2020 年 1 月至 12 月

2020 年，Cont AWS rol Tower 发布了以下更新：

• AWSControl Tower 控制台现在链接到外部 AWS 配置规则

• AWSControl Tower 现已在其他地区推出

• 护栏更新

• AWSControl Tower 控制台显示有关OUs和账户的更多详细信息

• 使用 Cont AWS rol Tower 在中设置新的多账户 AWS 环境 AWS Organizations

• Cont AWS rol Tower 解决方案的自定义

• Cont AWS rol Tower 版本 2.3 正式上市

• 在 Contro AWS l Tower 中进行单步账户配置

• AWSControl Tower 退役工具

• AWSControl Tower 生命周期事件通知

AWSControl Tower 控制台现在链接到外部 AWS 配置规则

2020年12月29日

（需要将 Cont AWS rol Tower 着陆区更新到 2.6 版。 有关信息，请参阅更新你的着陆区）

AWSControl Tower 现在包括一个组织级别的聚合器，它可以帮助检测外部配置 AWS 规则。这使您可以在 Cont AWS rol Tower 控制台中查看除了 Control Tower 创建的 AWS 配置规则之外是否存在外部创建的 AWS AWS配置规则。聚合器允许 Cont AWS rol Tower 检测外部规则并提供指向 AWS Config 控制台的链接，而无需AWS控制塔获得对非托管帐户的访问权限。

借助此功能，您现在可以统一查看应用于您账户的侦探控制措施，因此您可以跟踪合规性并确定是否需要对账户进行其他控制。有关信息，请参阅 Cont AWSrol Tower 如何聚合非托管账户OUs和账户中的 AWS Config 规则。

AWSControl Tower 现已在其他地区推出

2020年11月18日

（需要将 Cont AWS rol Tower 着陆区更新到 2.5 版。 有关信息，请参阅更新你的着陆区）

AWSControl Tower 现已在另外 5 个 AWS 区域上线：

• 亚太地区（新加坡）区域

• 欧洲地区（法兰克福）区域

• 欧洲地区（伦敦）区域

• 欧洲地区（斯德哥尔摩）区域

• 加拿大（中部）区域

添加这 5 个 AWS 区域是 Cont AWS rol Tower 2.5 版本中引入的唯一更改。

AWSControl Tower 还可在美国东部（弗吉尼亚北部）区域、美国东部（俄亥俄州）区域、美国西部（俄勒冈）区域、欧洲（爱尔兰）区域和亚太地区（悉尼）区域使用。此次发布后，Cont AWS rol Tower 现已在 10 个 AWS 地区上市。

此 landing zone 更新包括列出的所有区域，无法撤消。将着陆区域更新到版本 2.5 后，您必须手动更新所有注册的帐户，以便 Cont AWS rol Tower 在 10 个支持的 AWS 区域中进行管理。有关信息，请参阅配置您的 AWS Control Tower 区域。

护栏更新

2020年10月8日

（Cont AWS rol Tower 着陆区无需更新）

强制控制的更新版本已经发布AWS-GR_IAM_ROLE_CHANGE_PROHIBITED。

必须对控件进行此更改，因为自动注册到 Cont AWS rol Tower 的账户必须启用该AWSControlTowerExecution角色。该控件的先前版本禁止创建此角色。

有关更多信息，请参阅《AWS控制塔控件参考指南》 AWS CloudFormation中的 “不允许更改 Contro AWS l Tower 设置的 AWS IAM角色”。

AWSControl Tower 控制台显示有关OUs和账户的更多详细信息

2020年7月22日

（Cont AWS rol Tower 着陆区无需更新）

您可以查看未在 Cont AWS rol Tower 中注册的组织和帐户，以及已注册的组织和帐户。

在 Cont AWS rol Tower 控制台中，您可以查看有关您的 AWS 账户和组织单位的更多详细信息（OUs）。现在，无论组织单位或在 Cont AWS rol Tower 中的注册状态如何，“帐户” 页面都会列出您组织中的所有帐户。现在，您可以对所有表格进行搜索、排序和筛选。

使用 Cont AWS rol Tower 在中设置新的多账户 AWS 环境 AWS Organizations

2020年4月22日

（Cont AWS rol Tower 着陆区无需更新）

AWS Organizations 客户现在可以使用 Cont AWS rol Tower 通过利用以下新功能来管理新创建的组织单位 (OUs) 和帐户：

• 现有 AWS Organizations 客户现在可以在其现有管理账户中为新的组织单位 (OUs) 设置新的着陆区。您可以在 Cont AWS rol Tower OUs 中创建新帐户，也可以在OUs拥有AWS控制塔治理的账户中创建新帐户。

• AWS Organizations 客户可以使用账户注册流程或通过脚本来注册现有账户。

AWSControl Tower 提供使用其他服务的编排 AWS 服务。它专为拥有多个账户和团队的组织而设计，他们正在寻找最简单的方法来设置新的或现有的多账户 AWS 环境并进行大规模治理。对于由 Cont AWS rol Tower 管理的组织，云管理员知道组织中的帐户符合既定策略。建筑商之所以受益，是因为他们可以快速配置新 AWS 账户，而不必过分担心合规性。

有关设置着陆区的信息，请参阅规划你的 Cont AWS rol Tower 着陆区。你也可以访问 Cont AWS rol Tower 产品网页或 YouTube 访问观看这段关于 Cont AWSrol Tower 入门的视频 AWS Organizations。

除此更改外，Contro AWS l Tower 中的快速账户配置功能已重命名为 “注册账户”。现在，它允许注册现有 AWS 账户和创建新账户。有关更多信息，请参阅 注册现有账户。

Cont AWS rol Tower 解决方案的自定义

2020年3月17日

（Cont AWS rol Tower 着陆区无需更新）

AWSControl Tower 现在包含一个新的参考实现，可让您轻松地将自定义模板和策略应用于AWS控制塔着陆区。

通过 Cont AWS rol Tower 的自定义设置，您可以使用 AWS CloudFormation 模板将新资源部署到组织内的现有账户和新账户。除了 Control Tower SCPs 已提供的服务控制策略外，您还可以将自定义服务AWS控制策略 (SCPs) 应用于这些账户。Cont AWS rol Tower 管道的自定义设置与 Cont AWS rol Tower 生命周期事件和通知 (AWS Control Tower 中的生命周期事件) 集成，以确保资源部署与您的着陆区保持同步。

此 Cont AWS rol Tower 解决方案架构的部署文档可通过AWS 解决方案网页获得。

Cont AWS rol Tower 版本 2.3 正式上市

2020年3月5日

（Cont AWS rol Tower 着陆区需要更新。 有关信息，请参阅更新你的着陆区。）

AWS除美国东部（俄亥俄州）、美国东部（弗吉尼亚北部）、美国西部（俄勒冈）和欧洲（爱尔兰） AWS 地区外，Control Tower 现已在亚太地区（悉尼）推出。亚太地区（悉尼）区域的增加是 Cont AWS rol Tower 2.3 版本中引入的唯一变更。

如果您之前没有使用过 Cont AWS rol Tower，则可以立即在任何受支持的地区启动它。如果您已经在使用 Cont AWS rol Tower，并且想在账户中将其监管功能扩展到亚太地区（悉尼）地区，请前往 Cont AWS rol Tower 控制面板的 “设置” 页面。从那里，将你的 landing zone 更新到最新版本。然后，单独更新您的账户。

注意

更新您的 landing zone 不会自动更新您的账号。如果您有多个帐户，则所需的更新可能很耗时。因此，我们建议您避免将 Cont AWS rol Tower 着陆区扩展到不需要运行工作负载的区域。

有关在部署到新区域后侦探控件的预期行为的信息，请参阅配置您的 Cont AWS rol Tower 区域。

在 Contro AWS l Tower 中进行单步账户配置

2020年3月2日

（Cont AWS rol Tower 着陆区无需更新）

AWSControl Tower 现在支持通过 Contro AWS l Tower 控制台进行单步账户配置。此功能允许您从 Cont AWS rol Tower 控制台中配置新帐户。

要使用简化的表单，请导航到 Cont AWS rol Tower 控制台中的 Account F ac tory，然后选择快速配置帐户。AWSControl Tower 为已配置的账户和为该账户创建的单点登录（IAM身份中心）用户分配相同的电子邮件地址。如果您要求这两个电子邮件地址不同，则必须通过 Service Catalog 配置您的帐户。

使用 Service Catalog 和 Contro AWS l Tower 帐户工厂更新您通过快速帐户配置创建的帐户，就像更新任何其他帐户一样。

注意

2020 年 4 月，快速账户配置功能更名为 “注册账户”。2022 年 6 月，在 Cont AWS rol Tower 控制台中创建和更新账户的功能与注册 AWS 账户的功能分开。有关更多信息，请参阅 注册现有账户。

AWSControl Tower 退役工具

2020年2月28日

（Cont AWS rol Tower 着陆区无需更新）

AWSControl Tower 现在支持自动停用工具，可帮助您清理AWS控制塔分配的资源。如果您不再打算在企业中使用 Cont AWS rol Tower，或者需要对组织资源进行大量重新部署，则可能需要清理最初设置着陆区时创建的资源。

要使用基本上是自动化的流程来停用您的着陆区，请联系 AWS Support 以获取有关所需其他步骤的帮助。有关停用的更多信息，请参阅演练：停用 AWS Control Tower 着陆区。

AWSControl Tower 生命周期事件通知

2020年1月22日

（Cont AWS rol Tower 着陆区无需更新）

AWSControl Tower 宣布推出生命周期事件通知。生命周期事件标志着 Cont AWS rol Tower 操作的完成，该操作可以更改由 Control Tower 创建和管理的组织单位 (OUs)、帐户和AWS控件等资源的状态。生命周期事件被记录为 AWS CloudTrail 事件，并作为事件发送给 Amazon EventBridge 。

AWSControl Tower 会在使用该服务执行的以下操作完成后记录生命周期事件：创建或更新着陆区；创建或删除 OU；启用或禁用 OU；启用或禁用 OU 上的控件；使用账户工厂创建新账户或将账户转移到另一个 OU。

AWSControl Tower 使用多种 AWS 服务来构建和管理最佳实践多账户 AWS 环境。Cont AWS rol Tower 操作可能需要几分钟才能完成。您可以在 CloudTrail 日志中跟踪生命周期事件，以验证最初的 Cont AWS rol Tower 操作是否成功完成。您可以创建一条 EventBridge 规则，以便在 CloudTrail 记录生命周期事件时通知您，或者自动触发自动化工作流程的下一步。