二零二一年一月至十 - AWS Control Tower
區域拒絕功能資料駐留功能AWS Control Tower 介紹 Terraform 帳戶佈建和自訂有新的生命週期事件AWS Control Tower 啟用巢狀 OUDetective 控制並發提供兩個新區域區域取消選擇AWS Control Tower 可與 AWS 金鑰管理系統搭配使用控制項已重新命名,功能AWS Control Tower 每天掃描 SCP 以檢查是否有漂移OU 和帳戶的自訂名稱AWS Control Tower landing zone 2.7 版提供三個新 AWS 區域僅控制選取的區域AWS Control Tower 現在將管理擴展到 AWS 組織中的現有 OUAWS Control Tower 提供大量帳戶更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

二零二一年一月至十

AWS Control Tower 在 2021 年發布了以下更新:

區域拒絕功能

2021年11月30日

AWS Control Tower landing zone 無需更新。)

AWS Control Tower 現在提供區域拒絕功能,可協助您限制 AWS Control Tower 環境中已註冊帳戶的 AWS 服務和操作的存取。區域拒絕功能可補充 AWS Control Tower 中現有的區域選擇和區域取消選擇功能。這些功能可協助您解決合規性和法規問題,同時平衡擴展至其他區域的相關成本。

例如,德國的 AWS 客戶可以拒絕法蘭克福地區以外的區域存取 AWS 服務。您可以在 AWS Control Tower 設定程序期間或在登陸區域設定頁面中選取受限區域。當您更新 AWS Control Tower 登陸區域版本時,即可使用區域拒絕功能。特定 AWS 服務不受區域拒絕功能的限制。若要深入了解,請參閱設定區域拒絕控制

資料駐留功能

2021年11月30日

(AWS Control Tower landing zone 無需更新)

AWS Control Tower 現在提供專門建置的控制,協助確保您上傳到 AWS 服務的任何客戶資料僅位於您指定的 AWS 區域。您可以選擇存儲和處理客戶數據的地 AWS 區。如需提供 AWS Control Tower 的完整區 AWS 域清單,請參閱AWS 區域表

對於精細控制,您可以套用其他控制項,例如「不允許 Amazon 虛擬私人網路 (VPN) 連線」或「禁止 Amazon VPC 執行個體存取網際網路」。您可以在 AWS Control 塔主控台中檢視控制的合規狀態。如需可用控制項的完整清單,請參閱 AWS Control Tower 控制程式庫

AWS Control Tower 介紹 Terraform 帳戶佈建和自訂

2021年11月29 日

(AWS Control Tower landing zone 的選用更新)

您現在可以使用 Terraform 透過 AWS Control Tower Account Factory (AFT),透過 AWS Control Tower 帳戶工廠佈建和更新自訂帳戶。

AFT 提供單一 Terraform 基礎設施即程式碼 (IaC) 管道,可佈建由 AWS Control Tower 管理的帳戶。在您將帳戶提供給使用者之前,佈建期間的自訂有助於符合您的業務和安全性原則。

AFT 自動化帳戶創建管道會監控,直到帳戶佈建完成為止,然後繼續進行,從而觸發其他 Terraform 模塊,以通過任何必要的自定義來增強帳戶。作為自訂程序的其他部分,您可以將管線設定為安裝您自己的自訂 Terraform 模組,並且可以選擇新增任何 AFT 功能選項,這些選項由 AWS 一般自訂提供。

按照 AWS Control Tower 使用者指南中提供的步驟開始使用 Terraform 的 AWS Control Tower Account Factory部署適用於地形 (AFT) 的 AWS Control Tower Account Factory,並下載 Terraform 執行個體的 AFT。AFT 支持地形雲,地形企業和地形開源分發。

有新的生命週期事件

2021年11月18日

(AWS Control Tower landing zone 無需更新)

PrecheckOrganizationalUnit事件會記錄是否有任何資源封鎖延伸控管工作成功,包括巢狀 OU 中的資源。如需詳細資訊,請參閱 PrecheckOrganizationalUnit

AWS Control Tower 啟用巢狀 OU

2021年11月16 日

(AWS Control Tower landing zone 無需更新)

AWS Control Tower 現在可讓您將巢狀 OU 納入您的 landing zone 域中。

AWS Control Tower 提供巢狀組織單位 (OU) 的支援,可讓您將帳戶組織成多個階層層級,並以階層方式強制執行預防性控制。您可以註冊包含巢狀 OU 的 OU、在父 OU 下建立和註冊 OU,以及在任何已註冊 OU 上啟用控制項,無論深度為何。為了支援此功能,主控台會顯示受控帳戶和 OU 的數目。

使用巢狀 OU,您可以將 AWS Control Tower OU 與 AWS 多帳戶策略配合,並且可以在父 OU 層級強制執行控制,縮短在多個 OU 上啟用控制所需的時間。

關鍵考量

  1. 您可以一次向一個 OU 註冊現有的多 AWS Control Tower 級 OU,從頂層 OU 開始,然後向下移動樹狀結構。如需詳細資訊,請參閱 從平面 OU 結構展開為巢狀 OU 結構

  2. 直接在註冊 OU 下的帳戶會自動註冊。樹狀結構下方的帳戶可透過註冊其直屬父系 OU 來註冊。

  3. 預防性控制項 (SCP) 會自動向下繼承階層;套用至父項的 SCP 會由所有巢狀 OU 繼承。

  4. Detective 控制項 (AWS Config 規則) 不會自動繼承。

  5. 每個 OU 都會報告偵測控制的符合性。

  6. OU 上的 SCP 漂移會影響其下的所有帳戶和 OU。

  7. 您無法在安全性 OU (核心 OU) 底下建立新的巢狀 OU。

Detective 控制並發

2021年11月5 日

(AWS Control Tower landing zone 的選用更新)

AWS Control Tower 偵測控制現在支援偵測控制的同時作業,進而改善易用性和效能。您可以啟用多個偵測控制項,而無需等待個別控制項作業完成。

支援的功能:

  • 在相同 OU 上啟用不同的偵測控制 (例如,偵測根使用者的 MFA 是否已啟用,以及偵測是否允許對 Amazon S3 儲存貯體的公用寫入存取權)。

  • 同時在不同 OU 上啟用不同的偵測控制項。

  • Guardrail 錯誤訊息已改進,為支援的控制項並行作業提供額外的指引。

此版本不支援:

  • 不支援在多個 OU 上同時啟用相同的偵測控制。

  • 不支援預防性控制並行。

您可以在所有版本的 AWS Control Tower 中體驗偵探控制並行改進。建議您目前未使用 2.7 版的客戶執行 landing zone 域更新,以利用最新版本提供的其他功能,例如「區域選取」和「取消選取」。

提供兩個新區域

2021年7月29 日

(AWS Control Tower landing zone 需要更新)

AWS Control Tower 現在在另外兩個 AWS 區域提供:南美洲 (聖保羅) 和歐洲 (巴黎)。此更新將 AWS Control Tower 的可用性擴展到 15 個 AWS 區域。

如果您是 AWS Control Tower 的新手,可以立即在任何支援的區域啟動它。在啟動期間,您可以選取希望 AWS Control Tower 建立和管理多帳戶環境的區域。

如果您已經擁有 AWS Control Tower Town 環境,而且想要在一或多個支援的區域中擴充或移除 AWS Control Tower 管理功能,請前往 AWS Control Tower Town 儀表板中的「登陸區域設定」頁面,然後選取區域。更新您的 landing zone 之後,您必須更新受 AWS Control Tower 管理的所有帳戶

區域取消選擇

2021年7月29 日

(AWS Control Tower landing zone 的選用更新)

取消選擇 AWS Control Tower 區域可增強您管理 AWS Control Tower 資源地理佔用空間的能力。您可以取消選取不再希望 AWS Control Tower 管理的區域。此功能可讓您解決合規性和法規問題,同時在擴展至其他區域的相關成本之間取得平衡。

當您更新 AWS Control Tower 登陸區域版本時,即可使用區域取消選取。

當您使用 Account Factory 建立新帳戶或註冊預先存在的成員帳戶,或選取「延伸管理」在現有的組織單位中註冊帳戶時,AWS Control Tower 會在帳戶中選擇的區域中部署其管理功能 (包括集中式記錄、監控和控制)。選擇取消選取某個區域,然後從該區域移除 AWS Control Tower 管理會移除該控管功能,但不會妨礙使用者將 AWS 資源或工作負載部署到這些區域的能力。

AWS Control Tower 可與 AWS 金鑰管理系統搭配使用

2021年7月28日

(AWS Control Tower landing zone 的選用更新)

AWS Control Tower 提供您使用金 AWS 鑰管理服務 (AWS KMS) 金鑰的選項。您可以提供和管理金鑰,以保護 AWS Control Tower 部署的服務 AWS CloudTrail AWS Config,包括和相關的 Amazon S3 資料。 AWS KMS 加密是 AWS Control Tower 預設使用的 SSE-S3 加密增強的加密層級。

將 AWS KMS 支援整合到 AWS Control Tower 與AWS 基礎安全最佳實務保持一致,該實務會為您的敏感日誌檔建議額外一層的安全性。您應該使用 AWS KMS 受管金鑰 (SSE-KMS) 進行靜態加密。 AWS 當您設定新的登陸區域或更新現有 AWS Control Tower 登陸區域時,都可以使用 KMS 加密支援。

若要設定此功能,您可以在初始 landing zone 設定期間選取 KMS 金鑰組態。您可以選擇現有的 KMS 金鑰,也可以選取將您導向至 AWS KMS 主控台以建立新的 KMS 金鑰的按鈕。您也可以彈性地從預設加密變更為 SSE-KMS,或變更為不同的 SSE-KMS 金鑰。

對於現有的 AWS Control Tower landing zone,您可以執行更新以開始使用 AWS KMS 金鑰。

控制項已重新命名,功能

2021年7月26日

(AWS Control Tower landing zone 無需更新)

AWS Control Tower 正在修訂某些控制名稱和說明,以更好地反映控制項的政策意圖。修改後的名稱和說明可協助您更直覺地瞭解控制項體現帳戶政策的方式。例如,我們將偵測控制項的一部分名稱從「不允許」變更為「偵測」,因為偵測控制項本身不會停止特定動作,只會偵測原則違規,並透過儀表板提供警示。

控制功能、指導和實作保持不變。僅對控制項名稱和描述進行了修訂。

AWS Control Tower 每天掃描 SCP 以檢查是否有漂移

2021年5月11日

(AWS Control Tower landing zone 無需更新)

AWS Control Tower 現在會對受管 SCP 執行每日自動掃描,以確認對應的控制項是否正確套用,以及它們沒有漂移。如果掃描發現漂移,您將收到通知。AWS Control Tower 每個漂移問題只會傳送一個通知,因此,如果您的 landing zone 已處於漂移狀態,除非找到新的漂移項目,否則您將不會收到其他通知。

OU 和帳戶的自訂名稱

2021年4月16日

(AWS Control Tower landing zone 無需更新)

AWS Control Tower 現在可讓您自訂 landing zone 命名。您可以保留 AWS Control Tower 為組織單位 (OU) 和核心帳戶建議的名稱,也可以在初始 landing zone 設定程序期間修改這些名稱。

AWS Control Tower 為 OU 和核心帳戶提供的預設名稱與 AWS 多帳戶最佳實務指導相符。 不過,如果您的公司具有特定的命名原則,或者您已經擁有相同建議名稱的現有 OU 或帳戶,則新的 OU 和帳戶命名功能可讓您彈性解決這些限制。

與安裝期間的工作流程變更不同,先前稱為核心 OU 的 OU 現在稱為安全性 OU,而先前稱為自訂 OU 的 OU 現在稱為沙箱 OU。我們做了這項變更,是為了改善我們與命名整體 AWS 最佳實務指引的一致性。

新客戶會看到這些新的 OU 名稱。現有客戶將繼續看到這些 OU 的原始名稱。當我們將文件更新為新名稱時,您可能會在 OU 命名中遇到一些不一致的情況。

若要從 AWS 管理主控台開始使用 AWS Control Twer,請前往 AWS Control 塔主控台,然後選取右上角的 [設定 landing zone]。如需其他資訊,您可以閱讀有關規劃 AWS Control Tower landing zone 的相關資訊。

AWS Control Tower landing zone 2.7 版

二 ○ 二一年四月八日

AWS Control Tower landing zone 需要更新至 2.7 版。 若要取得資訊,請參閱更新您的登陸區域)

使用 AWS Control Tower 2.7 版,AWS Control Tower 引入了四個新的強制性預防性日誌存檔控制,這些控制項僅在 AWS Control Tower 資源上實作政策。我們已將四個現有日誌存檔控制的指導從強制性調整為選修,因為它們為 AWS Control Tower 以外的資源設定政策。這項控制變更和擴充可讓您將 AWS Control Tower 內資源的日誌存檔管理與 AWS Control 塔外部的資源管理分開。

這四個變更的控制項可與新的強制控制項搭配使用,為更廣泛的 AWS 記錄檔檔案集提供治理功能。現有的 AWS Control Tower 環境會自動啟用這四個變更的控制項,以保持環境一致性;不過,這些選擇性控制現在可以停用。新的 AWS Control Tower 環境必須啟用所有選擇性控制。現有環境必須先停用先前的強制控制,然後才能將加密新增至未由 AWS Control Tower 部署的 Amazon S3 儲存貯體。

新的強制性控制:

  • 不允許變更 AWS Control Tower 在日誌存檔中建立的 S3 儲存貯體的加密組態

  • 不允許變更 AWS Control Tower 在日誌存檔中建立 S3 儲存貯體的日誌組態

  • 不允許變更 AWS Control Tower 在日誌存檔中建立的 S3 儲存貯體的儲存貯體政策

  • 不允許變更 AWS Control Tower 在日誌存檔中建立的 S3 儲存貯體的生命週期組態

指引從強制性變更為選修科目:

  • 不允許變更所有 Amazon S3 儲存貯體的加密組態 [先前:針對日誌存檔啟用靜態加密]

  • 不允許變更所有 Amazon S3 儲存貯體的日誌組態 [先前:啟用日誌存檔的存取日誌記錄]

  • 不允許變更所有 Amazon S3 儲存貯體的儲存貯體政策 [先前:不允許對日誌存檔進行政策變更]

  • 不允許變更所有 Amazon S3 儲存貯體的生命週期組態 [先前:設定日誌存檔的保留政策]

AWS Control Tower 2.7 版包含對 AWS Control Tower landing zone 藍圖的變更,升級到 2.7 後可能會導致與舊版不相容。

  • 特別是,AWS Control Tower 2.7 版會在 AWS Control Tower 部署的 S3 儲存貯體上BlockPublicAccess自動啟用。如果您的工作負載需要跨帳戶的存取權,您可以關閉此預設值。如需BlockPublicaccess啟用後會發生什麼情況的詳細資訊,請參閱封鎖 Amazon S3 儲存的公開存取

  • AWS Control Tower 2.7 版包含 HTTPS 的要求。AWS Control Tower 部署到 S3 儲存貯體的所有請求都必須使用安全通訊端層 (SSL)。只允許 HTTPS 要求傳遞。如果您使用 HTTP (不含 SSL) 作為傳送要求的端點,則此變更會顯示拒絕存取錯誤,這可能會中斷您的工作流程。在 2.7 版更新到您的 landing zone 後,無法還原此變更。

    我們建議您將要求變更為使用 TLS 而非 HTTP。

提供三個新 AWS 區域

二 ○ 二一年四月八日

(AWS Control Tower landing zone 需要更新)

AWS Control Tower 在三個其他區 AWS 域提供:亞太區域 (東京) 區域、亞太區域 (首爾) 區域和亞太區域 (孟買) 區域。若要將管理擴展至這些區域,必須進行 2.7 版的登陸區域更新。

當您執行 2.7 版更新時,您的 landing zone 域不會自動展開到這些區域,您必須在「區域」(Region) 表格中檢視並選取這些區域才能包含。

僅控制選取的區域

2021年2月19日

(AWS Control Tower landing zone 無需更新)

AWS Control Tower 區域選擇可讓您更好地管理 AWS Control Tower 資源的地理佔用空間。若要擴充託管 AWS 資源或工作負載的區域數目 (基於合規性、法規、成本或其他原因),您現在可以選取要管理的其他區域。

您可以在設定新的登陸區域或更新 AWS Control Tower landing zone 域版本時使用 landing zone 域選擇。當您使用 Account Factory 建立新帳戶或註冊預先存在的成員帳戶,或是使用延伸管理在現有的組織單位中註冊帳戶時,AWS Control Tower 會在帳戶中選擇的區域中部署集中式記錄、監控和控制等控管功能。如需選取「區域」的更多資訊,請參閱設定您的 AWS Control Tower 區域

AWS Control Tower 現在將管理擴展到 AWS 組織中的現有 OU

2021年1月28日

(AWS Control Tower landing zone 無需更新)

從 AWS Control Tower 主控台將管理擴展到現有組織單位 (OU) (非 AWS Control Tower 中的組織單位)。使用此功能,您可以將頂層 OU 和內含帳戶納入 AWS Control Tower 管理。如需將控管擴充至整個 OU 的相關資訊,請參閱向 AWS Control Tower 註冊現有的組織單位

當您註冊 OU 時,AWS Control Tower 會執行一系列檢查,以確保在 OU 內成功擴展管理和註冊帳戶。如需 OU 初始註冊相關的常見問題的詳細資訊,請參閱註冊或重新註冊時失敗的常見原因

您也可以造訪 AWS Control Tower 產品網頁或瀏覽 YouTube 觀看此影片,了解 AWS Control Tower 入門的相關影片 AWS Organizations。

AWS Control Tower 提供大量帳戶更新

2021年1月28日

(AWS Control Tower landing zone 無需更新)

透過大量更新功能,您現在可以從 AWS Control Tower 儀表板更新已註冊 AWS Organizations 組織單位 (OU) 中的所有帳戶,其中包含多達 300 個帳戶,只要按一下即可。這在您更新 AWS Control Tower landing zone 時特別有用,並且還必須更新註冊的帳戶以使其與目前的 landing zone 版本保持一致。

此功能也可協助您在更新 AWS Control Tower 登陸區域以擴展到新區域時,或是當您想要重新註冊 OU 以確保該 OU 中的所有帳戶都套用最新控制時,讓帳戶保持在最新狀態。大量帳戶更新不需要一次更新一個帳戶,或使用外部指令碼在多個帳號上執行更新。

如需更新 landing zone 域的資訊,請參閱更新您的登陸區域

如需註冊或重新註冊 OU 的相關資訊,請參閱向 AWS Control Tower 註冊現有的組織單位