientes que você envie para AWS os serviços estejam localizados somente nas AWS regiões que você especificar. Você pode selecionar a AWS região ou regiões nas quais os dados do seu cliente são armazenados e processados. Para obter uma lista completa das AWS regiões em que o AWS Control Tower está disponível, consulte a [tabela de AWS regiões](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services/).

Para controle granular, é possível aplicar controles adicionais, como **Proibir conexões da Amazon Virtual Private Network (VPN)** ou **Proibir o acesso à internet para uma instância da Amazon VPC**. É possível visualizar o status de conformidade dos controles no console do AWS Control Tower. Consulte uma lista completa dos controles disponíveis em [The AWS Control Tower controls library](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html). 

## AWS Control Tower apresenta o provisionamento e a personalização de contas do Terraform
<a name="aft-available"></a>

**29 de novembro de 2021**

(Atualização opcional para a zona de pouso do AWS Control Tower)

Agora é possível usar o Terraform para provisionar e atualizar contas personalizadas por meio do AWS Control Tower, com o *Account Factory for Terraform (AFT) do AWS Control Tower*.

O AFT fornece um único pipeline de infraestrutura como código (IaC) do Terraform, que provisiona contas gerenciadas pelo AWS Control Tower. As personalizações durante o provisionamento ajudam a cumprir suas políticas comerciais e de segurança, antes de você fornecer as contas aos usuários finais.

O pipeline automatizado de criação de contas do AFT monitora até que o provisionamento da conta seja concluído e, depois, continua, acionando módulos do Terraform que aprimoram a conta com as personalizações necessárias. Como parte adicional do processo de personalização, você pode configurar o pipeline para instalar seus próprios módulos personalizados do Terraform e pode optar por adicionar qualquer uma das opções de recursos do AFT, fornecidas AWS pelas personalizações comuns.

Comece a usar o Account Factory for Terraform do AWS Control Tower seguindo as etapas fornecidas no *Guia do usuário do AWS Control Tower*, [Account Factory for Terraform (AFT) do AWS Control Tower](aft-getting-started.md), e baixando o AFT para sua instância do Terraform. O AFT é compatível com as distribuições Terraform Cloud, Terraform Enterprise e Terraform Open Source.

## Novo evento do ciclo de vida disponível
<a name="precheck-organizational-unit-event"></a>

**18 de novembro de 2021**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O `PrecheckOrganizationalUnit` evento registra se algum recurso impede o sucesso da tarefa de **governança Extend**, incluindo recursos aninhados OUs. Para obter mais informações, consulte [`PrecheckOrganizationalUnit`](lifecycle-events.md#precheck-organizational-unit).

## O AWS Control Tower permite o aninhamento OUs
<a name="nested-ou"></a>

**16 de novembro de 2021**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O AWS Control Tower agora permite que você inclua o aninhado OUs como parte da sua landing zone.

O AWS Control Tower fornece suporte para unidades organizacionais aninhadas (OUs), permitindo que você organize contas em vários níveis hierárquicos e aplique controles preventivos hierarquicamente. Você pode registrar OUs contendo aninhado OUs, criar e registrar OUs como pai OUs e ativar controles em qualquer OU registrada, independentemente da profundidade. Para oferecer suporte a essa funcionalidade, o console mostra o número de contas controladas e. OUs

Com o nested OUs, você pode alinhar sua AWS Control Tower OUs à estratégia de AWS várias contas e reduzir o tempo necessário para habilitar controles em várias OUs, aplicando controles no nível da OU principal.

**Considerações importantes**

1. Você pode registrar uma OU existente em vários níveis OUs no AWS Control Tower, uma OU por vez, começando pela OU de nível superior e depois descendo pela árvore. Para obter mais informações, consulte [Expandir de uma estrutura de UO plana para uma estrutura de UO aninhada](nested-ous.md#flat-to-nested).

1. As contas diretamente em uma UO registrada são registradas automaticamente. As contas mais abaixo na árvore podem ser registradas registrando a UO principal imediata.

1. Os controles preventivos (SCPs) são herdados automaticamente na hierarquia; SCPs aplicados ao pai são herdados por todos os aninhados. OUs 

1. Os controles Detective (regras de AWS configuração) NÃO são herdados automaticamente.

1. A conformidade com os controles de detecção é relatada por cada UO.

1. A variação do SCP em uma OU afeta todas as contas e OUs abaixo dela.

1. Você não pode criar um novo OUs aninhado na OU de segurança (OU principal).

## Simultaneidade do controle de detecção
<a name="detective-control-concurrency"></a>

**5 de novembro de 2021**

(Atualização opcional para a zona de pouso do AWS Control Tower)

Os controles de detecção do AWS Control Tower agora são compatíveis com operações simultâneas para controles de detecção, melhorando a facilidade de uso e o desempenho. É possível habilitar vários controles de detecção sem esperar que as operações de controle individuais sejam concluídas.

**Funcionalidades compatíveis:**
+ Habilite diferentes controles de detecção na mesma UO (por exemplo, **Detectar se a MFA para o usuário-raiz está habilitada** e **Detectar se o acesso público de gravação nos buckets do Amazon S3 é permitido**).
+ Ative diferentes controles de detetive em diferentes OUs, simultaneamente. 
+ As mensagens de erro da barreira de proteção foram aprimoradas para fornecer mais orientações para operações de simultaneidade de controle compatíveis. 

**Não compatível com esta versão:**
+ Não OUs há suporte para ativar o mesmo controle de detetive em vários ao mesmo tempo.
+ A simultaneidade de controle *preventivo* não é permitida.

Você pode experimentar as melhorias de simultaneidade do controle de detecção em todas as versões do AWS Control Tower. É recomendável que os clientes que ainda não usam a versão 2.7 realizem uma atualização da zona de pouso para aproveitar outros recursos, como seleção e desmarcação de regiões, que estão disponíveis na versão mais recente.

## Duas novas regiões disponíveis
<a name="paris-and-sao-paulo"></a>

**29 de julho de 2021**

(Atualização necessária para a zona de pouso do AWS Control Tower)

O AWS Control Tower agora está disponível em duas AWS regiões adicionais: América do Sul (São Paulo) e Europa (Paris). Essa atualização expande a disponibilidade do AWS Control Tower para 15 regiões da AWS . 

Se você é iniciante no AWS Control Tower, pode iniciá-lo imediatamente em qualquer uma das regiões compatíveis. Durante a inicialização, é possível selecionar as regiões nas você quais deseja que o AWS Control Tower crie e controle seu ambiente de várias contas.

Se você já tem um ambiente do AWS Control Tower e deseja estender ou remover os recursos de governança do AWS Control Tower em uma ou mais regiões compatíveis, acesse a página **Configurações de zona inicial** no painel do AWS Control Tower e selecione as regiões. Depois de atualizar a zona de pouso, você deve [atualizar todas as contas que são administradas pelo AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/configuration-updates.html#deploying-to-new-region).

## Desmarcação de região
<a name="region-deselect"></a>

**29 de julho de 2021**

(Atualização opcional para a zona de pouso do AWS Control Tower)

A desmarcação de região do AWS Control Tower aprimora sua capacidade de gerenciar a área geográfica dos recursos do AWS Control Tower. É possível desmarcar regiões que você não gostaria mais que o AWS Control Tower administrasse. Esse recurso permite abordar questões regulatórias e de conformidade e, ao mesmo tempo, equilibrar os custos associados à expansão para outras regiões.

A desmarcação de região fica disponível quando você atualiza sua versão da zona de pouso do AWS Control Tower. 

Quando você usa o Account Factory para criar uma conta ou inscrever uma conta-membro preexistente, ou quando seleciona **Estender governança** para inscrever contas em uma unidade organizacional preexistente, o AWS Control Tower implanta seus recursos de governança, que incluem registro em log, monitoramento e controles centralizados, nas regiões escolhidas nas contas. A opção de desmarcar uma região e remover a governança do AWS Control Tower dessa região remove essa funcionalidade de governança, mas não inibe a capacidade dos usuários de implantar AWS recursos ou cargas de trabalho nessas regiões. 

## O AWS Control Tower funciona com sistemas de gerenciamento de AWS chaves
<a name="kms-keys"></a>

**28 de julho de 2021**

(Atualização opcional para a zona de pouso do AWS Control Tower)

O AWS Control Tower oferece a opção de usar uma AWS chave do Key Management Service (AWS KMS). Uma chave é fornecida e gerenciada por você para proteger os serviços que o AWS Control Tower implanta, incluindo AWS CloudTrail AWS Config, e os dados associados do Amazon S3. AWS A criptografia KMS é um nível aprimorado de criptografia em relação à criptografia SSE-S3 que o AWS Control Tower usa por padrão.

A integração do suporte do AWS KMS ao AWS Control Tower está alinhada **às melhores práticas de segurança AWS básicas**, que recomendam uma camada adicional de segurança para seus arquivos de log confidenciais. Você deve usar chaves AWS gerenciadas pelo KMS (SSE-KMS) para criptografia em repouso. AWS O suporte à criptografia do KMS está disponível quando você configura uma nova zona de pouso ou quando atualiza sua zona de pouso existente do AWS Control Tower.

Para configurar essa funcionalidade, você pode selecionar **Configuração da chave do KMS** durante a configuração inicial da zona de pouso. Você pode escolher uma chave KMS existente ou selecionar um botão que o direciona para o console AWS KMS para criar uma nova. Você também tem a flexibilidade de mudar da criptografia padrão para SSE-KMS ou para uma chave de SSE-KMS diferente.

Para uma zona de pouso existente do AWS Control Tower, você pode realizar uma atualização para começar a usar as chaves do AWS KMS. 

## Controles renomeados, funcionalidade inalterada
<a name="control-renaming"></a>

**26 de julho de 2021**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O AWS Control Tower está revisando determinados nomes e descrições de controles para melhor refletir as intenções de políticas do controle. Os nomes e as descrições revisados ajudam você a entender de forma mais intuitiva as formas pelas quais os controles incorporam as políticas de suas contas. Por exemplo, alteramos parte dos nomes dos controles de detecção de “Não permitir” para “Detectar” porque o controle de detecção em si não interrompe uma ação específica, ele só detecta violações de políticas e fornece alertas por meio do painel.

A funcionalidade de controle, a orientação e a implementação permanecem inalteradas. Somente os nomes e as descrições dos controles foram revisados.

## O AWS Control Tower escaneia SCPs diariamente para verificar se há desvio
<a name="daily-scp-scans"></a>

**11 de maio de 2021**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O AWS Control Tower agora executa escaneamentos automatizados diários de seu gerente SCPs para verificar se os controles correspondentes foram aplicados corretamente e se não foram desviados. Se uma verificação descobrir um desvio, você receberá uma notificação. O AWS Control Tower envia apenas uma notificação por problema de desvio, portanto, se a sua zona de pouso já estiver em um estado de desvio, você não receberá notificações adicionais a menos que um novo item de desvio seja encontrado.

## Nomes OUs e contas personalizados
<a name="rename-core-ous-and-accounts"></a>

**16 de abril de 2021**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O AWS Control Tower agora permite que você personalize a nomenclatura da zona de pouso. Você pode manter os nomes que o AWS Control Tower recomenda para as unidades organizacionais (OUs) e contas principais, ou você pode modificar esses nomes durante o processo inicial de configuração da landing zone.

Os nomes padrão que o AWS Control Tower fornece para as contas principais OUs e as contas principais correspondem à orientação de melhores práticas de AWS várias contas. No entanto, se sua empresa tiver políticas de nomenclatura específicas ou se você já tiver uma OU ou conta existente com o mesmo nome recomendado, a nova funcionalidade de nomenclatura de conta e UO oferece a flexibilidade de lidar com essas restrições.

Separadamente dessa mudança de fluxo de trabalho durante a configuração, a UO anteriormente conhecida como UO principal agora é chamada de UO de segurança, e a UO anteriormente conhecida como UO personalizada agora é chamada de UO de sandbox. Fizemos essa alteração para melhorar nosso alinhamento com as diretrizes gerais de práticas recomendadas da AWS para nomenclatura.

Os novos clientes verão esses novos nomes de UO. Os clientes existentes continuarão vendo os nomes originais deles OUs. Você pode encontrar algumas inconsistências na nomenclatura da UO enquanto atualizamos nossa documentação para os novos nomes.

Para começar a usar o AWS Control Tower a partir do AWS Management Console, acesse o console do AWS Control Tower e selecione **Set up landing zone** no canto superior direito. Consulte mais informações lendo sobre como planejar sua zona de pouso do AWS Control Tower.

## Versão 2.7 da zona de pouso do AWS Control Tower
<a name="version-2.7"></a>

**8 de abril de 2021**

(É necessário atualizar a zona de pouso do AWS Control Tower para a versão 2.7. Consulte informações em [Atualizar a zona de pouso](update-controltower.md))

Com a versão 2.7 do AWS Control Tower, o AWS Control Tower introduz quatro novos controles preventivos obrigatórios de arquivamento de logs que implementam políticas somente nos recursos do AWS Control Tower. Ajustamos a orientação sobre os quatro controles existentes de arquivamento de logs de obrigatórios para eletivos, porque eles definem políticas para recursos fora do AWS Control Tower. Essa mudança e expansão de controle permitem separar a governança do arquivamento de logs para recursos dentro do AWS Control Tower da governança de recursos fora do AWS Control Tower.

Os quatro controles alterados podem ser usados em conjunto com os novos controles obrigatórios para fornecer governança a um conjunto mais amplo de arquivos de AWS registros. Os ambientes existentes do AWS Control Tower manterão esses quatro controles alterados habilitados automaticamente, para garantir a consistência do ambiente. No entanto, esses controles eletivos agora podem ser desabilitados. Os novos ambientes do AWS Control Tower devem habilitar todos os controles eletivos. **Os ambientes existentes devem desabilitar os controles anteriormente obrigatórios antes de adicionar criptografia aos buckets do Amazon S3 que não são implantados pelo AWS Control Tower.**

**Novos controles obrigatórios:**
+ Proibir alterações na configuração de criptografia dos buckets do S3 criados pelo AWS Control Tower no arquivamento de logs 
+ Proibir alterações na configuração de registro em log dos buckets do S3 criados pelo AWS Control Tower no arquivamento de logs
+ Proibir alterações na política dos buckets do S3 criados pelo AWS Control Tower no arquivamento de logs 
+ Proibir alterações na configuração de ciclo de vida dos buckets do S3 criados pelo AWS Control Tower no arquivamento de logs

**A orientação mudou de obrigatória para eletiva:**
+ Proibir alterações na configuração de criptografia para todos os buckets do Amazon S3 [Anteriormente: Habilitar criptografia em repouso para arquivamento de logs]
+ Proibir alterações na configuração de registro em log para todos os buckets do Amazon S3 [Anteriormente: Habilitar o registro em log de acesso para arquivamento de logs]
+ Proibir alterações na política de bucket para todos os buckets do Amazon S3 [Anteriormente: Proibir alterações de política no arquivamento de logs]
+ Proibir alterações na configuração do ciclo de vida de todos os buckets do Amazon S3 [Anteriormente: Definir uma política de retenção para o arquivamento de logs]

A versão 2.7 do AWS Control Tower inclui alterações no esquema da zona de pouso do AWS Control Tower que podem causar incompatibilidade com versões anteriores após a atualização para 2.7. 
+ Em particular, a versão 2.7 do AWS Control Tower habilita `BlockPublicAccess` automaticamente em buckets do S3 implantados pelo AWS Control Tower. Você poderá desativar esse padrão se a sua workload exigir acesso em várias contas. Consulte mais informações sobre o que acontece com `BlockPublicaccess` habilitado em [Bloquear o acesso público ao armazenamento do Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-control-block-public-access.html).
+ A versão 2.7 do AWS Control Tower inclui uma exigência de HTTPS. Todas as solicitações enviadas para buckets do S3 implantados pelo AWS Control Tower devem usar Secure Socket Layer (SSL). Somente solicitações HTTPS são permitidas. Se você usa HTTP (sem SSL) como um endpoint para enviar as solicitações, essa alteração gera um erro de acesso negado, o que pode interromper o fluxo de trabalho. **Essa alteração não pode ser revertida após a atualização da zona de pouso para a versão 2.7.**

  *Recomendamos que você altere suas solicitações para usar TLS em vez de HTTP.*

## Três novas AWS regiões disponíveis
<a name="three-new-regions"></a>

**8 de abril de 2021**

(Atualização necessária para a zona de pouso do AWS Control Tower)

O AWS Control Tower está disponível em três AWS regiões adicionais: região Ásia-Pacífico (Tóquio), região Ásia-Pacífico (Seul) e região Ásia-Pacífico (Mumbai). É necessária uma atualização da zona de pouso para a versão 2.7 para expandir a governança nessas regiões.

 Sua zona de pouso não é expandida automaticamente para essas regiões quando você realiza a atualização para a versão 2.7. Você deve visualizá-las e selecioná-las na tabela “Regiões” para inclusão.

## Administrar somente regiões selecionadas
<a name="region-select"></a>

**19 de fevereiro de 2021**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

A seleção de região do AWS Control Tower permite gerenciar melhor a área geográfica dos seus recursos do AWS Control Tower. Para expandir o número de regiões nas quais você hospeda AWS recursos ou cargas de trabalho — por motivos de conformidade, regulamentação, custo ou outros — agora você pode selecionar as regiões adicionais a serem governadas. 

A seleção de região fica disponível quando você configura uma nova zona de pouso ou atualiza a versão da zona de pouso do AWS Control Tower. Quando você usa o Account Factory para criar uma conta ou inscrever uma conta-membro preexistente, ou quando usa **Estender governança** para inscrever contas em uma unidade organizacional preexistente, o AWS Control Tower implanta seus recursos de governança de registro em log, monitoramento e controles centralizados, nas regiões escolhidas nas contas. Consulte mais informações sobre a seleção de regiões em [Configurar regiões do AWS Control Tower](region-how.md#deploying-to-new-region).

## O AWS Control Tower agora estende a governança às existentes OUs em suas AWS organizações
<a name="extended-governance"></a>

**28 de janeiro de 2021**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

Estenda a governança às unidades organizacionais (OUs) existentes (aquelas que não estão na AWS Control Tower) a partir do console da AWS Control Tower. Com esse recurso, você pode colocar contas de alto nível OUs e incluídas sob a governança do AWS Control Tower. Consulte informações sobre como estender a governança a uma UO inteira em [Registrar uma unidade organizacional existente com o AWS Control Tower](importing-existing.md).

Quando você registra uma UO, o AWS Control Tower executa uma série de verificações para garantir a extensão bem-sucedida da governança e a inscrição de contas na UO. Consulte mais informações sobre problemas comuns associados ao registro inicial de uma UO em [Causas comuns de falha durante o registro ou novo registro](common-eg-failures.md).

Você também pode visitar a [página do produto](https://aws.amazon.com/controltower/) AWS Control Tower ou assistir YouTube a este vídeo sobre como [começar a usar o AWS Control Tower for AWS Organizations](https://www.youtube.com/watch?v=CwRy0t8nfgM).

## AWS Control Tower disponibiliza atualizações de contas em massa
<a name="bulk-update"></a>

**28 de janeiro de 2021**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

Com o recurso de atualização em massa, agora é possível atualizar com um único clique no painel do AWS Control Tower todas as contas em uma unidade organizacional (UO) registrada do AWS Organizations que contém até 300 contas. Isso é útil principalmente nos casos em que você atualiza a zona de pouso do AWS Control Tower e também deve atualizar as contas inscritas para alinhá-las à versão atual da zona de pouso. 

Esse recurso também ajuda a manter suas contas atualizadas quando você atualiza a zona de pouso do AWS Control Tower para expandir a novas regiões, ou quando deseja registrar novamente uma UO a fim de garantir que todas as contas nela tenham os controles mais recentes aplicados. A atualização em massa da conta elimina a necessidade de atualizar uma conta por vez ou usar um script externo para realizar a atualização em várias contas.

Consulte informações sobre como atualizar uma zona de pouso em [Atualizar a zona de pouso](update-controltower.md).

Consulte informações sobre como registrar ou registrar novamente uma UO em [Registrar uma unidade organizacional existente com o AWS Control Tower](importing-existing.md).

# De janeiro a dezembro de 2020
<a name="2020-all"></a>

Em 2020, o AWS Control Tower lançou as seguintes atualizações:
+ [O console do AWS Control Tower agora está vinculado às regras externas AWS do Config](#config-aggregator-12-2020)
+ [AWS Control Tower já disponível em mais regiões](#region-expansion-11-19-20)
+ [Atualização da barreira de proteção](#control-update)
+ [O console do AWS Control Tower mostra mais detalhes sobre contas OUs e](#OU-account-detail)
+ [Use o AWS Control Tower para configurar novos AWS ambientes de várias contas em AWS Organizations](#multiaccount-environments) 
+ [Solução Customizations for AWS Control Tower](#Customizations)
+ [Disponibilidade geral do AWS Control Tower versão 2.3](#Available_in_Sydney)
+ [Provisionamento de contas em uma única etapa no AWS Control Tower](#Single-step-provisioning)
+ [Ferramenta de desativação do AWS Control Tower](#Decommissioning-tool)
+ [Notificações de eventos de ciclo de vida do AWS Control Tower](#Lifecycle-event-notifications)

## O console do AWS Control Tower agora está vinculado às regras externas AWS do Config
<a name="config-aggregator-12-2020"></a>

 **29 de dezembro de 2020**

(É necessário atualizar a zona de pouso do AWS Control Tower para a versão 2.6. Consulte informações em [Atualizar a zona de pouso](update-controltower.md))

O AWS Control Tower agora inclui um agregador em nível organizacional, que ajuda na detecção de regras externas do Config. AWS Isso fornece visibilidade no console do AWS Control Tower para ver a existência de regras de AWS configuração criadas externamente, além das regras de AWS configuração criadas pela AWS Control Tower. O agregador permite que o AWS Control Tower detecte regras externas e forneça um link para o console AWS Config sem a necessidade de o AWS Control Tower obter acesso a contas não gerenciadas.

Com esse recurso, agora você tem uma visão consolidada dos controles de detecção aplicados às suas contas para poder monitorar a conformidade e determinar se precisa de controles adicionais para sua conta. Para obter informações, consulte [Como o AWS Control Tower agrega AWS Config regras em contas OUs e não gerenciadas](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how.html#config-role-for-organizations).

## AWS Control Tower já disponível em mais regiões
<a name="region-expansion-11-19-20"></a>

 **18 de novembro de 2020**

(É necessário atualizar a zona de pouso do AWS Control Tower para a versão 2.5. Consulte informações em [Atualizar a zona de pouso](update-controltower.md))

O AWS Control Tower agora está disponível em mais 5 AWS regiões:
+ Região Ásia-Pacífico (Singapura)
+ Região Europa (Frankfurt)
+ Região Europa (Londres)
+ Região Europa (Estocolmo)
+ Região Canadá (Central)

A adição dessas 5 AWS regiões é a única alteração introduzida para a versão 2.5 do AWS Control Tower.

O AWS Control Tower também está disponível nas regiões Leste dos EUA (N. da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Oregon), Europa (Irlanda) e Ásia-Pacífico (Sydney). Com esse lançamento, o AWS Control Tower agora está disponível em 10 AWS regiões.

Essa atualização da zona de pouso inclui todas as regiões listadas e não pode ser desfeita. Depois de atualizar sua landing zone para a versão 2.5, você deve atualizar manualmente todas as contas inscritas no AWS Control Tower para governar as 10 regiões suportadas AWS . Para mais informações, consulte [Configurar regiões do AWS Control Tower](region-how.md#deploying-to-new-region).

## Atualização da barreira de proteção
<a name="control-update"></a>

**8 de outubro de 2020**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

Uma versão atualizada foi lançada para o controle obrigatório `AWS-GR_IAM_ROLE_CHANGE_PROHIBITED`.

Essa alteração no controle é necessária porque as contas que estão sendo inscritas automaticamente no AWS Control Tower devem ter o perfil `AWSControlTowerExecution` habilitado. A versão anterior do controle impede que esse perfil seja criado.

Para obter mais informações, consulte [Não permitir alterações nas funções AWS do IAM configuradas pelo AWS Control Tower e CloudFormation](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#iam-disallow-changes) no Guia de referência de controles do AWS Control Tower.

## O console do AWS Control Tower mostra mais detalhes sobre contas OUs e
<a name="OU-account-detail"></a>

**22 de julho de 2020**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

Você pode ver suas organizações e contas que não estão inscritas no AWS Control Tower, juntamente com organizações e contas que estão inscritas.

No console do AWS Control Tower, você pode ver mais detalhes sobre suas AWS contas e unidades organizacionais (OUs). A página **Contas** agora lista todas as contas da organização, independentemente da UO ou do status de inscrição no AWS Control Tower. Agora é possível pesquisar, classificar e filtrar em todas as tabelas.

## Use o AWS Control Tower para configurar novos AWS ambientes de várias contas em AWS Organizations
<a name="multiaccount-environments"></a>

**22 de abril de 2020**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

AWS Organizations Agora, os clientes podem usar o AWS Control Tower para gerenciar unidades organizacionais (OUs) e contas recém-criadas, aproveitando esses novos recursos: 
+  AWS Organizations Os clientes existentes agora podem configurar um novo landing zone para novas unidades organizacionais (OUs) em sua conta de gerenciamento existente. Você pode criar novas contas OUs na AWS Control Tower e criar novas contas naquelas OUs com a governança da AWS Control Tower.
+ AWS Organizations os clientes podem inscrever contas existentes usando o processo de inscrição de contas ou por meio de scripts.

O AWS Control Tower fornece um serviço de orquestração que usa outros AWS serviços. Ele foi projetado para organizações com várias contas e equipes que buscam a maneira mais fácil de configurar seu AWS ambiente de várias contas novo ou existente e governar em grande escala. Com uma organização administrada pelo AWS Control Tower, os administradores de nuvem sabem que as contas na organização estão em conformidade com as políticas estabelecidas. Os construtores se beneficiam porque podem provisionar novas AWS contas rapidamente, sem preocupações indevidas com a conformidade.

Consulte informações sobre como configurar uma zona de pouso em [Planejar a zona de pouso do AWS Control Tower](planning-your-deployment.md). Você também pode visitar a [página do produto](https://aws.amazon.com/controltower/) AWS Control Tower ou assistir YouTube a este vídeo sobre como [começar a usar o AWS Control Tower for AWS Organizations](https://www.youtube.com/watch?v=-n65I4M8cas). 

Além dessa alteração, o recurso de **Provisionamento rápido de contas** no AWS Control Tower foi renomeado para **Inscrever conta**. Agora, permite a inscrição de AWS contas existentes, bem como a criação de novas contas. Para obter mais informações, consulte [Inscrever uma conta existente pelo console do AWS Control Tower](quick-account-provisioning.md).

## Solução Customizations for AWS Control Tower
<a name="Customizations"></a>

**17 de março de 2020**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O AWS Control Tower agora inclui uma nova implementação de referência que facilita a aplicação de modelos e políticas personalizados à sua zona de pouso do AWS Control Tower. 

Com personalizações para o AWS Control Tower, você pode usar CloudFormation modelos para implantar novos recursos em contas novas e existentes em sua organização. Você também pode aplicar políticas personalizadas de controle de serviços (SCPs) a essas contas, além das SCPs já fornecidas pelo AWS Control Tower. O pipeline do Customizations for AWS Control Tower se integra aos eventos e notificações do ciclo de vida do AWS Control Tower ([Eventos de ciclo de vida no AWS Control Tower](lifecycle-events.md)) para garantir que as implantações de recursos permaneçam sincronizadas com a zona de pouso.

A documentação de implantação dessa arquitetura de solução do AWS Control Tower está disponível no [site de soluções da AWS](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/). 

## Disponibilidade geral do AWS Control Tower versão 2.3
<a name="Available_in_Sydney"></a>

**5 de março de 2020** 

(Atualização necessária para a zona de pouso do AWS Control Tower. Consulte informações em [Atualizar a zona de pouso](update-controltower.md).)

O AWS Control Tower agora está disponível na AWS região Ásia-Pacífico (Sydney), além das regiões Leste dos EUA (Ohio), Leste dos EUA (Norte da Virgínia), Oeste dos EUA (Oregon) e Europa (Irlanda). A adição da região Ásia-Pacífico (Sydney) é a única alteração introduzida na versão 2.3 do AWS Control Tower.

Se você ainda não usou o AWS Control Tower, pode iniciá-lo hoje em qualquer uma das regiões compatíveis. Se você já estiver usando o AWS Control Tower e quiser estender seus recursos de governança para a região Ásia-Pacífico (Sydney) em suas contas, acesse a página **Configurações** no painel do AWS Control Tower. Nessa página, atualize a zona de pouso para a versão mais recente. Depois, atualize suas contas individualmente. 

**nota**  
Atualizar a zona de pouso não atualiza automaticamente as contas. Se você tiver mais do que algumas contas, as atualizações necessárias podem ser demoradas. Por esse motivo, recomendamos que você evite expandir a zona de pouso do AWS Control Tower para regiões nas quais as workloads não precisam ser executadas.

 Consulte informações sobre o comportamento esperado dos controles de detecção como resultado de uma implantação em uma nova região em [Configure your AWS Control Tower Regions](https://docs.aws.amazon.com//controltower/latest/userguide/region-how.html#deploying-to-new-region).

## Provisionamento de contas em uma única etapa no AWS Control Tower
<a name="Single-step-provisioning"></a>

**2 de março de 2020**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O AWS Control Tower agora é compatível com o provisionamento de contas em uma única etapa por meio do console do AWS Control Tower. Esse recurso permite provisionar novas contas de dentro do console do AWS Control Tower.

Para usar o formulário simplificado, acesse o **Account Factory** no console do AWS Control Tower e escolha **Provisionamento rápido de contas**. O AWS Control Tower atribui o mesmo endereço de e-mail à conta provisionada e ao usuário de login único (Centro de Identidade do IAM) criado para a conta. Se for necessário que esses dois endereços de e-mail sejam diferentes, você deverá provisionar sua conta por meio do Service Catalog.

Atualize as contas que você cria por meio do provisionamento rápido de contas usando o AWS Service Catalog o Account Factory do AWS Control Tower, exatamente como você atualizaria qualquer outra conta.

**nota**  
Em abril de 2020, o recurso de **Provisionamento rápido de contas** foi renomeado para **Inscrever conta**. Em junho de 2022, a capacidade de criar e atualizar contas no console do AWS Control Tower foi separada da capacidade de cadastrar AWS contas. Para obter mais informações, consulte [Inscrever uma conta existente pelo console do AWS Control Tower](quick-account-provisioning.md).

## Ferramenta de desativação do AWS Control Tower
<a name="Decommissioning-tool"></a>

**28 de fevereiro de 2020**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O AWS Control Tower agora é compatível com uma ferramenta automatizada de desativação para ajudar você a limpar os recursos alocados pelo AWS Control Tower. Caso não pretenda mais usar o AWS Control Tower para sua empresa, ou ainda, caso precise de uma grande reimplantação de recursos organizacionais, talvez você queira limpar os recursos criados na configuração inicial da sua zona de pouso. 

Para descomissionar sua landing zone usando um processo que é basicamente automatizado, entre em contato AWS Support para obter ajuda com as etapas adicionais necessárias. Consulte mais informações sobre a desativação em [Descomissionar uma zona de pouso do AWS Control Tower](decommission-landing-zone.md).

## Notificações de eventos de ciclo de vida do AWS Control Tower
<a name="Lifecycle-event-notifications"></a>

**22 de janeiro de 2020**

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O AWS Control Tower anuncia a disponibilidade de notificações de eventos de ciclo de vida. Um [evento de ciclo](lifecycle-events.md) de vida marca a conclusão de uma ação da AWS Control Tower que pode alterar o estado dos recursos, como unidades organizacionais (OUs), contas e controles criados e gerenciados pela AWS Control Tower. Os eventos do ciclo de vida são registrados como AWS CloudTrail eventos e entregues à Amazon EventBridge como eventos. 

O AWS Control Tower registra eventos de ciclo de vida após a conclusão das seguintes ações que podem ser realizadas usando o serviço: criar ou atualizar uma zona de pouso; criar ou excluir uma UO; habilitar ou desabilitar um controle em uma UO; e usar o Account Factory para criar um conta ou mover uma conta para outra UO.

O AWS Control Tower usa vários AWS serviços para criar e administrar um ambiente multicontas AWS de melhores práticas. Pode levar vários minutos para que uma ação do AWS Control Tower seja concluída. Você pode rastrear eventos do ciclo de vida nos CloudTrail registros para verificar se a ação original do AWS Control Tower foi concluída com sucesso. Você pode criar uma EventBridge regra para notificá-lo quando CloudTrail registrar um evento do ciclo de vida ou para acionar automaticamente a próxima etapa em seu fluxo de trabalho de automação.

# De junho a dezembro de 2019
<a name="2019-all"></a>

De 24 de junho a 31 de dezembro de 2019, o AWS Control Tower lançou as seguintes atualizações:
+ [Disponibilidade geral do AWS Control Tower versão 2.2](#Version-2-2)
+ [Novos controles eletivos no AWS Control Tower](#Elective-gaurdrails)
+ [Novos controles de detecção no AWS Control Tower](#New-controls)
+ [AWS Control Tower aceita endereços de e-mail para contas compartilhadas com domínios diferentes da conta de gerenciamento](#Email-address-shared-accounts)
+ [Disponibilidade geral do AWS Control Tower versão 2.1](#Version-2-1)

## Disponibilidade geral do AWS Control Tower versão 2.2
<a name="Version-2-2"></a>

**13 de novembro de 2019**

(Atualização necessária para a zona de pouso do AWS Control Tower. Consulte informações em [Atualizar a zona de pouso](update-controltower.md).)

A versão 2.2 do AWS Control Tower fornece três novos controles preventivos que evitam desvios nas contas:
+ [Proibir alterações nos grupos de log do Amazon CloudWatch Logs configurados pelo AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#log-group-deletion-policy) 
+ [Proibir a exclusão de autorizações de AWS Config agregação criadas pelo AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy) 
+ [Proibir a exclusão do arquivamento de logs](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#disallow-audit-bucket-deletion) 

Um controle é uma regra de alto nível que fornece governança contínua para todo o ambiente da AWS . Quando você cria sua zona de pouso do AWS Control Tower, a zona de pouso e todas as unidades organizacionais (OUs), contas e recursos estão em conformidade com as regras de governança impostas pelos controles escolhidos. À medida que você e os membros da organização usam a zona de pouso, podem ocorrer alterações (acidentais ou intencionais) no status de conformidade. A detecção de desvios ajuda a identificar recursos que precisam de alterações ou atualizações de configuração para resolver o desvio. Para obter mais informações, consulte [Detectar e resolver desvios no AWS Control Tower](drift.md). 

## Novos controles eletivos no AWS Control Tower
<a name="Elective-gaurdrails"></a>

**5 de setembro de 2019** 

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O AWS Control Tower agora inclui estes quatro novos controles eletivos:
+ [Proibir a exclusão de ações em buckets do Amazon S3 sem MFA](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-delete-mfa) 
+ [Proibir alterações na configuração de replicação para buckets do Amazon S3](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-ccr) 
+ [Proibir ações como usuário-raiz](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-auser-actions)
+ [Proibir a criação de chaves de acesso para o usuário-raiz](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-access-keys)

Um controle é uma regra de alto nível que fornece governança contínua para todo o ambiente da AWS . As proteções permitem que você expresse suas intenções políticas. Consulte mais informações em [About controls in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html).

## Novos controles de detecção no AWS Control Tower
<a name="New-controls"></a>

**25 de agosto de 2019** 

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

O AWS Control Tower agora inclui estes oito novos controles de detecção:
+ [Detectar se o versionamento para buckets do Amazon S3 está habilitado](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-no-versioning) 
+ [Detecte se o MFA está habilitado para usuários IAM do console AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-console-access-mfa) 
+ [Detectar se a MFA está habilitada para usuários do IAM](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-access-mfa) 
+ [Detectar se a otimização do Amazon EBS está habilitada para instâncias do Amazon EC2](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-not-ebs-optimized)
+ [Detectar se os volumes do Amazon EBS estão anexados às instâncias do Amazon EC2](https://docs.aws.amazon.com//controltower/latest/userguide/strongly-recommended-controls.html#disallow-unattached-ebs) 
+ [Detectar se o acesso público às instâncias de banco de dados do Amazon RDS está habilitado](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-public-access) 
+ [Detectar se o acesso público aos snapshots de banco de dados do Amazon RDS está habilitado](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-snapshot-public-access)
+ [Detectar se a criptografia de armazenamento está habilitada para instâncias de banco de dados do Amazon RDS](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-storage-unencrypted)

Um controle é uma regra de alto nível que fornece governança contínua para todo o ambiente da AWS . Um controle de detecção detecta a não conformidade de recursos em suas contas, como violações de políticas, e fornece alertas por meio do painel. Consulte mais informações em [About controls in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html).

## AWS Control Tower aceita endereços de e-mail para contas compartilhadas com domínios diferentes da conta de gerenciamento
<a name="Email-address-shared-accounts"></a>

**1.º de agosto de 2019** 

(Não é necessário atualizar a zona de pouso do AWS Control Tower)

No AWS Control Tower, agora é possível enviar endereços de e-mail para contas compartilhadas (arquivamento de logs e membro de auditoria) e contas secundárias (fornecidas usando o Account Factory) cujos domínios são diferentes do endereço de e-mail da conta de gerenciamento. Esse recurso fica disponível somente quando você cria uma zona de pouso e quando você provisiona novas contas secundárias.

## Disponibilidade geral do AWS Control Tower versão 2.1
<a name="Version-2-1"></a>

**24 de junho de 2019**

(Atualização necessária da zona de pouso do AWS Control Tower. Consulte informações em [Update Your Landing Zone](https://docs.aws.amazon.com/controltower/latest/userguide/update-controltower.html).)

O AWS Control Tower já está disponível para o público e é compatível para uso na produção. O AWS Control Tower é destinado a organizações com várias contas e equipes que buscam a maneira mais fácil de configurar seu novo AWS ambiente de várias contas e governar em grande escala. Com o AWS Control Tower, você pode ajudar a garantir que as contas da sua organização estejam em conformidade com as políticas estabelecidas. Os usuários finais em equipes distribuídas podem provisionar novas AWS contas rapidamente.

Usando o AWS Control Tower, você pode [configurar uma landing zone](getting-started-with-control-tower.md) que emprega as melhores práticas, como configurar uma [estrutura de várias contas](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) usando AWS Organizations, gerenciar identidades de usuários e acesso federado com Centro de Identidade do AWS IAM, habilitar o provisionamento de contas por meio do Service Catalog e criar um arquivo de log centralizado usando e. AWS CloudTrail AWS Config

Para uma governança contínua, é possível habilitar controles pré-configurados, que são regras claramente definidas para segurança, operações e conformidade. As barreiras de proteção ajudam a impedir a implantação de recursos que não estão em conformidade com as políticas e monitoram continuamente a não conformidade dos recursos implantados. O painel do AWS Control Tower fornece visibilidade centralizada de um AWS ambiente, incluindo contas provisionadas, controles habilitados e o status de conformidade das contas.

É possível configurar um novo ambiente de várias contas com um único clique no console do AWS Control Tower. Não há cobranças adicionais nem compromissos antecipados para usar o AWS Control Tower. Você paga somente pelos AWS serviços que habilitou para configurar uma landing zone e implementar os controles selecionados.