2024 年 1 月——至今

自 2024 年 1 月以来，AWS Control Tower 发布了以下更新：

• AWS Control Tower 支持多达 100 个并发控制操作

• AWS Control Tower 已在 AWS 加拿大西部（卡尔加里）上市

• AWS Control Tower 支持自助服务配额调整

• AWS Control Tower 发布了控制参考指南

• AWS Control Tower 更新并重命名了两个主动控件

• 已弃用的控件不再可用

• AWS Control Tower 支持在以下位置标记EnabledControl资源 AWS CloudFormation

• AWS Control Tower 支持用于 OU 注册和使用基准进行配置的 API

AWS Control Tower 支持多达 100 个并发控制操作

2024年5月20日

（AWS Control Tower 着陆区无需更新。）

AWS Control Tower 现在支持具有更高并发度的多个控制操作。您可以通过控制台或通过 API 同时跨多个组织单位 (OU) 提交最多 100 个 AWS Control Tower 控制操作。最多可以同时运行十 (10) 个操作，其他操作将排队。通过这种方式，您可以跨多个设置更加标准化的配置 AWS 账户，而不必承担重复控制操作的操作负担。

要监控正在进行的和排队的控制操作的状态，您可以在 AWS Control Tower 控制台中导航到新的 “近期操作” 页面，也可以调用新ListControlOperations的 API。

AWS Control Tower 库包含 500 多个控件，这些控件对应于不同的控制目标、框架和服务。对于特定的控制目标，例如加密静态数据，您可以通过单个控制操作启用多个控件，以帮助您实现目标。此功能有助于加快开发速度，允许更快地采用最佳实践控制措施，并降低运营复杂性。

AWS Control Tower 已在 AWS 加拿大西部（卡尔加里）上市

2024年5月3日

（AWS Control Tower 着陆区无需更新。）

从今天开始，您可以在加拿大西部（卡尔加里）地区激活 AWS Control Tower。如果您已经部署了 AWS Control Tower，并且想要将其监管功能扩展到该区域，则可以使用 AWS Control Tower 着陆区 API 来实现。或者在控制台中，前往 AWS Control Tower 控制面板中的设置页面，选择您的区域，然后更新您的着陆区。

加拿大西部（卡尔加里）区域不支持 AWS Service Catalog。因此，AWS Control Tower 的某些功能有所不同。最显著的功能变化是 Account Factory 不可用。如果您选择加拿大西部（卡尔加里）作为您的主区域，则更新账户、设置账户自动化以及任何其他涉及 Service Catalog 的流程将与其他地区不同。

配置账户

要在加拿大西部（卡尔加里）地区创建和配置新账户，我们建议您在 AWS Control Tower 之外创建一个账户，然后将其注册到注册的 OU。有关更多信息，请参阅注册现有账户和注册账户的步骤。

Service Catalog API 不适用于加拿大西部（卡尔加里）区域。Serv ice Catalog API 在 AWS Control Tower 中自动配置账户中显示的示例脚本不可行。

由于 AWS Control Tower 缺乏其他底层依赖关系，加拿大西部（卡尔加里）不提供账户工厂定制 (AFC)、Terraform 账户工厂 (AFT) 和 AWS 控制塔定制 (cfcT)。如果您将监管范围扩展到加拿大西部（卡尔加里）地区，则只要您所在的地区提供服务目录，您就可以继续管理 AWS Control Tower 支持的所有区域的 AFC 蓝图。

控件

AWS Security Hub 服务管理标准：AWS Control Tower 的主动控制和控制在加拿大西部（卡尔加里）地区不可用。加拿大西部（卡尔加里）CT.CLOUDFORMATION.PR.1不提供预防性控制，因为只有激活基于挂钩的主动控制才需要预防性控制。基于的某些侦探控制 AWS Config 不可用。有关更多信息，请参阅 控制限制。

身份提供商

加拿大西部（卡尔加里）不提供 IAM 身份中心。最佳实践建议是在提供 IAM 身份中心的区域设置您的着陆区。或者，如果您在加拿大西部（卡尔加里）使用外部身份提供商，则可以选择自行管理您的账户访问配置。

加拿大西部（卡尔加里）地区的 Service Catalog 不可用对由 AWS Control Tower 支持的其他区域没有影响。仅当您的家乡地区为加拿大西部（卡尔加里）时，这些差异才适用。

有关提供 AWS Control Tower 的区域的完整列表，请参阅AWS 区域表。

AWS Control Tower 支持自助服务配额调整

2024年4月25日

（AWS Control Tower 着陆区无需更新。）

AWS Control Tower 现在支持通过服务配额控制台进行自助配额调整。有关更多信息，请参阅 请求提高限额。

AWS Control Tower 发布了控制参考指南

2024年4月21日

（AWS Control Tower 着陆区无需更新。）

AWS Control Tower 发布了《控制参考指南》，这是一份新文档，您可以在其中找到有关特定于 AWS Control Tower 环境的控件的详细信息。此前，该材料已包含在 AWS Control Tower 用户指南中。《控件参考指南》涵盖了扩展格式的控件。有关更多信息，请参阅 AWS Control Tower 控件参考指南。

AWS Control Tower 更新并重命名了两个主动控件

2024年3月26日

（AWS Control Tower 着陆区无需更新。）

AWS Control Tower 重命名了两个主动控制措施，以适应亚马逊 OpenSearch 服务的更新。

• [CT.OPENSEARCH.PR.8] 需要一个 Elasticsearch 服务域才能使用 TLSv1.2

• [CT.OPENSEARCH.PR.16 ] 需要亚马逊 OpenSearch服务域才能使用 TLSv1.2

我们更新了这两个控件的控件名称和构件，以与 Amazon S OpenSearch ervice 的最新版本保持一致。Amazon Service 现在支持传输层安全 (TLS) 1.3 版作为域终端节点安全的传输安全选项。

为了增加对这些控件的 TLSv1.3 的支持，我们更新了控件的构件和名称以反映控件的意图。他们现在评估服务域的最低 TLS 版本。要在您的环境中进行此更新，必须禁用并启用控件以部署最新的构件。

此变更不会影响其他主动控制措施。我们建议您查看这些控制措施，以确保它们符合您的控制目标。

如有疑问或疑虑，请联系 Supp AWS ort。

已弃用的控件不再可用

2024年3月12日

（AWS Control Tower 着陆区无需更新。）

AWS Control Tower 已弃用某些控件。这些控件不再可用。

• CT.ATHENA.PR.1

• CT.CODEBUILD.PR.4

• CT.AUTOSCALING.PR.3

• SH.Athena.1

• SH.Codebuild.5

• SH.AutoScaling.4

• SH.SNS.1

• SH.SNS.2

AWS Control Tower 支持在以下位置标记EnabledControl资源 AWS CloudFormation

2024年2月22日

（AWS Control Tower 着陆区无需更新。）

此 AWS Control Tower 版本更新了EnabledControl资源的行为，以更好地与可配置控件保持一致，并提高了通过自动化管理您的 AWS Control Tower 环境的能力。在此版本中，您可以通过 AWS CloudFormation 模板向可配置EnabledControl资源添加标签。以前，您只能通过 AWS Control Tower 控制台和 API 添加标签。

AWS Control Tower GetEnabledControl 和 ListTagsforResource API 操作在此版本中进行了更新，因为它们依赖于EnabledControl资源功能。EnableControl

有关更多信息，请参阅 AWS Control Tower 中的标记EnabledControl资源和AWS CloudFormation 用户指南EnabledControl中的内容。

AWS Control Tower 支持用于 OU 注册和使用基准进行配置的 API

2024年2月14日

（AWS Control Tower 着陆区无需更新。）

这些 API 支持通过EnableBaseline调用进行编程 OU 注册。当您在组织单位上启用基准时，组织单位内的成员账户将注册到 AWS Control Tower 管理中。某些注意事项可能适用。例如，通过 AWS Control Tower 控制台注册 OU 可以启用可选控件和强制控件。调用 API 时，您可能需要完成一个额外的步骤才能启用可选控件。

AWS Control Tower 基准体现了 AWS Control Tower 管理组织单位和成员账户的最佳实践。例如，当您在 OU 上启用基准时，OU 内的成员账户会收到一组已定义的资源，包括、 AWS CloudTrail AWS Config、IAM Identity Center 和所需 AWS 的 IAM 角色。

特定的基准与特定的 AWS Control Tower 着陆区版本兼容。当您更改着陆区设置时，AWS Control Tower 可以将最新的兼容基准应用于您的着陆区。有关更多信息，请参阅 OU 基准和 landing zone 版本的兼容性。

此版本包括四个基本内容 基线的类型

• AWSControlTowerBaseline

• AuditBaseline

• LogArchiveBaseline

• IdentityCenterBaseline

借助新的 API 和定义的基准，您可以注册 OU 并自动执行 OU 配置工作流程。这些 API 还可以管理已受 AWS Control Tower 管理的 OU，因此您可以在着陆区更新后重新注册 OU。这些 API 包括对 AWS CloudFormation EnabledBaseline资源的支持，允许您使用基础设施即代码 (IaC) 管理组织单元。

基准 API

• EnableBaseline, UpdateEnabledBaseline, DisableBaseline: 对 OU 的基线采取行动。

• GetEnabledBaseline，ListEnabledBaselines: 发现已启用的基准的配置。

• GetBaselineOperation：查看特定基线操作的状态。

• ResetEnabledBaseline：使用已启用的基准修复 OU 上的资源偏移（包括嵌套的 OU 和强制控制偏差）。还修复了 landing-zone-level 区域拒绝控制的偏差

• GetBaseline，ListBaselines: 发现 AWS Control Tower 基准的内容。

要了解有关这些 API 的更多信息，请查看 AWS Control Tower 用户指南中的基准和 API 参考。除 GovCloud （美国）地区外，新 API 可在可用 AWS Control Tower AWS 区域 的地方使用。有关 AWS Con AWS 区域 trol Tower 可用区域的列表，请参阅 AWS 区域 表。