本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
2023 年 1 月 – 12 月
2023 年,AWS Control Tower 发布了以下更新:
过渡到新的 AWS Service Catalog 外部产品类型(第 3 阶段)
2023 年 12 月 14 日
(AWS Control Tower 登录区无需更新。)
在创建新产品时,AWS Control Tower 不再支持 Terraform 开源作为产品类型(蓝图)。 AWS 账户有关更新账户蓝图的更多信息以及有关更新账户蓝图的说明,请查看过渡到 AWS Service Catalog 外部产品类型。
如果您不将账户蓝图更新为使用外部产品类型,则只能更新或终止使用 Terraform 开源蓝图预置的账户。
AWS Control Tower 登录区版本 3.3
2023 年 12 月 14 日
(AWS Control Tower 登录区需要更新到版本 3.3。有关信息,请参阅 更新您的登录区)。
AWS Control Tower 审计账户中 S3 存储桶策略的更新
我们修改了 AWS Control Tower 在各账户中部署的 Amazon S3 审计存储桶策略,因此任何写入权限都必须满足 aws:SourceOrgID 条件。在此版本中,只有当请求来自您的组织或组织单位 (OU) 时, AWS 服务才能访问您的资源。
您可以在 S3 存储桶策略的条件元素中使用 aws:SourceOrgID 条件键,并将其值设置为您的组织 ID。此条件可确保 CloudTrail 只有代表组织内的账户才能将日志写入您的 S3 存储桶;它可以防止组织外部的 CloudTrail 日志写入您的 AWS Control Tower S3 存储桶。
我们进行此项更改是为了修复一个潜在的安全漏洞,同时不影响现有工作负载的功能。要查看更新后的策略,请参阅 审计账户中的 Amazon S3 存储桶策略。
有关新条件密钥的更多信息,请参阅 IAM 文档和 IAM 博客文章,标题为 “对访问资源的 AWS 服务使用可扩展的控制”。
AWS Config SNS 主题中对政策的更新
我们在 SNS 主题的策略中添加了新的aws:SourceOrgID条件密钥。要查看更新的政策,请参阅 AWS Config SNS 主题政策。 AWS Config
登录区区域拒绝控件的更新
-
删除了
discovery-marketplace:。此操作已包含在aws-marketplace:*豁免范围内。 -
新增了
quicksight:DescribeAccountSubscription
更新了 AWS CloudFormation 模板
我们更新了名为的堆栈的 AWS CloudFormation 模板,BASELINE-CLOUDTRAIL-MASTER使其在不使用 AWS KMS 加密时不会显示偏差。
过渡到新的 AWS Service Catalog 外部产品类型(第 2 阶段)
2023 年 12 月 7 日
(AWS Control Tower 登录区无需更新。)
HashiCorp 更新了他们的 Terraform 许可。因此,将对 Terraform 开源产品的支持 AWS Service Catalog 更改为一种名为 Exter nal 的新产品类型。
为避免中断您账户中的现有工作负载和 AWS 资源,请在 2023 年 12 月 14 日之前按照过渡到 AWS Service Catalog 外部产品类型中的 AWS Control Tower 过渡步骤进行操作。
AWS Control Tower 宣布推出有助于实现数字主权的控件
2023 年 11 月 27 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 宣布推出 65 种新的 AWS托管控件,以帮助您满足数字主权要求。随着此次发布,您可以在 AWS Control Tower 控制台中新的数字主权组下找到这些控件。您可以使用这些控件来帮助来防止与数据驻留、精细访问限制、加密和弹性功能相关的操作,并检测这些方面的资源变更。这些控件旨在让您能够更轻松地大规模满足相关要求。有关数字主权控件的更多信息,请参阅 Controls that enhance digital sovereignty protection。
例如,您可以选择启用有助于强制执行加密和弹性策略的控件,例如要求 AWS AppSync API 缓存启用传输中的加密或要求跨多个可用区域部署 AWS Network Firew all。您还可以自定义 AWS Control Tower 区域拒绝控件,以应用最符合您独特业务需求的区域限制。
此次发布为 AWS Control Tower 带来了更加完善的区域拒绝功能。您可以在 OU 级别应用一种新的参数化区域拒绝控件,以提高监管的精细度,同时在登录区级别维持额外的区域监管。这种可自定义的区域拒绝控件可帮助您应用最符合自身独特业务需求的区域限制。有关新的可配置区域拒绝控件的更多信息,请参阅 Region deny control applied to the OU。
本次发布新增了一个 API UpdateEnabledControl,作为针对新的区域拒绝增强功能的新工具,可用于将已启用的控件重置为默认设置。在需要快速解决偏移问题,或者以编程方式确保某个控件未处于偏移状态的用例中,此 API 特别有用。有关该新 API 的更多信息,请参阅 AWS Control Tower API Reference
新的主动性控件
-
CT.APIGATEWAY.PR.6: 要求 Amazon API Gateway REST 域使用将最低 TLS 协议版本指定为 TLSv1 .2 的安全策略
-
CT.APPSYNC.PR.2: 要求将 AWS AppSync GraphQL API 配置为私有可见性
-
CT.APPSYNC.PR.3: 要求不使用 API 密 AWS AppSync 钥对 GraphQL API 进行身份验证
-
CT.APPSYNC.PR.4:需要 AWS AppSync GraphQL API 缓存才能启用传输中加密。
-
CT.APPSYNC.PR.5:需要 AWS AppSync GraphQL API 缓存才能启用静态加密。
-
CT.AUTOSCALING.PR.9: 需要通过 Amazon A EC2 uto Scaling 启动配置配置配置的 Amazon EBS 卷来加密静态数据
-
CT.AUTOSCALING.PR.10:要求 Amazon A EC2 uto Scaling 组在覆盖启动模板时仅使用 AWS Nitro 实例类型
-
CT.AUTOSCALING.PR.11:在覆盖启动模板时,仅要求将支持实例间网络流量加密的 AWS Nitro 实例类型添加到 Amazon A EC2 uto Scaling 群组
-
CT.DAX.PR.3:要求 DynamoDB Accelerator 集群使用传输层安全性协议(TLS)对传输中数据进行加密。
-
CT.DMS.PR.2: 需要 D AWS atabase Migration Service (DMS) 端点来加密源端点和目标端点的连接
-
CT.EC2.PR.15:要求 Amazon EC2 实例在使用该
AWS::EC2::LaunchTemplate资源类型创建实例时使用 AWS Nitro 实例类型 -
CT.EC2.PR.16:要求使用
AWS::EC2::Instance资源类型创建 Amazon EC2 实例时使用 AWS Nitro 实例类型 -
CT.EC2.PR.17: 需要亚马逊 EC2 专用主机才能使用 AWS Nitro 实例类型
-
CT.EC2.PR.18: 要求 Amazon EC2 队列仅覆盖那些具有 AWS Nitro 实例类型的启动模板
-
CT.EC2.PR.19:在使用资源类型创建时,要求 Amazon EC2 实例使用支持实例之间传输加密的 nitro 实例类型
AWS::EC2::Instance -
CT.EC2.PR.20:要求 Amazon EC2 队列仅覆盖那些支持实例之间传输加密的 AWS Nitro 实例类型的启动模板
-
CT.ELASTICACHE.PR.8: 需要一个包含更高版本 Redis 的 Amazon ElastiCache 复制组才能激活 RBAC 身份验证
-
CT.MQ.PR.1:要求 Amazon MQ ActiveMQ 代理使用主动/备用部署模式以实现高可用性
-
CT.MQ.PR.2:要求 Amazon MQ Rabbit MQ 代理使用多可用区集群模式以实现高可用性
-
CT.MSK.PR.1:要求 Amazon Managed Streaming for Apache Kafka(MSK)集群在集群代理节点间强制实施传输中加密。
-
CT.MSK.PR.2: 要求将适用于 Apache Kafka 的亚马逊托管流媒体 Kafka (MSK) 集群配置为禁用 PublicAccess
-
CT.NETWORK-FIREWALL.PR.5: 要求在多个可用区域之间部署 AWS Network Firewall 防火墙
-
CT.RDS.PR.26:要求 Amazon RDS 数据库代理必须使用传输层安全性协议(TLS)连接
-
CT.RDS.PR.27:要求 Amazon RDS 数据库集群参数组必须针对支持的引擎类型使用传输层安全性协议(TLS)连接
-
CT.RDS.PR.28:要求 Amazon RDS 数据库参数组必须针对支持的引擎类型使用传输层安全性协议(TLS)连接
-
CT.RDS.PR.29:要求未通过 “PubliclyAccessible” 属性将 Amazon RDS 集群配置为可公开访问
-
CT.RDS.PR.30:要求 Amazon RDS 数据库实例配置静态加密,以针对所支持的引擎类型使用您指定的 KMS 密钥
-
CT.S3.PR.12:要求 Amazon S3 接入点设置屏蔽公共访问(BPA)配置,并将所有选项都设置为 true
新的预防性控件
-
CT.APPSYNC.PV.1 要求将 AWS AppSync GraphQL API 配置为私有可见性
-
CT.EC2.PV.1 要求使用加密 EC2 卷创建 Amazon EBS 快照
-
CT.EC2.PV.2 要求将连接的 Amazon EBS 卷配置为对静态数据进行加密
-
CT.EC2.PV.3 要求 Amazon EBS 快照不能公开恢复
-
CT.EC2.PV.4 要求不要调用 Amazon EBS Dire APIs ct
-
CT.EC2.PV.5 禁止使用 Amazon EC2 虚拟机导入和导出
-
CT.EC2.PV.6 禁止使用已弃用的 Amazon EC2 RequestSpotFleet 和 API 操作 RequestSpotInstances
-
CT.KMS.PV.1 要求 AWS KMS 密钥政策中包含一项声明,将 AWS KMS 补助金的创建限制在 AWS 服务范围内
-
CT.KMS.PV.2 要求带有用于加密的 RSA 密钥材料的 AWS KMS 非对称密钥的密钥长度不能为 2048 位
-
CT.KMS.PV.3 要求在启用绕过策略锁定安全检查的情况下配置 AWS KMS 密钥
-
CT.KMS.PV.4 要求使用源自 Cl AWS KMS oudHSM 的密钥材料配置客户管理的密钥 (CMK) AWS
-
CT.KMS.PV.5 要求使用导入的密钥材料配置 AWS KMS 客户管理的密钥 (CMK)
-
CT.KMS.PV.6 要求使用来自外部密钥存储库 (XKS) 的密钥材料配置 AWS KMS 客户管理的密钥 (CMK)
-
CT.LAMBDA.PV.1 需要 AWS Lambda 函数 URL 才能使用 AWS 基于 IAM 的身份验证
-
CT.LAMBDA.PV.2 要求将 AWS Lambda 函数 URL 配置为仅供您内部的委托人访问 AWS 账户
-
CT.MULTISERVICE.PV.1: AWS 根据对组织单位的请求拒绝访问权限 AWS 区域
增强您的数字主权治理态势的新侦探控制措施是 AWS Security Hub 服务托管标准 AWS Control Tower 的一部分。
新的检测性控件
-
SH.ACM.2:由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度
-
SH.AppSync.5: APIs 不应 AWS AppSync 使用 API 密钥对 GraphQL 进行身份验证
-
SH.CloudTrail.6: 确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问:
-
SH.DMS.9:DMS 端点应使用 SSL
-
SH.DocumentDB.3:Amazon DocumentDB 手动集群快照不应公开
-
SH.DynamoDB.3:DynamoDB Accelerator(DAX)集群应在静态状态下进行加密
-
SH.EC2.23: EC2 中转网关不应自动接受 VPC 连接请求
-
SH.EKS.1:EKS 集群端点不可供公共访问
-
SH.ElastiCache.3: ElastiCache 复制组应启用自动故障转移
-
SH.ElastiCache.4: ElastiCache 复制组应该已 encryption-at-rest启用
-
SH.ElastiCache.5: ElastiCache 复制组应该已 encryption-in-transit启用
-
SH.ElastiCache.6: 早期 Redis 版本的 ElastiCache 复制组应启用 Redis 身份验证
-
SH.EventBridge.3: EventBridge 自定义事件总线应附加基于资源的策略
-
SH.KMS.4: 应启用 AWS KMS 密钥轮换
-
SH.Lambda.3:Lambda 函数应位于 VPC 中
-
SH.MQ.5:ActiveMQ 代理应使用主动/备用部署模式
-
SH.MQ.6:RabbitMQ 代理应使用集群部署模式
-
SH.MSK.1:MSK 集群应在代理节点之间传输时进行加密
-
SH.RDS.12:应为 RDS 集群配置 IAM 身份验证
-
SH.RDS.15:应为多个可用区配置 RDS 数据库集群
-
SH.S3.17: S3 存储桶应使用密钥进行静态加 AWS KMS 密
有关添加到 AWS Security Hub 服务托管标准 AWS Control Tower 中的控件的更多信息,请参阅文档中适用于服务管理标准:AWS Control Tower 的 AWS Security Hub 控件。
有关不支持 AWS Security Hub 服务托管标准 AWS Control Tower 中某些控件的列表,请参阅不支持的区域。 AWS 区域
新增 OU 级别可配置的区域拒绝控件
CT.MULTISERVICE.PV.1:此控制措施接受参数设定,以便在 OU 层面(而非针对整个 AWS Control Tower登录区)指定豁免区域、IAM 主体以及允许执行的操作。它是一种预防性控件,由服务控制策略(SCP)实施。
有关更多信息,请参阅 Region deny control applied to the OU。
UpdateEnabledControl API
此 AWS Control Tower 版本为控件添加了以下 API 支持:
-
更新后的
EnableControlAPI 可以配置可配置的控件。 -
更新后的
GetEnabledControlAPI 可显示已启用控件上的已配置参数。 -
新
UpdateEnabledControlAPI 可以更改已启用控件上的参数。
有关更多信息,请参阅 AWS Control Tower API Reference。
AWS Control Tower 支持着陆区 APIs
2023 年 11 月 26 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持使用着陆区配置和启动 APIs。您可以使用创建、更新、获取、列出、重置和删除着陆区 APIs。
以下内容 APIs 允许您使用 AWS CloudFormation 或以编程方式设置和管理着陆区。 AWS CLI
AWS Control Tower APIs 为着陆区提供以下支持:
-
CreateLandingZone- 此 API 调用会使用登录区版本和清单文件来创建一个登录区。 -
GetLandingZoneOperation- 此 API 调用会返回指定登录区操作的状态。 -
GetLandingZone- 此 API 调用会返回有关指定登录区的详细信息,包括版本、清单文件和状态。 -
UpdateLandingZone- 此 API 调用会更新登录区版本或清单文件。 -
ListLandingZone- 此 API 调用会返回管理账户中设置的登录区的一个登录区标识符(ARN)。 -
ResetLandingZone- 此 API 调用会将登录区重置为最新更新中指定的参数,从而修复偏移。如果登录区未曾更新过,则此调用会将登录区重置为创建时指定的参数。 -
DeleteLandingZone- 此 API 调用会停用登录区。
要开始使用 landing zone APIs,请参阅使用以下命令开始使用 Cont AWS rol Tower APIs。
AWS Control Tower 支持为已启用的控件添加标签
2023 年 11 月 10 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持通过 AWS Control Tower 控制台或通过以下方式对已启用的控件进行资源标记。 APIs您可以针对已启用的控件添加、删除或列出标签。
随着以下版本的发布 APIs,您可以为在 AWS Control Tower 中启用的控件配置标签。标签可帮助您管理、识别、组织、搜索和筛选资源。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。
AWS Control Tower APIs 支持以下控制标记:
-
TagResource- 此 API 调用会向 AWS Control Tower 中启用的控件添加标签。 -
UntagResource- 此 API 调用会从 AWS Control Tower 中已启用的控件中删除标签。 -
ListTagsForResource- 此 API 调用会返回 AWS Control Tower 中已启用控件的标签。
在 AWS Control APIs Tower 可用 AWS 区域 的地方,可以使用 AWS Control Tower 控件。有关可用 AWS Control Tower 的完整列表,请参阅AWS 区域表
AWS Control Tower 在亚太地区(墨尔本)区域推出
2023 年 11 月 3 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 在亚太地区(墨尔本)区域推出。
如果您已经在使用 AWS Control Tower,并且希望将其监管功能扩展到您账户中的该区域,请前往 AWS Control Tower 控制面板中的设置页面,选择该区域,然后更新您的登录区。着陆区域更新后,您必须更新受 AWS Control Tower 管理的所有账户,以便将您的账户置于新区域的监管 OUs 之下。有关更多信息,请参阅 About Updates。
有关 AWS Control Tower 可用区域的完整列表,请参阅 AWS 区域
Table
过渡到新的 AWS Service Catalog 外部产品类型(第 1 阶段)
2023 年 10 月 31 日
(AWS Control Tower 登录区无需更新。)
HashiCorp 更新了他们的 Terraform 许可。因此, AWS Service Catalog 更新了对 Terraform 开源产品的支持,并将产品配置为一种名为 Exter nal 的新产品类型。
AWS Control Tower 不支持依赖于 AWS Service Catalog 外部产品类型的 Account Factory 自定义。为避免中断您账户中的现有工作负载和 AWS 资源,请在 2023 年 12 月 14 日之前按照以下建议顺序执行 AWS Control Tower 过渡步骤:
-
升级现有的 Terraform 参考引擎 AWS Service Catalog ,使其包括对外部和 Terraform 开源产品类型的支持。有关更新 Terraform 参考引擎的说明,请查看存储库。AWS Service Catalog GitHub
-
转到 AWS Service Catalog 并复制任何现有的 Terraform 开源蓝图,以使用新的外部产品类型。不要终止现有的 Terraform 开源蓝图。
-
继续使用您现有的 Terraform 开源蓝图,在 AWS Control Tower 中创建或更新账户。
新的控件 API 可用
2023 年 10 月 14 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持一个额外的 API,您可以使用它来大规模部署和管理 AWS Control Tower 控件。有关 AWS Control Tower 控件的更多信息 APIs,请参阅 API 参考。
AWS Control Tower 添加了一个新的控件 API。
-
GetEnabledControl- 该 API 调用会提供有关已启用控件的详细信息。
我们还更新了以下 API:
ListEnabledControls - 此 API 调用会列出 AWS Control Tower 在指定组织单位及其包含的账户上启用的控件。现在,它会在 EnabledControlSummary 对象中返回其他信息。
有了这些 APIs,你可以通过编程方式执行几个常见的操作。例如:
-
从 AWS Control Tower 控件库中获取您已启用的所有控件的列表。
-
对于任何已启用的控件,您可以获取以下相关信息:支持该控件的区域、控件的标识符(ARN)、控件的偏移状态以及控件的状态摘要。
在 AWS Control APIs Tower 可用 AWS 区域 的地方,可以使用 AWS Control Tower 控件。有关可用 AWS Control Tower 的完整列表,请参阅AWS 区域表
AWS Control Tower 添加了额外的控件
2023 年 10 月 5 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 宣布推出新的主动性和检测性控件。
AWS Control Tower 中的主动控制是通过 Hook 实现的, AWS CloudFormation 挂钩可以在配置不合规的资源之前识别和屏 AWS CloudFormation 蔽它们。主动性控件是对 AWS Control Tower 中现有的预防性和检测性控件功能的补充。
新的主动性控件
-
[CT.ATHENA.PR.1] 需要 Amazon Athena 工作组对静态的 Athena 查询结果进行加密
-
[CT.ATHENA.PR.2] 要求亚马逊 Athena 工作组使用 (KMS) 密钥对静态的 Athena 查询结果进行加密 AWS Key Management Service
-
[CT.CLOUDTRAIL.PR.4] 需要 AWS CloudTrail Lake 事件数据存储才能使用密 AWS KMS 钥启用静态加密
-
[CT.DAX.PR.2] 要求 Amazon DAX 集群将节点部署到至少三个可用区
-
[CT.EC2.PR.14] 需要通过亚马逊 EC2 启动模板配置的 Amazon EBS 卷来加密静态数据
-
[CT.EKS.PR.2] 要求将 Amazon EKS 集群配置为使用密 AWS 钥管理服务 (KMS) 密钥进行秘密加密
-
[CT.ELASTICLOADBALANCING.PR.14] 需要 Network Load Balancer 才能激活跨区域负载平衡
-
[CT.ELASTICLOADBALANCING.PR.15] 要求 Elastic Load Balancing v2 目标组不要明确禁用跨区域负载平衡
-
[CT.EMR.PR.1] 要求将 Amazon EMR (EMR) 安全配置配置为对 Amazon S3 中的静态数据进行加密
-
[CT.EMR.PR.2] 要求将 Amazon EMR (EMR) 安全配置配置为使用密钥对 Amazon S3 中的静态数据进行加密 AWS KMS
-
[CT.EMR.PR.3] 要求将 Amazon EMR (EMR) 安全配置配置为使用密钥的 EBS 卷本地磁盘加密 AWS KMS
-
[CT.EMR.PR.4] 要求将 Amazon EMR (EMR) 安全配置配置为对传输中的数据进行加密
-
[CT.GLUE.PR.1] 需要 AWS Glue 作业才能关联安全配置
-
[CT.GLUE.PR.2] 需要 AWS Glue 安全配置才能使用 AWS KMS 密钥对 Amazon S3 目标中的数据进行加密
-
[CT.KMS.PR.2] 要求带有用于加密的 RSA 密钥材料的 AWS KMS 非对称密钥的密钥长度必须大于 2048 位
-
[CT.KMS.PR.3] 要求 AWS KMS 密钥政策包含一项声明,将 AWS KMS 补助金的创建仅限于 AWS 服务
-
[CT.LAMBDA.PR.4] 需要 AWS Lambda 图层权限才能向 AWS 组织或特定 AWS 账户授予访问权限
-
[CT.LAMBDA.PR.5] 需要 AWS Lambda 函数 URL 才能使用 AWS 基于 IAM 的身份验证
-
[CT.LAMBDA.PR.6] 需要使用 AWS Lambda 函数 URL CORS 策略来限制对特定来源的访问
-
[CT.NEPTUNE.PR.4] 需要 Amazon Neptune 数据库集群才能为审计 CloudWatch 日志启用亚马逊日志导出
-
[CT.NEPTUNE.PR.5] 要求 Amazon Neptune 数据库集群将备份保留期设置为大于或等于七天
-
[CT.REDSHIFT.PR.9] 要求将 Amazon Redshift 集群参数组配置为使用安全套接字层 (SSL) 对传输中的数据进行加密
这些新的主动控制措施可在提供 AWS Control Tower 的商业 AWS 区域 版中使用。有关这些控件的更多详细信息,请参阅 Proactive controls。有关控件可用区域的更多详细信息,请参阅 Control limitations。
新的检测性控件
在 Security Hub 服务托管标准:AWS Control Tower 中新增了一些控件。这些控件可帮助您增强监管状况。在任何特定 OU 上启用它们后,它们将作为 Security Hub 服务托管标准:AWS Control Tower 的一部分发挥作用。
-
[SH.Athena.1] Athena 工作组应进行静态加密
-
[SH.Neptune.1] 应对 Neptune 数据库集群进行静态加密
-
[SH.Neptune.2] Neptune 数据库集群应将审核日志发布到日志 CloudWatch
-
[SH.Neptune.3] Neptune 数据库集群快照不应公开
-
[SH.Neptune.4] Neptune 数据库集群应启用删除保护
-
[SH.Neptune.5] Neptune 数据库集群应启用自动备份
-
[SH.Neptune.6] 应对 Neptune 数据库集群快照进行静态加密
-
[SH.Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证
-
[SH.Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照
-
[SH.RDS.27] RDS 数据库集群应进行静态加密
大多数提供 AWS Control Tower AWS 区域 的地方都可以使用新的 AWS Security Hub 侦探控件。有关这些控件的更多详细信息,请参阅 Controls that apply to Service-Managed Standard: AWS Control Tower。有关控件可用区域的更多详细信息,请参阅 控件限制。
报告了新的偏移类型:已禁用可信访问
2023 年 9 月 21 日
(AWS Control Tower 登录区无需更新。)
设置 AWS Control Tower 登录区后,您可以在 AWS Organizations中禁用对 AWS Control Tower 的可信访问。但是,这样做会导致偏移。
对于“已禁用可信访问”偏移类型,AWS Control Tower 会在发生此类偏移问题时通知您,以便您修复 AWS Control Tower 登录区。有关更多信息,请参阅 Types of governance drift。
另外四个 AWS 区域
2023 年 9 月 13 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现已在亚太地区(海得拉巴)、欧洲(西班牙和苏黎世)和中东(阿联酋)推出。
如果您已经在使用 AWS Control Tower,并且希望将其监管功能扩展到您账户中的该区域,请前往 AWS Control Tower 控制面板中的设置页面,选择该区域,然后更新您的登录区。着陆区域更新后,您必须更新受 AWS Control Tower 管理的所有账户,以便将您的账户置于新区域的监管 OUs 之下。有关更多信息,请参阅 About Updates。
有关 AWS Control Tower 可用区域的完整列表,请参阅 AWS 区域
Table
AWS Control Tower 在特拉维夫区域推出
2023 年 8 月 28 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 宣布在以色列(特拉维夫)区域推出。
如果您已经在使用 AWS Control Tower,并且希望将其监管功能扩展到您账户中的该区域,请前往 AWS Control Tower 控制面板中的设置页面,选择该区域,然后更新您的登录区。着陆区域更新后,您必须更新受 AWS Control Tower 管理的所有账户,以便将您的账户置于新区域的监管 OUs 之下。有关更多信息,请参阅 About Updates。
有关 AWS Control Tower 可用区域的完整列表,请参阅 AWS 区域
Table
AWS Control Tower 推出 28 种新的主动性控件
2023 年 7 月 24 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 正在增加 28 项新的主动性控件,以帮助您管理 AWS 环境。
主动控制通过在配置不合规的资源之前将其阻止,从而增强多账户 AWS 环境中 AWS Control Tower 的治理能力。这些控件有助于管理亚马逊、亚马逊 Neptune CloudWatch、亚马逊和亚马逊 Docum ElastiCache entDB AWS Step Functions等 AWS 服务。借助这些新的控件,您还可以实现建立日志记录与监控、加密静态数据或提高弹性等控制目标。
以下是新控件的完整列表:
-
[CT.APPSYNC.PR.1] 需要 G AWS AppSync raphQL API 才能启用日志记录
-
[CT.CLOUDWATCH.PR.1] 要求 CloudWatch亚马逊警报为警报状态配置操作
-
[CT.CLOUDWATCH.PR.2] 要求 CloudWatch亚马逊日志组保留至少一年
-
[CT.CLOUDWATCH.PR.3] 要求使用 KMS 密钥对 CloudWatch亚马逊日志组进行静态加密 AWS
-
[CT.CLOUDWATCH.PR.4] 需要激活亚马逊警报操作 CloudWatch
-
[CT.DOCUMENTDB.PR.1] 要求对 Amazon DocumentDB 集群进行静态加密
-
[CT.DOCUMENTDB.PR.2] 要求 Amazon DocumentDB 集群启用自动备份
-
[CT.DYNAMODB.PR.2] 要求使用密钥对亚马逊 DynamoDB 表进行静态加密 AWS KMS
-
[CT。 EC2.PR.13] 要求亚马逊 EC2 实例启用详细监控
-
[CT.EKS.PR.1] 要求对 Amazon EKS 集群进行配置,禁用对集群 Kubernetes API 服务器端点的公共访问。
-
[CT.ELASTICACHE.PR.1] 要求 ElastiCache 亚马逊版 R edis 集群激活自动备份
-
[CT.ELASTICACHE.PR.2] 要求 ElastiCache 亚马逊版 Redis 集群激活自动次要版本升级
-
[CT.ELASTICACHE.PR.3] 要求 ElastiCache 亚马逊版 Redis 复制组激活自动故障转移
-
[CT.ELASTICACHE.PR.4] 要求亚马逊 ElastiCache 复制组激活静态加密
-
[CT.ELASTICACHE.PR.5] 要求 ElastiCache 亚马逊版 Redis 复制组激活传输中的加密
-
[CT.ELASTICACHE.PR.6] 要求亚马逊 ElastiCache 缓存集群使用自定义子网组
-
[CT.ELASTICACHE.PR.7] 要求由早期 Redis 版本组成的 ElastiCache 亚马逊复制组进行 Redis AUTH 身份验证
-
[CT.ELASTICBEANSTALK.PR.3] 要求 AWS Elastic Beanstalk 环境进行日志记录配置
-
[CT.LAMBDA.PR.3] 要求 AWS Lambda 函数位于客户管理的 Amazon Virtual Private Cloud(VPC)中
-
[CT.NEPTUNE.PR.1] 要求亚马逊 Ne ptune 数据库集群具有 (IAM) 数据库身份验证 AWS Identity and Access Management
-
[CT.NEPTUNE.PR.2] 要求 Amazon Neptune 数据库集群启用删除保护
-
[CT.NEPTUNE.PR.3] 要求 Amazon Neptune 数据库集群启用存储加密
-
[CT.REDSHIFT.PR.8] 要求对 Amazon Redshift 集群进行加密
-
[CT.S3.PR.9] 要求 Amazon S3 存储桶激活 S3 对象锁定
-
[CT.S3.PR.10] 要求 Amazon S 3 存储桶使用密钥配置服务器端加密 AWS KMS
-
[CT.S3.PR.11] 要求 Amazon S3 存储桶启用版本控制
-
[CT.STEPFUNCTIONS.PR.1] 要求 AWS Step Functions 状态机激活日志记录
-
[CT.STEPFUNCTIONS.PR.2] 要求状态机激活跟 AWS Step Functions 踪 AWS X-Ray
AWS Control Tower 中的主动控制是通过 Hook 实现的, AWS CloudFormation 挂钩可以在配置不合规的资源之前识别和屏 AWS CloudFormation 蔽它们。主动性控件是对 AWS Control Tower 中现有的预防性和检测性控件功能的补充。
这些新的主动控制措施在 AWS Control Tower 的所有 AWS 区域 可用区域都可用。有关这些控件的更多详细信息,请参阅 Proactive controls。
AWS Control Tower 弃用 2 个控件
2023 年 7 月 18 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 会定期审查其安全控件,以确保它们保持最新状态且仍然被视为最佳实践。以下两个控件已于 2023 年 7 月 18 日弃用,并将于 2023 年 8 月 18 日从控件库中删除。您无法再对任何组织单位启用这些控件。您可以选择在删除日期之前停用这些控件。
-
[SH.S3.4] S3 存储桶应启用服务器端加密
-
[CT.S3.PR.7] 要求 Amazon S3 存储桶配置服务器端加密
弃用原因
自 2023 年 1 月起,Amazon S3 对所有新的和现有的未加密存储桶配置了默认加密,以应用具有 Amazon S3 托管密钥的服务器端加密(SSE-S3),作为对上传到这些存储桶的新对象的基本加密级别。未对已有 SSE-S3 或配置了密 AWS 钥管理服务 (AWS KMS) 密钥 (SSE-KMS) 的服务器端加密的现有存储桶的默认加密配置进行任何更改。
AWS Control Tower 登录区版本 3.2
2023 年 6 月 16 日
(AWS Control Tower 登录区需要更新到版本 3.2。有关信息,请参阅 更新您的登录区)。
AWS Control Tower 着陆区版本 3.2 将 AWS Security Hub 服务管理标准:AWS Control Tower 中的控件全面推出。它引入了在 AWS Control Tower 控制台中查看该标准所含控件的偏移状态的功能。
此更新包括一个名为 Tower 的新服务相关角色 (SLR)。AWSService RoleFor AWSControl该角色通过创建 EventBridge 托管规则来协助 AWS Control Tower,该规则AWSControlTowerManagedRule在每个成员账户中名为。此托管规则收集 AWS Security Hub 查找事件,通过 AWS Control Tower 可以确定控制偏差。
这条规则是 AWS Control Tower 创建的首条托管规则。该规则不是由堆栈部署的;而是直接从堆栈部署的 EventBridge APIs。您可以在 EventBridge 控制台中查看规则,也可以通过 EventBridge APIs。如果 managed-by 字段已填充,它将显示 AWS Control Tower 的服务主体。
以前,AWS Control Tower 负责在成员账户中执行操作。AWSControlTowerExecution这一新的角色和规则更符合在多账户 AWS 环境中执行操作时允许最低权限的最佳实践原则。新角色提供范围更小的权限,这些权限具体包括:在成员账户中创建托管规则、维护托管规则、通过 SNS 发布安全通知以及验证偏移。有关更多信息,请参阅 AWSServiceRoleForAWSControl塔。
landing zone 3.2 更新还在管理账户中加入了一个新 StackSet 资源BP_BASELINE_SERVICE_LINKED_ROLE,该账户最初部署的是服务相关角色。
在报告 Security Hub 控件偏移(在登录区 3.2 及更高版本中)时,AWS Control Tower 会收到来自 Security Hub 的每日状态更新。尽管控件在每个受管控区域都处于活动状态,但 AWS Control Tower 仅向 AWS Control Tower 主区域发送 AWS Security Hub 发现事件。有关更多信息,请参阅 Security Hub control drift reporting.。
更新区域拒绝控件
此登录区版本还包括对区域拒绝控件的更新。
全球服务并 APIs 添加
-
AWS Billing and Cost Management (
billing:*) -
AWS CloudTrail (
cloudtrail:LookupEvents) 以允许在成员账户中查看全球事件。 -
AWS 整合账单 (
consolidatedbilling:*) -
AWS 管理控制台 Mobile Application (
consoleapp:*) -
AWS 免费套餐 (
freetier:*) -
AWS 开票 (
invoicing:*) -
AWS IQ (
iq:*) -
AWS 用户通知 (
notifications:*) -
AWS 用户通知联系人 (
notifications-contacts:*) -
Amazon Payments (
payments:*) -
AWS 税务设置 (
tax:*)
全球服务并 APIs 已移除
-
已删除
s3:GetAccountPublic,因为它不是一个有效的操作。 -
已删除
s3:PutAccountPublic,因为它不是一个有效的操作。
AWS Control Tower 根据 ID 处理账户
2023 年 6 月 14 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在通过跟踪账户 ID 而不是账户的电子邮件地址来创建和管理您在 Account Factory 中创建的账户。 AWS
预置账户时,账户请求者必须始终拥有 CreateAccount 和 DescribeCreateAccountStatus 权限。此权限集是管理员角色的一部分,当请求者代入管理员角色时会自动获得这些权限。如果您将预置账户的权限委派给他人,则可能需要直接为账户请求者添加这些权限。
AWS Control Tower 控件库中提供其他 Security Hub 检测性控件
2023 年 6 月 12 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 在 AWS Control Tower 控件库中添加了十个新的 AWS Security Hub 侦探控件。这些新控件针对的是诸如 API Gateway、 AWS CodeBuild Amazon Elastic Compute Cloud (EC2)、Amazon Elastic Load Balancer、Amazon Redshift、Amazon SageMaker AI 等服务。 AWS WAF这些新控件通过实现诸如建立日志记录和监控、限制网络访问和加密静态数据等控制目标,帮助您增强监管状况。
在任何特定 OU 上启用这些控件后,它们将作为 Security Hub 服务托管标准:AWS Control Tower 的一部分发挥作用。
-
[sh.account.1] 应为以下人员提供安全联系信息 AWS 账户
-
[SH。 APIGateway.8] API Gateway 路由应指定授权类型
-
[SH。 APIGateway.9] 应为 API Gateway V2 Stages 配置访问日志
-
[SH。 CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密
-
[SH。 EC2.25] EC2 启动模板不应将公共分配 IPs 给网络接口
-
[SH.ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS
-
[SH.Redshift.10] Redshift 集群应进行静态加密
-
[SH。 SageMaker.2] SageMaker AI 笔记本实例应在自定义 VPC 中启动
-
[SH。 SageMaker.3] 用户不应拥有 SageMaker AI 笔记本实例的 root 访问权限
-
[SH.WAF.10] 一个 WAFV2 Web ACL 应至少有一个规则或规则组
新的 AWS Security Hub 侦探控件可在所有可用 AWS Control Tower AWS 区域 的地方使用。有关这些控件的更多详细信息,请参阅 Controls that apply to Service-Managed Standard: AWS Control Tower。
AWS Control Tower 发布控件元数据表
2023 年 6 月 7 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 目前在已发布的文档中提供了完整的控制元数据表。使用控件时 APIs,您可以查找每个控件的 API ControlIdentifier,这是与每个控件关联的唯一 ARN。 AWS 区域这些表格包含每项控件所涵盖的框架和控制目标。此前,这些信息仅在控制台中提供。
这些表还包括属于 AWS Security Hub 服务管理标准:AWS Control Tower 的 Security Hub 控件的元数据。有关完整详细信息,请参阅 Tables of control metadata。
有关控件标识符的简短列表和一些用法示例,请参阅 APIs 和控件的资源标识符。
Terraform 支持 Account Factory Customization
2023 年 6 月 6 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 通过 Account Factory Customization(AFC)为 Terraform 提供单区域支持。从本次发布开始,您可以在 Terraform 开源中结合使用 AWS Control Tower 和 Service Catalog 来定义 AFC 账户蓝图。在 AWS Control Tower 中配置资源之前 AWS 账户,您可以自定义您的新资源和现有资源。默认情况下,此功能允许您使用 Terraform 在 AWS Control Tower 主区域部署和更新账户。
账户蓝图描述了置备时所需的特定资源和配置。 AWS 账户 您可以将蓝图用作模板来大规模创建多个 AWS 账户 蓝图。
要开始使用 Terraform 参考引擎
要了解如何创建这些自定义项,请参阅 Service Catalog 文档中的 Creating Products 和 Getting started with Terraform open source。此功能在所有可用 AWS Control Tower AWS 区域 的地方都可用。
AWS 可用于 landing zone 的 IAM 身份中心自我管理
2023 年 6 月 6 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持针对 AWS Control Tower 登录区选择身份提供商,您可以在设置或更新期间对其进行配置。根据使用多个账户组织 AWS 环境中定义的最佳实践指南,默认情况下,着陆区域选择使用 AWS IAM Identity Center。现在,您有三种选择:
-
您可以接受默认设置,允许 AWS Control Tower 为您设置和管理 AWS IAM Identity Center。
-
您可以选择自行管理 AWS IAM 身份中心,以反映您的特定业务需求。
-
如果需要,您可以选择通过 IAM Identity Center 连接第三方身份提供商并对其进行自我管理。如果您的监管环境要求您使用特定的提供商,或者如果您在 AWS IAM Identity Center 不可用的 AWS 区域 地区开展业务,则应使用身份提供商可选性。
有关更多信息,请参阅 IAM Identity Center 指南。
不支持在账户级别选择身份提供商。此功能仅适用于整个登录区。AWS Control Tower 身份提供商选项在所有可用 AWS Control Tower AWS 区域 的地方都可用。
AWS Control Tower 解决了以下方面的混合治理问题 OUs
2023 年 6 月 1 日
(AWS Control Tower 登录区无需更新。)
随着此次发布,如果某个组织单位(OU)处于混合监管状态,AWS Control Tower 会阻止控件部署到该 OU。如果在 AWS Control Tower 将监管范围扩展到新的或移除监管后仍未更新账户 AWS 区域,则组织单位中就会出现混合治理。此次发布可帮助您使该 OU 的成员账户保持统一合规。有关更多信息,请参阅 配置区域时避免混合监管。
推出其他主动性控件
2023 年 5 月 19 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 添加了 28 个新的主动性控件,以帮助您监管多账户环境并实现特定的控制目标,例如静态数据加密或限制网络访问。主动控制是通过 AWS CloudFormation 挂钩实现的,挂钩可以在配置资源之前检查您的资源。新的控件可以帮助管理亚马逊 AWS OpenSearch 服务、Amazon A EC2 uto Scaling、Amazon A SageMaker I、Amazon API Gateway和亚马逊关系数据库服务 (RDS) 等服务。
所有提供 AWS Control Tower AWS 区域 的商业版都支持主动控制。
亚马逊 OpenSearch 服务
-
[CT.OPENSEARCH.PR.1] 要求 Elasticsearch 域加密静态数据
-
[CT.OPENSEARCH.PR.2] 要求在用户指定的 Amazon VPC 中创建 Elasticsearch 域
-
[CT.OPENSEARCH.PR.3] 要求 Elasticsearch 域加密节点之间发送的数据
-
[CT.OPENSEARCH.PR.4] 需要 Elasticsearch 域才能将错误日志发送到亚马逊日志 CloudWatch
-
[CT.OPENSEARCH.PR.5] 需要 Elasticsearch 域才能将审核日志发送到亚马逊日志 CloudWatch
-
[CT.OPENSEARCH.PR.6] 要求 Elasticsearch 域具备区域感知能力,并且一个域至少包含三个数据节点
-
[CT.OPENSEARCH.PR.7] 要求一个 Elasticsearch 域至少有三个专用的主节点
-
[CT.OPENSEARCH.PR.8] 需要一个 Elasticsearch 服务域才能使用 .2 TLSv1
-
[CT.OPENSEARCH.PR.9] 要求使用 OpenSearch 亚马逊服务域来加密静态数据
-
[CT.OPENSEARCH.PR.10] 要求在用户指定的 OpenSearch 亚马逊 VPC 中创建亚马逊服务域
-
[CT.OPENSEARCH.PR.11] 需要 OpenSearch 亚马逊服务域来加密节点之间发送的数据
-
[CT.OPENSEARCH.PR.12] 需要亚马逊服务域才能将错误日志发送到 OpenSearch 亚马逊日志 CloudWatch
-
[CT.OPENSEARCH.PR.13] 需要亚马逊服务域才能将审核日志发送到 OpenSearch 亚马逊日志 CloudWatch
-
[CT.OPENSEARCH.PR.14] 要求 OpenSearch 亚马逊服务域具有区域感知能力和至少三个数据节点
-
[CT.OPENSEARCH.PR.15] 要求 OpenSearch 亚马逊服务域名使用精细的访问控制
-
[CT.OPENSEARCH.PR.16] 需要亚马逊服务域名才能使用 .2 OpenSearch TLSv1
Amazon A EC2 uto Scaling
-
[CT.AUTOSCALING.PR.1] 要求一个 Amazon Auto Sc EC2 aling 组拥有多个可用区
-
[CT.AUTOSCALING.PR.2] 需要使用 Amazon A EC2 uto Scaling 组启动配置来配置亚马逊实例 EC2 IMDSv2
-
[CT.AUTOSCALING.PR.3] 需要使用 Amazon A EC2 uto Scaling 启动配置才能设置单跳元数据响应限制
-
[CT.AUTOSCALING.PR.4] 要求与亚马逊 Elastic Load Balancing (ELB) 关联的亚马逊 A EC2 uto Scaling 组激活 ELB 运行状况检查
-
[CT.AUTOSCALING.PR.5] 要求 Amazon Auto Sc EC2 aling 群组启动配置中没有带有公有 IP 地址的亚马逊实例 EC2
-
[CT.AUTOSCALING.PR.6] 要求任何 Amazon Auto Scaling 组使用多种 EC2 实例类型
-
[CT.AUTOSCALING.PR.8] 要求亚马逊 Auto Sc EC2 aling 组配置启动模板 EC2
亚马逊 SageMaker AI
-
[CT.SAGEMAKER.PR.1] 需要一个 A SageMaker mazon AI 笔记本实例才能防止直接访问互联网
-
[CT.SAGEMAKER.PR.2] 要求在自定义 Amazon VPC 中 SageMaker 部署亚马逊 AI 笔记本实例
-
[CT.SAGEMAKER.PR.3] 要求禁止 SageMaker 亚马逊 AI 笔记本实例具有根访问权限
Amazon API Gateway
-
[CT.APIGATEWAY.PR.5] 要求 Amazon API Gateway V2 Websocket 和 HTTP 路由指定授权类型
Amazon Relational Database Service(RDS)
-
[CT.RDS.PR.25] 要求 Amazon RDS 数据库集群配置日志记录
有关更多信息,请参阅 Proactive controls。
更新了 Amazon EC2 的主动控制措施
2023 年 5 月 2 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 更新了两个主动控制措施:CT.EC2.PR.3 以及 CT.EC2.PR.4.
对于更新的 CT.EC2.PR.3 控制,任何 AWS CloudFormation 引用安全组资源前缀列表的部署都将被禁止部署,除非是端口 80 或 443。
对于更新的 CT.EC2.PR.4 控制,如果端口为 3389、20、23、110、143、3306、8080、1433、9200、9300、9300、9300、25、445、135、21、1434、4333、5432、5500、5601、22、3000、8088、8888、8888,则任何引用安全组资源前缀列表的 AWS CloudFormation 部署都将被阻止。
另外七个 AWS 区域 可用
2023 年 4 月 19 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现已在另外七个地区推出 AWS 区域:北加州(旧金山)、亚太地区(香港、雅加达和大阪)、欧洲(米兰)、中东(巴林)和非洲(开普敦)。这些新增的 AWS Control Tower 可用区域称为选择加入区域,除美国西部(北加利福尼亚)区域默认处于活动状态外,其他区域均默认处于非活动状态。
在提供 AWS Control Tower 的部分新增 AWS 区域 区域中,由于这些区域不支持所需的基础功能,因此 AWS Control Tower 中的某些控件无法在其中运行。有关详细信息,请参阅控件限制。
在这些新区域中,CfCT 在亚太地区(雅加达和大阪)不可用。其他版本的可用性保持 AWS 区域 不变。
有关 AWS Control Tower 如何管理区域和控件限制的更多信息,请参阅 激活 AWS 选择加入区域方面的注意事项。
AFT 所需的 VPCe 终端节点在中东(巴林)区域不可用。在该区域部署 AFT 的客户需要使用参数 aft_vpc_endpoints=false 进行部署。有关更多信息,请参阅自述文件
由于亚马逊的限制 VPCs ,AWS Control Tower 在美国西部(加利福尼亚北部)地区有两个可用区 EC2。us-west-1在美国西部(北加利福尼亚),六个子网被划分到两个可用区。有关更多信息,请参阅 Cont AWS rol Tower 概述和 VPCs。
AWS Control Tower 添加了新的权限EnableRegion,ListRegions允许 AWS Control Tower 调用,并由 AWS 账户管理服务GetRegionOptStatus APIs 实施,使这些额外权限 AWS 区域
可用于您在着陆区域中的共享账户(管理账户、日志存档账户、审计账户)和您的 OU 成员账户。AWSControlTowerServiceRolePolicy有关更多信息,请参阅 AWS Control Tower 的托管策略。
Account Factory for Terraform(AFT)账户自定义请求跟踪
2023 年 2 月 16 日
AFT 支持账户自定义请求跟踪。每次您提交账户自定义请求时,AFT 都会生成一个唯一的跟踪令牌,该令牌通过 AFT 自定义 AWS Step Functions 状态机传递,该状态机将令牌记录为其执行的一部分。您可以使用 Amazon CloudWatch Logs 见解查询来搜索时间戳范围并检索请求令牌。因此,您可以看到令牌附带的有效载荷,这使您可以在整个 AFT 工作流中跟踪您账户的自定义请求。有关 AFT 的更多信息,请参阅 Overview of AWS Control Tower Account Factory for Terraform。有关 CloudWatch 日志和 Step Functions 的信息,请参阅以下内容:
-
什么是 Amazon CloudWatch 日志? 在 Amazon CloudWatch 日志用户指南中
-
什么是 AWS Step Functions? 在《AWS Step Functions 开发者指南》中
AWS Control Tower 登录区版本 3.1
2023 年 2 月 9 日
(AWS Control Tower 登录区需要更新到版本 3.1。有关信息,请参阅 更新您的登录区)
AWS Control Tower 登录区版本 3.1 包括以下更新:
-
随着此次发布,AWS Control Tower 将针对您的访问日志记录存储桶(即日志归档账户中存储访问日志的 Amazon S3 存储桶)停用不必要的访问日志记录,同时继续为 S3 存储桶启用服务器访问日志记录。此版本还包括对 “区域拒绝” 控件的更新,允许对全球服务执行其他操作,例如 支持 计划和 AWS Artifact。
-
由于 AWS Security Hub 规则“[S3.9] 应启用 S3 存储桶服务器访问日志记录”,停用 AWS Control Tower 访问日志记录存储桶的服务器访问日志记录会导致 Security Hub 为日志存档账户的访问日志记录存储桶创建一个调查发现。为了与 Security Hub 保持一致,建议您按照 Security Hub 对此规则的描述中所述,抑制这一特定调查发现。有关其他信息,请参阅有关抑制的调查发现的信息。
-
在 3.1 版本中,日志存档账户中(常规)日志记录存储桶的访问日志记录保持不变。根据最佳实践,该存储桶的访问事件将作为日志条目记录在访问日志存储桶中。有关访问日志记录的更多信息,请参阅 Amazon S3 文档中的 Logging requests using server access logging。
-
我们更新了区域拒绝控件。此更新允许更多全局服务执行相关操作。有关此 SCP 的详细信息,请参阅AWS 根据请求拒绝访问 AWS 区域和增强数据驻留保护的控制措施。
添加的全局服务:
-
AWS Account Management (
account:*) -
AWS 激活 (
activate:*) -
AWS Artifact (
artifact:*) -
AWS Billing Conductor (
billingconductor:*) -
AWS Compute Optimizer (
compute-optimizer:*) -
AWS Data Pipeline (
datapipeline:GetAccountLimits) -
AWS Device Farm(
devicefarm:*) -
AWS Marketplace (
discovery-marketplace:*) -
Amazon ECR (
ecr-public:*) -
AWS License Manager (
license-manager:ListReceivedLicenses) -
AWS Lightsail ()
lightsail:Get* -
AWS 资源探索器 (
resource-explorer-2:*) -
Amazon S3(
s3:CreateMultiRegionAccessPoint、s3:GetBucketPolicyStatus、s3:PutMultiRegionAccessPointPolicy) -
AWS Savings Plans (
savingsplans:*) -
IAM Identity Center (
sso:*) -
AWS Support App (
supportapp:*) -
支持 计划 (
supportplans:*) -
AWS 可持续发展 (
sustainability:*) -
AWS Resource Groups Tagging API (
tag:GetResources) -
AWS Marketplace 供应商见解 (
vendor-insights:ListEntitledSecurityProfiles)
-
主动性控件正式发布
2023 年 1 月 24 日
(AWS Control Tower 登录区无需更新。)
之前以预览状态公布的可选预防性控件现已正式发布。这些控件之所以被称为主动性控件,是因为它们会在部署资源之前检查您的资源,以确定新资源是否符合在您的环境中激活的控件。有关更多信息,请参阅 全面的控件协助进行 AWS 资源预置和管理。
