本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
2023 年 1 月至 12 月
2023 年,Cont AWS rol Tower 发布了以下更新:
过渡到新 AWS Service Catalog 外部产品类型(第 3 阶段)
2023年12月14日
(Cont AWS rol Tower 着陆区无需更新。)
AWS在创建新产品时,Control Tower 不再支持 Terraform 开源作为产品类型(蓝图) AWS 账户。 要了解更多信息以及有关更新账户蓝图的说明,请查看 Transiti on to AWS Service Catalog 外部产品类型。
如果您不更新账户蓝图以使用外部产品类型,则只能更新或终止使用 Terraform 开源蓝图配置的帐户。
AWSControl Tower 着陆区版本 3.3
2023年12月14日
(需要将 Cont AWS rol Tower 着陆区更新到 3.3 版。 有关信息,请参阅更新你的着陆区)。
Cont AWS rol Tower 审计账户中 S3 存储桶策略的更新
我们修改了 Cont AWS rol Tower 在账户中部署的 Amazon S3 审计存储桶策略,因此任何写入权限都必须满足aws:SourceOrgID
条件。在此版本中, AWS 只有当请求来自您的组织或组织单位 (OU) 时,服务才能访问您的资源。
您可以在 S3 存储桶策略的aws:SourceOrgID
条件元素中使用条件键并将该值设置为您的组织 ID。此条件可确保 CloudTrail 只有代表组织内的账户才能将日志写入您的 S3 存储桶;它可以防止组织外部的 CloudTrail 日志写入您的 Cont AWS rol Tower S3 存储桶。
我们进行此项更改是为了在不影响现有工作负载功能的情况下修复潜在的安全漏洞。要查看更新的政策,请参阅审计账户中的 Amazon S3 存储桶策略。
有关新条件键的更多信息,请参阅IAM文档和标题为 “使用可扩展控件用于 IAM AWS 服务访问您的资源。”
中对政策的更新 AWS Config SNS话题
我们在策略中添加了新的aws:SourceOrgID
条件密钥 AWS Config SNS主题。要查看更新的政策,请参阅 AWS Config SNS主题政策。
着陆区 “Region Deny” 控件的更新
-
已移除
discovery-marketplace:
。此项行动属于aws-marketplace:*
豁免范围。 -
新增了
quicksight:DescribeAccountSubscription
已更新 AWS CloudFormation 模板
我们更新了 AWS CloudFormation 名为 BASELINE-CLOUDTRAIL-MASTER
sothat 的堆栈的模板在以下情况下不会显示偏差 AWS KMS 不使用加密。
过渡到新 AWS Service Catalog 外部产品类型(第 2 阶段)
2023年12月7日
(Cont AWS rol Tower 着陆区无需更新。)
HashiCorp 更新了他们的 Terraform 许可。结果, AWS Service Catalog 将对 Terraform 开源产品的支持更改为一种名为 External 的新产品类型。
为了避免对现有工作负载造成中断,以及 AWS 账户中的资源,请按照过渡到 Cont AWS rol Tower 中的过渡步骤进行操作 AWS Service Catalog 在 2023 年 12 月 14 日之前完成外部产品类型。
AWSControl Tower 宣布了辅助数字主权的控制措施
2023年11月27日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 宣布 65 款新品 AWS-托管控件,帮助您满足数字主权要求。在此版本中,您可以在 Control Tower 控制台的新数字主权组下发现这些AWS控件。您可以使用这些控制措施来帮助防止数据驻留、精细访问限制、加密和弹性功能方面的操作并检测资源变化。这些控制措施旨在让您更轻松地满足大规模需求。有关数字主权控制的更多信息,请参阅增强数字主权保护的控件。
例如,您可以选择启用有助于强制执行加密和弹性策略的控件,例如 Re quire AWS AppSync API缓存以启用传输中的加密或需要 AWS 要跨多个可用区域部署的 Network Firewall 。您还可以自定义 Cont AWS rol Tower 区域拒绝控制,以应用最适合您独特业务需求的区域限制。
此版本带来了增强的 Cont AWS rol Tower 区域拒绝功能。您可以在 OU 级别应用新的参数化区域拒绝控制,以提高治理的精度,同时在 landing zone 级别维持额外的区域治理。这种可自定义的区域拒绝控制可帮助您应用最适合您独特业务需求的区域限制。有关新的可配置区域拒绝控制的更多信息,请参阅应用于 OU 的区域拒绝控制。
作为新 Region deny 增强功能的新工具,此版本包括一个新的 APIUpdateEnabledControl
,它允许您将启用的控件重置为默认设置。API这在需要快速解决漂移问题或以编程方式保证控件不处于漂移状态的用例中特别有用。有关新版本的更多信息API,请参阅《Cont AWSrol Tower API 参考》
新的主动控制措施
-
CT.APIGATEWAY.PR.6: 要求 Amazon API Gateway REST 域名使用指定最低TLS协议版本为 TLSv1 .2 的安全策略
-
CT.APPSYNC.PR.2: 需要一个 AWS AppSync GraphQL API 要配置为私有可见性
-
CT.APPSYNC.PR.3: 要求一个 AWS AppSync GraphQL API 未使用密钥进行身份验证 API
-
CT.APPSYNC.PR.4: 需要一个 AWS AppSync GraphQL API 缓存将启用传输中加密。
-
CT.APPSYNC.PR.5: 需要一个 AWS AppSync GraphQL API 缓存将启用静态加密。
-
CT.AUTOSCALING.PR.9: 需要通过 Amazon A EC2 uto Scaling 启动配置配置配置配置的 Amazon EBS 卷来加密静态数据
-
CT.AUTOSCALING.PR.10: 仅要求 Amazon A EC2 uto Scaling 群组使用 AWS 重写启动模板时的 Nitro 实例类型
-
CT.AUTOSCALING.PR.11: 仅需要 AWS 在覆盖启动模板时,支持将添加到 Amazon A EC2 uto Scaling 组的实例间网络流量加密的 Nitro 实例类型
-
CT.DAX.PR.3: 需要 DynamoDB 加速器集群使用传输层安全功能对传输中的数据进行加密 () TLS
-
CT.DMS.PR.2: 需要一个 AWS Database Migration Service (DMS) 用于加密源端点和目标端点连接的端点
-
CT.EC2.PR.15: 需要一个 Amazon EC2 实例才能使用 AWS 从
AWS::EC2::LaunchTemplate
资源类型创建时的 Nitro 实例类型 -
CT.EC2.PR.16: 需要一个 Amazon EC2 实例才能使用 AWS 使用
AWS::EC2::Instance
资源类型创建时的 Nitro 实例类型 -
CT.EC2.PR.17:需要一台 Amazon EC2 专用主机才能使用 AWS Nitro 实例类型
-
CT.EC2.PR.18: 要求 Amazon EC2 舰队仅使用以下命令覆盖那些启动模板 AWS Nitro 实例类型
-
CT.EC2.PR.19:在使用资源类型创建时,要求 Amazon EC2 实例使用支持实例之间传输加密的 nitro 实例类型
AWS::EC2::Instance
-
CT.EC2.PR.20: 要求 Amazon EC2 舰队仅使用以下命令覆盖那些启动模板 AWS 支持在实例之间传输时进行加密的 Nitro 实例类型
-
CT.ELASTICACHE.PR.8: 要求由更高版本的 Redis 组成的 Amazon ElastiCache 复制组才能激活RBAC身份验证
-
CT.MQ.PR.1: 要求 Amazon MQ ActiveMQ 代理使用主动/备用部署模式以实现高可用性
-
CT.MQ.PR.2: 要求 Amazon MQ Rabbit MQ 代理使用多可用区集群模式以实现高可用性
-
CT.MSK.PR.1: 需要适用于 Apache Kafka 的亚马逊托管流媒体 Kafka MSK () 集群才能在集群代理节点之间传输时强制加密
-
CT.MSK.PR.2: 要求将适用于 Apache 的 Apache Streaming Managed Kafka MSK () 集群配置为禁用 PublicAccess
-
CT.NETWORK-FIREWALL.PR.5: 需要一个 AWS Network Firewall 防火墙将在多个可用区域部署
-
CT.RDS.PR.26: 需要 Amazon RDS 数据库代理才能要求传输层安全 (TLS) 连接
-
CT.RDS.PR.27:需要一个 Amazon RDS 数据库集群参数组才能要求支持引擎类型的传输层安全 (TLS) 连接
-
CT.RDS.PR.28:要求 Amazon RDS DB 参数组要求支持的引擎类型需要传输层安全 (TLS) 连接
-
CT.RDS.PR.29:要求未通过 “PubliclyAccessible” 属性将 Amazon RDS 集群配置为可公开访问
-
CT.RDS.PR.30:要求 Amazon RDS 数据库实例将静态加密配置为使用您为支持的引擎类型指定的KMS密钥
-
CT.S3.PR.12:要求 Amazon S3 接入点具有阻止公共访问 (BPA) 配置,并将所有选项都设置为 true
新的预防性控制措施
-
CT.APPSYNC.PV.1 要求那个 AWS AppSync GraphQL 配置了API私密可见性
-
CT.EC2.PV.1 要求使用加密EC2卷创建 Amazon EBS 快照
-
CT.EC2.PV.2 要求将连接的 Amazon EBS 卷配置为对静态数据进行加密
-
CT.EC2.PV.3 要求 Amazon EBS 快照不能公开恢复
-
CT.EC2.PV.4 要求不要调用 Amazon EBS D APIs irect
-
CT.EC2.PV.5 禁止使用 Amazon EC2 虚拟机导入和导出
-
CT.EC2.PV.6 禁止使用已弃用的 Ama EC2 RequestSpotFleet zon 和操作 RequestSpotInstances API
-
CT.KMS.PV.1 需要一个 AWS KMS 关键策略是要有一份限制创建的声明 AWS KMS 补助金给 AWS 服务
-
CT.KMS.PV.2 要求那个 AWS KMS 带有用于加密的密RSA钥材料的非对称密钥的密钥长度不是 2048 位
-
CT.KMS.PV.3 要求那个 AWS KMS 密钥配置为启用绕过策略锁定安全检查
-
CT.KMS.PV.4 要求那个 AWS KMS 客户管理的密钥 (CMK) 配置了源自以下内容的密钥材料 AWS 云 HSM
-
CT.KMS.PV.5 要求那个 AWS KMS 使用导入的密钥材料配置了客户管理的密钥 (CMK)
-
CT.KMS.PV.6 要求那个 AWS KMS 客户管理的密钥 (CMK) 使用源自外部密钥存储库 (XKS) 的密钥材料进行配置
-
CT.LAMBDA.PV.1 需要一个 AWS Lambda URL要使用的函数 AWS IAM基于身份验证
-
CT.LAMBDA.PV.2 需要一个 AWS Lambda 将功能URL配置为仅供您内部的委托人访问 AWS 账户
-
CT。 MULTISERVICE.PV.1:拒绝访问 AWS 根据要求的 AWS 区域 对于组织单位
增强您的数字主权治理态势的新侦探控制措施是其中的一部分 AWS Security Hub 服务管理标准 Cont AWS rol Tower。
新的侦探控件
-
SH.ACM.2: 由管理的RSA证书ACM应使用至少 2,048 位的密钥长度
-
SH.AppSync.5: AWS AppSync APIs不应使用密钥对 GraphQL 进行身份验证 API
-
SH.CloudTrail.6: 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问:
-
SH.DMS.9: DMS 端点应使用 SSL
-
SH.DocumentDB.3: Amazon DocumentDB 手动集群快照不应公开
-
SH.DynamoDB.3: DynamoDB 加速器 DAX () 集群应进行静态加密
-
SH.EC2.23: EC2 中转网关不应自动接受VPC附件请求
-
SH.EKS.1: EKS 集群终端节点不应公开访问
-
SH.ElastiCache.3: ElastiCache 复制组应启用自动故障转移
-
SH.ElastiCache.4: ElastiCache 复制组应该已 encryption-at-rest 启用
-
SH.ElastiCache.5: ElastiCache 复制组应该已 encryption-in-transit 启用
-
SH.ElastiCache.6: 早期 Redis 版本的 ElastiCache 复制组应启用 Redis AUTH
-
SH.EventBridge.3: EventBridge 自定义事件总线应附加基于资源的策略
-
SH.KMS.4: AWS KMS 应启用密钥轮换
-
SH.Lambda.3: Lambda 函数应该在 VPC
-
SH.MQ.5: ActiveMQ 代理应使用主动/备用部署模式
-
SH.MQ.6: RabbitMQ 代理应使用集群部署模式
-
SH.MSK.1: MSK 集群应在代理节点之间传输时进行加密
-
SH.RDS.12: 应为RDS集群配置IAM身份验证
-
SH.RDS.15:应为多个可用区配置RDS数据库集群
-
SH.S3.17: S3 存储桶应使用静态加密 AWS KMS 键
有关添加到的控件的更多信息 AWS Security Hub 服务管理标准 Cont AWS rol Tower 参见适用于服务管理标准:Cont AWS rol Tower 的控件 AWS Security Hub 文档中)。
有关清单 AWS 区域 不支持某些控件,而这些控件是其中的一部分 AWS Security Hub 服务管理标准 Cont AWS rol Tower,参见不支持的区域。
OU 级别的区域拒绝新增可配置控件
CT。 MULTISERVICE.PV.1:此控件接受参数来指定在 OU 级别而不是整个 Control Tower AWS 着陆区允许的豁免区域、IAM主体和操作。它是一种预防性控制,由服务控制策略 (SCP) 实施。
有关更多信息,请参阅应用于 OU 的区域拒绝控制。
的 UpdateEnabledControl
API
此 Cont AWS rol Tower 版本增加了对控件的以下API支持:
-
更新后
EnableControl
API可以配置可配置的控件。 -
更新后
GetEnabledControl
API显示了已启用的控件上已配置的参数。 -
新的
UpdateEnabledControl
API可以更改已启用的控件上的参数。
有关更多信息,请参阅《Cont AWS rol Tower API参考》。
AWSControl Tower 支持着陆区 APIs
2023 年 11 月 26 日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 现在支持着陆区配置和使用启动APIs。您可以使用创建、更新、获取、列出、重置和删除着陆区APIs。
以下内容APIs允许您使用以下命令以编程方式设置和管理着陆区 AWS CloudFormation 或者 AWS CLI.
AWSControl Tower 在着陆区APIs支持以下内容:
-
CreateLandingZone
—此API调用使用着陆区版本和清单文件创建着陆区。 -
GetLandingZoneOperation
—此API调用返回指定 landing zone 操作的状态。 -
GetLandingZone
—此API调用返回有关指定 landing zone 的详细信息,包括版本、清单文件和状态。 -
UpdateLandingZone
—此API调用更新 landing zone 版本或清单文件。 -
ListLandingZone
—此API调用返回管理账户中设置的着陆区标识符 (ARN)。 -
ResetLandingZone
—此API调用将 landing zone 重置为最新更新中指定的参数,这样可以修复漂移。如果着陆区尚未更新,则此调用会将着陆区重置为创建时指定的参数。 -
DeleteLandingZone
—此次API调用停用着陆区。
要开始使用 landing zoneAPIs,请参阅使用以下命令开始使用 Cont AWS rol Tower APIs。
AWSControl Tower 支持为已启用的控件添加标签
2023年11月10日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 现在支持通过控制塔控制台或通过以下方式对已启用的AWS控件进行资源标记。APIs您可以为已启用的控件添加、移除或列出标签。
随着以下版本的发布APIs,您可以为在 Control Tower 中启用的AWS控件配置标签。标签帮助您管理、识别、组织、搜索和筛选资源。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。
AWSControl Tower APIs 支持以下控件标记:
-
TagResource
—此API调用向 Control Tower 中启用的AWS控件添加标签。 -
UntagResource
— 此API调用会从 Control Tower 中启用的控件中AWS移除标签。 -
ListTagsForResource
—此API调用返回在 Control Tower 中启用的AWS控件的标签。
AWSControl Tower 控制APIs功能可用于 AWS 区域 那里有 C AWS ontrol Tower。如需查看完整清单 AWS 区域 哪个 Cont AWS rol Tower 可用,请参阅 AWS 区域表
AWSControl Tower 已在亚太地区(墨尔本)区域上线
2023年11月3日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 已在亚太地区(墨尔本)区域上市。
如果您已经在使用 Cont AWS rol Tower,并且想要在您的账户中将其治理功能扩展到该区域,请前往 Cont AWS rol Tower 控制面板的 “设置” 页面,选择该区域,然后更新您的着陆区域。在着陆区域更新后,您必须更新所有受 Cont AWS rol Tower 管理的账户,以便将您的账户和账户置于新区域的监管OUs之下。有关更多信息,请参阅关于更新。
有关提供 Cont AWS rol Tower 的区域的完整列表,请参阅 AWS 区域
桌子
过渡到新 AWS Service Catalog 外部产品类型(第 1 阶段)
2023年10月31日
(Cont AWS rol Tower 着陆区无需更新。)
HashiCorp 更新了他们的 Terraform 许可。结果, AWS Service Catalog 更新了对 Terraform 开源产品的支持,并将产品配置为一种名为 External 的新产品类型。
AWSControl Tower 不支持依赖于 Account Factory 的自定义设置 AWS Service Catalog 外部产品类型。为了避免对现有工作负载造成中断,以及 AWS 账户中的资源,请在 2023 年 12 月 14 日之前按照以下建议顺序执行 Cont AWS rol Tower 过渡步骤:
-
升级你现有的 Terraform 参考引擎 AWS Service Catalog 包括对外部和 Terraform 开源产品类型的支持。有关更新 Terraform 参考引擎的说明,请查看 AWS Service Catalog GitHub 存储库
。 -
转到 AWS Service Catalog 并复制任何现有的 Terraform 开源蓝图以使用新的外部产品类型。不要终止现有的 Terraform 开源蓝图。
-
继续使用现有的 Terraform 开源蓝图在 Control Tower AWS 中创建或更新账户。
新控件API可用
2023年10月14日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 现在支持其他控制塔控件,您可以使用API这些AWS控件大规模部署和管理控制塔控件。有关 Cont AWS rol Tower 控件的更多信息APIs,请参阅API参考资料。
AWSControl Tower 添加了一个新控件API。
-
GetEnabledControl
— API 呼叫提供有关已启用控件的详细信息。
我们还更新了API以下内容:
ListEnabledControls
—此API通话列出了 Cont AWS rol Tower 在指定组织单位上启用的控件及其包含的帐户。现在,它会在EnabledControlSummary
对象中返回其他信息。
有了这些APIs,你可以通过编程方式执行几个常见的操作。例如:
-
从 Control Tower 控件库中获取您已启用的所有控件的AWS列表。
-
对于任何已启用的控件,您可以获取有关支持该控件的区域、控件的标识符 (ARN)、控件的偏移状态以及控件的状态摘要的信息。
AWSControl Tower 控制APIs功能可用于 AWS 区域 那里有 C AWS ontrol Tower。如需查看完整清单 AWS 区域 哪个 Cont AWS rol Tower 可用,请参阅 AWS 区域表
AWSControl Tower 添加了其他控件
2023年10月5日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 宣布推出新的主动和侦探控制措施。
Contro AWS l Tower 中的主动控制是通过以下方式实现的 AWS CloudFormation Hook,用于识别和屏蔽之前不合规的资源 AWS CloudFormation 为它们提供经费。主动控制是对 Control Tower 中现有的预防和侦测AWS控制功能的补充。
新的主动控制措施
-
[CT.ATHENA.PR.1] 需要 Amazon Athena 工作组对静态的 Athena 查询结果进行加密
-
[CT.ATHENA.PR.2] 要求 Amazon Athena 工作组使用静态加密静态的 Athena 查询结果 AWS Key Management Service (KMS) 键
-
[CT.CLOUDTRAIL.PR.4] 需要 AWS CloudTrail Lake 事件数据存储用于启用静态加密 AWS KMS 键
-
[CT.DAX.PR.2] 要求 Amazon DAX 集群将节点部署到至少三个可用区
-
[CT.EC2.PR.14] 需要通过 Amazon EC2 启动模板配置的 Amazon EBS 卷来加密静态数据
-
[CT.EKS.PR.2] 要求使用 Amazon EKS 集群配置密钥加密 AWS 密钥管理服务 (KMS) 密钥
-
[CT.ELASTICLOADBALANCING.PR.14] 需要 Network Load Balancer 才能激活跨区域负载平衡
-
[CT.ELASTICLOADBALANCING.PR.15] 要求 Elastic Load Balancing v2 目标组不要明确禁用跨区域负载平衡
-
[CT.EMR.PR.1] 要求将 Amazon EMR (EMR) 安全配置配置为对 Amazon S3 中的静态数据进行加密
-
[CT.EMR.PR.2] 要求将 Amazon EMR (EMR) 安全配置配置为使用 Amazon S3 中的静态数据加密 AWS KMS 键
-
[CT.EMR.PR.3] 要求使用 Amazon EMR (EMR) 安全配置配置EBS卷本地磁盘加密 AWS KMS 键
-
[CT.EMR.PR.4] 要求将 Amazon EMR (EMR) 安全配置配置为加密传输中的数据
-
[CT.GLUE.PR.1] 需要 AWS Glue 工作以建立相关的安全配置
-
[CT.GLUE.PR.2] 需要 AWS 使用 Glue 安全配置来加密 Amazon S3 目标中的数据 AWS KMS钥匙
-
[CT.KMS.PR.2] 要求那个 AWS KMS 带有用于加密的密RSA钥材料的非对称密钥的密钥长度大于 2048 位
-
[CT.KMS.PR.3] 需要 AWS KMS 关键策略是要有一份限制创建的声明 AWS KMS 补助金给 AWS 服务
-
[CT.LAMBDA.PR.4] 需要 AWS Lambda 授予访问权限的层权限 AWS 组织或具体 AWS account
-
[CT.LAMBDA.PR.5] 需要 AWS Lambda URL要使用的函数 AWS IAM基于身份验证
-
[CT.LAMBDA.PR.6] 需要 AWS Lambda 限制对特定来源的访问的功能URLCORS策略
-
[CT.NEPTUNE.PR.4] 需要 Amazon Neptune 数据库集群才能为审计 CloudWatch 日志启用亚马逊日志导出
-
[CT.NEPTUNE.PR.5] 要求 Amazon Neptune 数据库集群将备份保留期设置为大于或等于七天
-
[CT.REDSHIFT.PR.9] 要求将 Amazon Redshift 集群参数组配置为使用安全套接字层 (SSL) 对传输中的数据进行加密
这些新的主动控制措施已在商业版中推出 AWS 区域 那里有 C AWS ontrol Tower。有关这些控制的更多详细信息,请参阅主动控制。有关控件可用位置的更多详细信息,请参阅控件限制。
新的侦探控件
在 Sec urity Hub 服务托管标准:Cont AWS rol Tower 中添加了新的控件。这些控制措施可帮助您增强治理状况。在任何特定 OU 上启用它们后,它们将作为 Sec urity Hub 服务托管标准:Cont AWS rol Tower 的一部分。
-
[SH.Athena.1] Athena 工作组应进行静态加密
-
[SH.Neptune.1] 应对 Neptune 数据库集群进行静态加密
-
[SH.Neptune.2] Neptune 数据库集群应将审核日志发布到日志 CloudWatch
-
[SH.Neptune.3] Neptune 数据库集群快照不应公开
-
[SH.Neptune.4] Neptune 数据库集群应启用删除保护
-
[SH.Neptune.5] Neptune 数据库集群应启用自动备份
-
[SH.Neptune.6] 应对 Neptune 数据库集群快照进行静态加密
-
[SH.Neptune.7] Neptune 数据库集群应启用IAM数据库身份验证
-
[SH.Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照
-
[SH.RDS.27] RDS 数据库集群应在静态状态下进行加密
新的 AWS Security Hub 大多数情况下都提供侦探控件 AWS 区域 那里有 C AWS ontrol Tower。有关这些控件的更多详细信息,请参阅适用于服务管理标准的控件:Cont AWS rol Tower。有关控件可用位置的更多详细信息,请参阅控制限制。
报告了新的漂移类型:已禁用可信访问
2023年9月21日
(Cont AWS rol Tower 着陆区无需更新。)
设置AWS控制塔着陆区后,你可以在中禁用对AWS控制塔的可信访问 AWS Organizations。 但是,这样做会导致漂移。
当可信访问禁用漂移类型时,Cont AWS rol Tower 会在发生此类漂移时通知您,因此您可以修复AWS控制塔着陆区。有关更多信息,请参阅治理偏差的类型。
另外四个 AWS 区域
2023年9月13日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 现已在亚太地区(海得拉巴)、欧洲(西班牙和苏黎世)和中东(UAE)上市。
如果您已经在使用 Cont AWS rol Tower,并且想要在您的账户中将其治理功能扩展到该区域,请前往 Cont AWS rol Tower 控制面板的 “设置” 页面,选择该区域,然后更新您的着陆区域。在着陆区域更新后,您必须更新所有受 Cont AWS rol Tower 管理的账户,以便将您的账户和账户置于新区域的监管OUs之下。有关更多信息,请参阅关于更新。
有关提供 Cont AWS rol Tower 的区域的完整列表,请参阅 AWS 区域
桌子
AWSControl Tower 在特拉维夫地区上市
2023年8月28日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 宣布在以色列(特拉维夫)地区上市。
如果您已经在使用 Cont AWS rol Tower,并且想要在您的账户中将其治理功能扩展到该区域,请前往 Cont AWS rol Tower 控制面板的 “设置” 页面,选择该区域,然后更新您的着陆区域。在着陆区域更新后,您必须更新所有受 Cont AWS rol Tower 管理的账户,以便将您的账户和账户置于新区域的监管OUs之下。有关更多信息,请参阅关于更新。
有关提供 Cont AWS rol Tower 的区域的完整列表,请参阅 AWS 区域
桌子
AWSControl Tower 推出 28 种全新的主动控制装置
2023年7月24日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 正在添加 28 个新的主动控件,以帮助您管理自己的 AWS 环境。
主动控制可增强您的多账户中 Cont AWS rol Tower 的治理能力 AWS 环境,方法是在配置不合规的资源之前将其阻止。这些控件有助于管理 AWS 亚马逊 CloudWatch、亚马逊 Neptune、亚马逊等服务 ElastiCache AWS Step Functions,还有亚马逊 DocumentDB。新的控制措施可帮助您实现控制目标,例如建立日志和监控、加密静态数据或提高弹性。
以下是新控件的完整列表:
-
[CT。 APPSYNC.PR.1] 需要一个 AWS AppSync GraphQL API 要启用日志功能
-
[CT。 CLOUDWATCH.PR.1] 要求亚马逊 CloudWatch警报为警报状态配置操作
-
[CT。 CLOUDWATCH.PR.2] 要求将 Amazon CloudWatch 日志组保留至少一年
-
[CT。 CLOUDWATCH.PR.3] 要求使用 Amazon CloudWatch 日志组进行静态加密 AWS KMS钥匙
-
[CT。 CLOUDWATCH.PR.4] 要求激活亚马逊 CloudWatch警报操作
-
[CT。 DOCUMENTDB.PR.1] 要求对亚马逊文档数据库集群进行静态加密
-
[CT。 DOCUMENTDB.PR.2] 要求亚马逊文档数据库集群启用自动备份
-
[CT。 DYNAMODB.PR.2] 要求使用静态加密亚马逊 DynamoDB 表 AWS KMS 键
-
[CT。 EC2.PR.13] 要求亚马逊EC2实例启用详细监控
-
[CT。 EKS.PR.1] 要求将 Amazon EKS 集群配置为禁用对集群 Kub API ernetes 服务器终端节点的公共访问权限
-
[CT。 ELASTICACHE.PR.1] 要求 Ama ElastiCache zon for Redis 集群激活自动备份
-
[CT。 ELASTICACHE.PR.2] 要求 Ama ElastiCache zon for Redis 集群激活自动次要版本升级
-
[CT。 ELASTICACHE.PR.3] 要求 Amazon fo ElastiCache r Redis 复制组激活自动故障转移
-
[CT。 ELASTICACHE.PR.4] 要求 Amazon ElastiCache 复制组激活静态加密
-
[CT。 ELASTICACHE.PR.5] 要求 Ama ElastiCache zon for Redis 复制组激活传输中的加密
-
[CT。 ELASTICACHE.PR.6] 要求 Amazon ElastiCache 缓存集群使用自定义子网组
-
[CT。 ELASTICACHE.PR.7] 要求由早期 Redis 版本组 ElastiCache 成的亚马逊复制组进行 Redis 身份验证 AUTH
-
[CT。 ELASTICBEANSTALK.PR.3] 需要一个 AWS Elastic Beanstalk 环境将进行日志配置
-
[CT。 LAMBDA.PR.3] 需要一个 AWS Lambda 功能要放在客户管理的亚马逊虚拟私有云中 Amazon Virtual Private Cloud () VPC
-
[CT。 NEPTUNE.PR.1] 要求亚马逊 Neptune 数据库集群具有 AWS Identity and Access Management (IAM) 数据库身份验证
-
[CT。 NEPTUNE.PR.2] 要求 Amazon Neptune 数据库集群启用删除保护
-
[CT。 NEPTUNE.PR.3] 要求 Amazon Neptune 数据库集群启用存储加密
-
[CT。 REDSHIFT.PR.8] 要求对亚马逊 Redshift 集群进行加密
-
[CT.S3.PR.9] 要求亚马逊 S3 存储桶激活 S3 对象锁
-
[CT.S3.PR.10] 要求使用 Amazon S 3 存储桶配置服务器端加密 AWS KMS 键
-
[CT.S3.PR.11] 要求 Amazon S 3 存储桶启用版本控制
-
[CT。 STEPFUNCTIONS.PR.1] 需要一个 AWS Step Functions 要激活日志记录的状态机
-
[CT。 STEPFUNCTIONS.PR.2] 需要一个 AWS Step Functions 要拥有的状态机 AWS X-Ray 追踪已激活
Contro AWS l Tower 中的主动控制是通过以下方式实现的 AWS CloudFormation Hook,用于识别和屏蔽之前不合规的资源 AWS CloudFormation 为它们提供经费。主动控制是对 Control Tower 中现有的预防和侦测AWS控制功能的补充。
这些新的主动控制措施全部可用 AWS 区域 那里有 C AWS ontrol Tower。有关这些控制的更多详细信息,请参阅主动控制。
AWSControl Tower 弃用了两个控件
2023年7月18日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 会定期审查其安全控制措施,以确保它们是最新的,并且仍被视为最佳实践。以下两个控件已被弃用,自 2023 年 7 月 18 日起生效,并将从 2023 年 8 月 18 日起从控件库中删除。您无法再在任何组织单位上启用这些控件。您可以选择在移除日期之前停用这些控件。
-
[SH.S3.4] S3 存储桶应启用服务器端加密
-
[CT.S3.PR.7] 要求 Amazon S3 存储桶配置服务器端加密
弃用原因
自 2023 年 1 月起,Amazon S3 在所有新的和现有的未加密存储桶上配置了默认加密,以应用服务器端加密,将 S3 托管密钥 (SSE-S3) 作为上传到这些存储桶的新对象的基本加密级别。未对已使用 SSE-S3 或服务器端加密的现有存储桶的默认加密配置进行任何更改 AWS 密钥管理服务 (AWS KMS) 密钥 (SSE-KMS) 已配置。
AWSControl Tower 着陆区 3.2 版
2023 年 6 月 16 日
(需要将 Cont AWS rol Tower 着陆区更新到 3.2 版。 有关信息,请参阅更新你的着陆区)。
AWSControl Tower 着陆区 3.2 版带来了作为其一部分的控件 AWS Security Hub 服务管理标准:Cont AWS rol Tower 正式上市。它引入了在 Control Tower 控制台中查看属于该标准的AWS控件的漂移状态的功能。
此更新包括一个新的服务相关角色 (SLR),名为。AWSServiceRoleForAWSControlTower此角色通过创建 EventBridge 托管规则来协助 Cont AWS rol Tower,该规则AWSControlTowerManagedRule在每个成员账户中名为。此托管规则收集 AWS Security Hub 使用 Cont AWS rol Tower 查找事件可以确定控制偏差。
此规则是 Control Tower 创建的第一条托AWS管规则。该规则不是由堆栈部署的;而是直接从堆栈部署的 EventBridge APIs。您可以在 EventBridge 控制台中查看规则,也可以通过 EventBridge APIs。如果该managed-by
字段已填充,它将显示 Cont AWS rol Tower 的服务主体。
以前,Cont AWS rol Tower 负责在成员账户中执行操作。AWSControlTowerExecution这一新的角色和规则更符合在多账户中执行操作时允许最低权限的最佳实践原则 AWS 环境。新角色提供了范围缩小的权限,这些权限特别允许:在成员账户中创建托管规则、维护托管规则SNS、通过发布安全通知以及验证偏差。有关更多信息,请参阅 AWSServiceRoleForAWSControlTower。
landing zone 3.2 更新还在管理账户中加入了一个新 StackSet 资源BP_BASELINE_SERVICE_LINKED_ROLE
,该账户最初部署的是服务相关角色。
在报告 Security Hub 控制偏差(在着陆区 3.2 及更高版本中)时,Cont AWS rol Tower 会收到来自 Security Hub 的每日状态更新。尽管每个受管辖区域的控件都处于活动状态,但 Cont AWS rol Tower 会发送 AWS Security Hub 仅@@ 查找 Cont AWS rol Tower 主区域的事件。有关更多信息,请参阅 S ecurity Hub 控制偏差报告。
更新 “区域拒绝” 控件
此 landing zone 版本还包括对 “区域拒绝” 控件的更新。
全球服务并APIs添加
-
AWS Billing and Cost Management (
billing:*
) -
AWS CloudTrail (
cloudtrail:LookupEvents
) 以允许在成员账户中查看全球事件。 -
AWS 整合账单 (
consolidatedbilling:*
) -
AWS 管理控制台 Mobile Application (
consoleapp:*
) -
AWS 免费套餐 (
freetier:*
) -
AWS 开票 (
invoicing:*
) -
AWS IQ (
iq:*
) -
AWS 用户通知 (
notifications:*
) -
AWS 用户通知联系人 (
notifications-contacts:*
) -
Amazon Payments (
payments:*
) -
AWS 税务设置 (
tax:*
)
全球服务并APIs已删除
-
已移除,
s3:GetAccountPublic
因为它不是有效的操作。 -
已移除,
s3:PutAccountPublic
因为它不是有效的操作。
AWSControl Tower 根据 ID 处理账户
2023年6月14日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 现在通过跟踪账户工厂创建的账户来创建和管理你在 Account Factory 中创建的账户 AWS 账户 ID,而不是账户的电子邮件地址。
配置账户时,账户申请者必须始终拥有CreateAccount
和DescribeCreateAccountStatus
权限。此权限集是管理员角色的一部分,当请求者担任管理员角色时,它会自动授予。如果您委托配置账户的权限,则可能需要直接为账户申请者添加这些权限。
Contro AWS l Tower 控件库中提供了其他 Security Hub 侦探控件
2023年6月12日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 新增了十个新内容 AWS Security Hub Contro AWS l Tower 控件库中的侦探控件。这些新控件针对的服务包括 API Gateway、 AWS CodeBuild、亚马逊 Elastic Compute Cloud (EC2)、亚马逊 Elastic Load Balancer、Amazon Redshift、亚马逊 SageMaker和 AWS WAF。 这些新控件通过实现控制目标(例如建立日志记录和监控、限制网络访问和加密静态数据)来帮助您增强治理状态。
在任何特定 OU 上启用这些控件后,这些AWS控件将作为 Security Hub 服务托管标准:Control Tower 的一部分。
-
[sh.account.1] 应为以下人员提供安全联系信息 AWS 账户
-
[SH。 APIGateway.8] API 网关路由应指定授权类型
-
[SH。 APIGateway.9] 应为API网关 V2 阶段配置访问日志
-
[SH。 CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密
-
[SH。 EC2.25] EC2 启动模板不应将公共分配IPs给网络接口
-
[SH。 ELB.1] 应将 Application Load Balancer 配置为将所有HTTP请求重定向到 HTTPS
-
[sh.redshift.10] Reds hift 集群应该在静态状态下进行加密
-
[SH。 SageMaker.2] SageMaker 笔记本实例应以自定义方式启动 VPC
-
[SH。 SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限
-
[SH。 WAF.10] 一个WAFV2网络ACL应该至少有一个规则或规则组
新的 AWS Security Hub 侦探控件全部可用 AWS 区域 那里有 C AWS ontrol Tower。有关这些控件的更多详细信息,请参阅适用于服务管理标准的控件:Cont AWS rol Tower。
AWSControl Tower 发布控制元数据表
2023年6月7日
(Cont AWS rol Tower 着陆区无需更新。)
AWS作为已发布文档的一部分,Control Tower 现在提供了完整的控制元数据表。使用控件时APIs,您可以查看每个控件 APIcontrolIdentifier,这是与每个控件ARN关联的唯一控件 AWS 区域。 这些表格包括每项控制措施所涵盖的框架和控制目标。以前,此信息仅在控制台中可用。
这些表还包含 Security Hub 控件的元数据,这些控件是 AWS Security Hub 服务管理标准:Cont AWS rol Tower 。有关完整详细信息,请参阅控件元数据表。
有关控件标识符的简短列表和一些用法示例,请参阅APIs和控件的资源标识符。
Terraform 支持 Account Factory 定制
2023年6月6日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 通过账户工厂定制 () 为 Terraform 提供单区域支持。AFC从此版本开始,您可以在 Terraform 开源中同时使用 Cont AWS rol Tower 和 Service Catalog 来定义AFC账户蓝图。您可以自定义新的和现有的 AWS 账户,然后再在 Cont AWS rol Tower 中配置资源。默认情况下,此功能允许您使用 Terraform 在 Cont AWS rol Tower 主区域中部署和更新帐户。
账户蓝图描述了在以下情况下所需的特定资源和配置 AWS 账户 已配置。您可以将蓝图用作模板来创建多个 AWS 账户 大规模。
要开始使用 Terraform 参考引擎
要了解如何创建这些自定义项,请参阅 Service Catalog 文档中的创建产品和 Terraform 开源入门。此功能在所有版本中都可用 AWS 区域 那里有 C AWS ontrol Tower。
AWS IAM身份中心自我管理可用于 landing zone
2023年6月6日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 现在支持为AWS控制塔着陆区选择可选的身份提供者,你可以在设置或更新期间对其进行配置。默认情况下,可以选择使用着陆区 AWS IAMIdentity Center,与 “组织你的” 中定义的最佳实践指南保持一致 AWS 使用多个账户的环境。你现在有三种选择:
-
您可以接受默认设置并允许 Cont AWS rol Tower 进行设置和管理 AWS IAM专为您而设的身份中心。
-
你可以选择自我管理 AWS IAM身份中心,以反映您的特定业务需求。
-
如果需要,您可以选择携带第三方身份提供商并自行管理,方法是通过 Ident IAM ity Center 进行连接。如果您的监管环境要求您使用特定的提供商,或者如果您在以下位置运营,则应使用身份提供商可选性 AWS 区域 其中 AWS IAM身份中心不可用。
有关更多信息,请参阅 IAM身份中心指南。
不支持在账户级别选择身份提供商。此功能仅适用于整个着陆区。AWS所有 Control Tower 身份提供者选项均可用 AWS 区域 那里有 C AWS ontrol Tower。
AWSControl Tower 解决了混合治理问题 OUs
2023年6月1日
(Cont AWS rol Tower 着陆区无需更新。)
在此版本中,如果组织单位 (OU) 处于混合治理状态,Contro AWS l Tower 将阻止控制部署到该组织单位 (OU)。如果在 Cont AWS rol Tower 将治理范围扩展到新账户后未更新账户,则组织单位中就会出现混合治理 AWS 区域,或者移除治理。此版本可帮助您使该 OU 的成员账户保持统一合规。有关更多信息,请参阅 配置区域时避免混合治理。
还提供其他主动控制措施
2023年5月19日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 添加了 28 个新的主动控件,以帮助您管理多账户环境并实现特定的控制目标,例如静态数据加密或限制网络访问。通过以下方式实施主动控制 AWS CloudFormation 在配置资源之前对其进行检查的挂钩。新的控制措施可以帮助治理 AWS 诸如亚马逊 OpenSearch 服务、Amazon A EC2 uto Scaling、亚马逊 SageMaker、Amazon API Gateway 和亚马逊关系数据库服务 (RDS) 之类的服务 ()。
所有商业广告均支持主动控制 AWS 区域 那里有 C AWS ontrol Tower。
亚马逊 OpenSearch 服务
-
[CT。 OPENSEARCH.PR.1] 需要 Elasticsearch 域来加密静态数据
-
[CT。 OPENSEARCH.PR.2] 要求在用户指定的亚马逊上创建 Elasticsearch 域 VPC
-
[CT。 OPENSEARCH.PR.3] 需要 Elasticsearch 域来加密节点之间发送的数据
-
[CT。 OPENSEARCH.PR.4] 需要 Elasticsearch 域才能向亚马逊日志发送错误日志 CloudWatch
-
[CT。 OPENSEARCH.PR.5] 需要 Elasticsearch 域才能将审核日志发送到亚马逊日志 CloudWatch
-
[CT。 OPENSEARCH.PR.6] 要求一个 Elasticsearch 域具有区域感知能力和至少三个数据节点
-
[CT。 OPENSEARCH.PR.7] 要求一个 Elasticsearch 域至少有三个专用的主节点
-
[CT。 OPENSEARCH.PR.8] 需要 Elasticsearch 服务域才能使用 .2 TLSv1
-
[CT。 OPENSEARCH.PR.9] 要求使用亚马逊 OpenSearch 服务域来加密静态数据
-
[CT。 OPENSEARCH.PR.10] 要求在用户 OpenSearch 指定的亚马逊中创建亚马逊服务域 VPC
-
[CT。 OPENSEARCH.PR.11] 需要亚马逊 OpenSearch 服务域来加密节点之间发送的数据
-
[CT。 OPENSEARCH.PR.12] 需要亚马逊 OpenSearch 服务域才能将错误日志发送到亚马逊日志 CloudWatch
-
[CT。 OPENSEARCH.PR.13] 要求亚马逊 OpenSearch 服务域将审核日志发送到亚马逊日志 CloudWatch
-
[CT。 OPENSEARCH.PR.14] 要求一个 Amazon Serv OpenSearch ice 域具有区域感知能力和至少三个数据节点
-
[CT。 OPENSEARCH.PR.15] 要求亚马逊 OpenSearch 服务域使用精细访问控制
-
[CT。 OPENSEARCH.PR.16] 需要亚马逊 OpenSearch 服务域名才能使用 .2 TLSv1
Amazon A EC2 uto Scaling
-
[CT。 AUTOSCALING.PR.1] 要求一个 Amazon A EC2 uto Scaling 组拥有多个可用区
-
[CT。 AUTOSCALING.PR.2] 需要使用 Amazon A EC2 uto Scaling 组启动配置来配置亚马逊EC2实例 IMDSv2
-
[CT。 AUTOSCALING.PR.3] 需要 Amazon A EC2 uto Scaling 启动配置才能设置单跳元数据响应限制
-
[CT。 AUTOSCALING.PR.4] 要求与亚马逊 Elastic Load Balancing (ELB) 关联的 Amazon A EC2 uto Scaling 群组激活运行状况ELB检查
-
[CT。 AUTOSCALING.PR.5] 要求 Amazon A EC2 uto Scaling 组启动配置中没有带有公有 IP 地址的亚马逊EC2实例
-
[CT。 AUTOSCALING.PR.6] 要求任何 Amazon A EC2 uto Scaling 组使用多种实例类型
-
[CT。 AUTOSCALING.PR.8] 要求 Amazon A EC2 uto Scaling 组配置启动模板 EC2
Amazon SageMaker
-
[CT。 SAGEMAKER.PR.1] 需要使用 Amazon SageMaker 笔记本实例以防止直接访问互联网
-
[CT。 SAGEMAKER.PR.2] 要求在自定义 Amazon 中部署亚马逊 SageMaker 笔记本实例 VPC
-
[CT。 SAGEMAKER.PR.3] 要求不允许 Amazon SageMaker 笔记本实例具有根访问权限
亚马逊API网关
-
[CT。 APIGATEWAY.PR.5] 要求 Amazon Gatewa API y V2 Websocket 和HTTP路由来指定授权类型
亚马逊 Relational Database Service (RDS)
-
[CT。 RDS.PR.25] 要求 Amazon RDS 数据库集群配置日志记录
有关更多信息,请参阅主动控制。
更新了 Amazon EC2 主动控制措施
2023年5月2日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 更新了两个主动控件:CT.EC2.PR.3 以及 CT.EC2.PR.4.
对于更新的 CT.EC2.PR.3 控制,任何 AWS CloudFormation 引用安全组资源前缀列表的部署将被禁止部署,除非是端口 80 或 443。
对于更新的 CT.EC2.PR.4 控制,任何 AWS CloudFormation 如果引用安全组资源前缀列表的端口为 3389、20、23、110、143、3306、8080、1433、9200、9300、25、445、135、21、1434、4333、5432、5500、5601、22、3000、8088、8888、8888,则该部署将被阻止。
另外七个 AWS 区域 available
2023年4月19日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 现已推出另外七个版本 AWS 区域:北加州(旧金山)、亚太地区(香港、雅加达和大阪)、欧洲(米兰)、中东(巴林)和非洲(开普敦)。除美国西部(加利福尼亚北部)区域外,Cont AWS rol Tower 的这些其他区域(称为可选区域)默认处于活动状态,该区域默认处于活动状态。
Contro AWS l Tower 中的某些控件在其中一些其他控件中无法运行 AWS 区域 Cont AWS rol Tower 可用的地方,因为这些区域不支持所需的基础功能。有关详细信息,请参阅控制限制。
在这些新区域中,亚太地区(雅加达和大阪)不提供氟氯化碳。其他的可用性 AWS 区域 不变。
有关 Cont AWS rol Tower 如何管理区域和控件限制的更多信息,请参阅激活 AWS 选择加入区域的注意事项。
所需的终VPCe端节点在中东(巴林)区域不可用。AFT在该区域部署AFT的客户需要使用参数进行部署aft_vpc_endpoints=false
。有关更多信息,请参阅README文件中的
AWS由于亚马逊VPCs的限制,Control Tower 在美国西部(加利福尼亚北部)地区有两个可用区EC2。us-west-1
在美国西部(加利福尼亚北部),六个子网被划分为两个可用区。有关更多信息,请参阅 AWS Control Tower 和 VPC 概述。
AWSControl Tower 为其添加了新的权限AWSControlTowerServiceRolePolicy
,允许 Cont AWS rol Tower 调用EnableRegion
ListRegions
、,并GetRegionOptStatus
APIs由 AWS 账户管理服务,以增加这些服务 AWS 区域
适用于你在 landing zone 中的共享账户(管理账户、日志存档账户、审核账户)和你的 OU 成员账户。有关更多信息,请参阅 AWS Control Tower 的托管策略。
Account Factory for Terraform (AFT) 账户自定义请求跟踪
2023年2月16日
AFT支持账户自定义请求跟踪。每次提交账户自定义请求时,都会AFT生成一个通过AFT自定义的唯一跟踪令牌 AWS Step Functions 状态机,它将令牌作为其执行的一部分进行记录。您可以使用 Amazon CloudWatch Logs 见解查询来搜索时间戳范围并检索请求令牌。因此,您可以看到令牌附带的有效负载,因此您可以在整个AFT工作流程中跟踪您的账户自定义请求。有关的更多信息AFT,请参阅 Terraform 的 Cont AWS rol Tower Account Factory 概述。有关 CloudWatch 日志和 Step Functions 的信息,请参阅以下内容:
-
什么是 Amazon CloudWatch 日志? 在 Amazon CloudWatch 日志用户指南中
-
什么是 AWS Step Functions? 在 AWS Step Functions 开发者指南
AWSControl Tower 着陆区版本 3.1
2023 年 2 月 9 日
(需要将 Cont AWS rol Tower 着陆区更新到 3.1 版。 有关信息,请参阅更新你的着陆区)
AWSControl Tower 着陆区版本 3.1 包括以下更新:
-
在此版本中,Cont AWS rol Tower 会停用访问日志存储桶(访问日志存档账户中存储访问日志的 Amazon S3 存储桶)的不必要访问日志记录,同时继续为 S3 存储桶启用服务器访问日志记录。此版本还包括对 “区域拒绝” 控件的更新,允许对全球服务执行其他操作,例如 AWS Support 计划和 AWS Artifact.
-
停用 Cont AWS rol Tower 访问日志存储桶的服务器访问日志会导致 Security Hub 为日志存档账户的访问日志存储桶创建查找结果,原因是 AWS Security Hub 规则,[S3.9] 应启用 S3 存储桶服务器访问日志记录。为了与 Security Hub 保持一致,我们建议您按照 Security Hub 对此规则的描述中所述,取消此特定发现。有关其他信息,请参阅有关隐藏查找结果的信息。
-
在 3.1 版本中,日志存档账户中(常规)日志存储桶的访问日志记录保持不变。根据最佳实践,该存储桶的访问事件将作为日志条目记录在访问日志存储桶中。有关访问日志的更多信息,请参阅 Amazon S3 文档中的使用服务器访问日志记录请求。
-
我们更新了 “区域拒绝” 控件。此更新允许更多全球服务执行操作。有关详细信息SCP,请参阅拒绝访问 AWS 根据要求 AWS 区域以及增强数据驻留保护的控制措施。
增加了全球服务:
-
AWS Account Management (
account:*
) -
AWS 激活 (
activate:*
) -
AWS Artifact (
artifact:*
) -
AWS Billing Conductor (
billingconductor:*
) -
AWS Compute Optimizer (
compute-optimizer:*
) -
AWS Data Pipeline (
datapipeline:GetAccountLimits
) -
AWS Device Farm(
devicefarm:*
) -
AWS Marketplace (
discovery-marketplace:*
) -
亚马逊 ECR (
ecr-public:*
) -
AWS License Manager (
license-manager:ListReceivedLicenses
) -
AWS Lightsail ()
lightsail:Get*
-
AWS 资源探索器 (
resource-explorer-2:*
) -
亚马逊 S3 (
s3:CreateMultiRegionAccessPoint
,s3:GetBucketPolicyStatus
,s3:PutMultiRegionAccessPointPolicy
) -
AWS Savings Plans (
savingsplans:*
) -
IAM身份中心 (
sso:*
) -
AWS Support App (
supportapp:*
) -
AWS Support 计划 (
supportplans:*
) -
AWS 可持续发展 (
sustainability:*
) -
AWS Resource Groups Tagging API (
tag:GetResources
) -
AWS Marketplace 供应商见解 (
vendor-insights:ListEntitledSecurityProfiles
)
-
主动控制措施普遍可用
2023年1月24日
(Cont AWS rol Tower 着陆区无需更新。)
之前宣布的预览状态下的可选主动控制现已正式推出。这些控制措施之所以被称为主动控制,是因为它们会在部署资源之前检查您的资源,以确定新资源是否符合在您的环境中激活的控制措施。有关更多信息,请参阅 全面的控制有助于 AWS 资源配置和管理。