二零二二二年一月至 - AWS Control Tower
並行帳戶作業客 Account Factory 定制全面的控制有助於 AWS 資源佈建和管理可檢視所有 AWS Config 規則的符合性狀態控制項和新資 AWS CloudFormation 源的 APICFCT 支持堆棧集刪除自訂記錄保留提供角色漂移修復AWS Control Tower landing zone 3.0 版「組織」頁面結合了 OU 和帳戶的檢視更輕鬆地註冊和更新個別會員帳戶AFT 支援共用 AWS Control Tower 帳戶的自動化自訂所有選擇性控制項的並行作業現有的安全性和記錄帳戶AWS Control Tower landing zone 2.9 版AWS Control Tower landing zone 2.8 版

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

二零二二二年一月至

在 2022 年,AWS Control Tower 發布了以下更新:

並行帳戶作業

2022年12月16日

AWS Control Tower landing zone 無需更新。)

AWS Control Tower 現在支援帳戶工廠中同時執行動作。您一次最多可以建立、更新或註冊五 (5) 個帳戶。最多可連續提交五個動作,並檢視每個請求的完成狀態,同時您的帳戶會在背景完成建置。例如,您不再需要等待每個程序完成後才能更新其他帳戶,或重新註冊整個組織單位 (OU) 之前。

客 Account Factory 定制

2022年11月28日

AWS Control Tower landing zone 無需更新。)

帳戶工廠自訂可讓您在 AWS Control Tower 主控台內自訂新帳戶和現有帳戶。這些新的自訂功能可讓您彈性定義帳戶藍圖,這些藍圖是包含在專門 Service Catalog 產品中的 AWS CloudFormation 範本。藍圖佈建完全自訂的資源和組態。您也可以選擇使用由 AWS 合作夥伴建置和管理的預先定義藍圖,以協助您針對特定使用案例自訂帳戶。

過去,AWS Control Tower 帳戶工廠不支援主控台中的帳戶自訂。透過此帳戶工廠更新,您可以預先定義帳戶需求,並將其作為定義明確的工作流程的一部分來實作。您可以套用藍圖來建立新帳戶、將其他 AWS 帳戶註冊到 AWS Control Tower,以及更新現有的 AWS Control Tower 帳戶。

在帳戶 Factory 中佈建、註冊或更新帳戶時,您將選取要部署的藍圖。藍圖中指定的那些資源會佈建在您的帳戶中。當您的帳戶完成構建後,所有自定義配置都可以立即使用。

若要開始自訂帳戶,您可以在 Service Catalog 產品中針對預定使用案例定義資源。您也可以從 AWS 入門程式庫中選取合作夥伴管理的解決方案。如需詳細資訊,請參閱 使用 Account Factory 定制(AFC)自定義帳戶

全面的控制有助於 AWS 資源佈建和管理

2022年11月28日

AWS Control Tower landing zone 無需更新。)

AWS Control Tower 現在支援全面的控制管理,包括透過 AWS CloudFormation 掛接實作的新選用主動式控制。這些控制項稱為主動式控制項,因為它們會在資源部署之前先檢查您的資源,以判斷新資源是否符合在您環境中啟動的控制項。

超過 130 種全新的主動式控制可協助您達成 AWS Control Tower 環境的特定政策目標;符合業界標準合規架構的要求,以及管理 AWS Control Tower 在其他二十多個 AWS 服務之間的互動。

AWS Control Tower 控制程式庫會根據相關的 AWS 服務和資源對這些控制進行分類。如需詳細資訊,請參閱主動式控制

在此版本中,AWS Control Tower 也透過新的 AWS Security Hub Security Hub 服務管理標準:AWS Control Tower 整合,該標準支援 AWS 基礎安全最佳實務 (FSBP) 標準。您可以在主控台中檢視超過 160 個安全中心控制以及 AWS Control 塔控制項,也可以取得 AWS Control Tower 環境的安全中 Security Hub 安全分數。如需詳細資訊,請參閱 Security Hub 控制項

可檢視所有 AWS Config 規則的符合性狀態

2022年11月18日

AWS Control Tower landing zone 無需更新。)

AWS Control Tower 現在會顯示部署到 AWS Control Tower 註冊組織單位的所有 AWS Config 規則的合規狀態。您可以在 AWS Control Tower (已註冊或未註冊) 中檢視影響帳戶的所有 AWS Config 規則的合規狀態,而無需在 AWS Control Tower 主控台之外瀏覽。客戶可以選擇在 AWS Control Tower 中設定 Config 規則 (稱為偵探控制),或直接透過 AWS Config 服務進行設定。部署的規則 AWS Config 會顯示,以及 AWS Control Tower 部署的規則。

之前,透過 AWS Config 服務部署的 AWS Config 規則在 AWS Control 塔主控台中看不到。客戶必須瀏覽至 AWS Config 服務,才能識別不合 AWS Config 規的規則。現在,您可以在 AWS Control 塔主控台中識別任何不合 AWS Config 規的規則。若要檢視所有 Config 規則的合規狀態,請導覽至 AWS Control 塔主控台中的帳戶詳細資訊頁面。您會看到一份清單,顯示 AWS Control Tower 管理的控制的合規狀態,以及在 AWS Control Tower 外部部署的 Config 規則。

控制項和新資 AWS CloudFormation 源的 API

2022年9月1日

AWS Control Tower landing zone 無需更新。)

AWS Control Tower 現在支援透過一組 API 呼叫對控制進行程式設計管理 (也稱為護欄)。新 AWS CloudFormation 資源支援控制項的 API 功能。如需詳細資訊,請參閱 AWS Control Tower 中的自動化任務 建立 AWS Control Tower 資源 AWS CloudFormation

這些 API 可讓您在 AWS Control Tower 程式庫中啟用、停用和檢視控制的應用程式狀態。這些 API 包括支援 AWS CloudFormation,因此您可以將 AWS 資源管理為 infrastructure-as-code (IaC)。AWS Control Tower 提供選用的預防性和偵測控制,可表達您對整個組織單位 (OU) 以及 OU 內每個 AWS 帳戶的政策意向。當您建立新帳戶或變更現有帳戶時,這些規則仍然有效。

此發行版本中包含的 API

  • EnableControl— 此 API 呼叫會啟動控制項。它會啟動非同步作業,在指定的組織單位及其包含的帳號上建立 AWS 資源。

  • DisableControl— 此 API 呼叫會關閉控制項。它會啟動非同步作業,刪除指定組織單位上的 AWS 資源及其包含的帳號。

  • GetControlOperation— 傳回特定EnableControlDisableControl作業的狀態。

  • ListEnabledControls— 列出 AWS Control Tower 在指定組織單位上啟用的控制項及其包含的帳戶。

若要檢視選用控制項的控制名稱清單,請參閱 AWS Control 塔使用者指南中的 API 和控制項的資源識別碼

CFCT 支持堆棧集刪除

2022年8月26日

AWS Control Tower landing zone 無需更新。)

AWS Control Tower (CFCT) 的自訂現在可透過在manifest.yaml檔案中設定參數,支援刪除堆疊集。如需詳細資訊,請參閱 刪除堆疊集

重要

當您初始enable_stack_set_deletion將的值設定為時true,下次呼叫 CFCT 時,會暫存以前置詞開頭的所有資源CustomControlTower-,這些資源具有相關聯的索引鍵標記Key:AWS_Solutions, Value: CustomControlTowerStackSet,且未在資訊清單檔案中宣告,以供刪除。

自訂記錄保留

2022年8月15日

AWS Control Tower landing zone 需要更新。 若要取得資訊,請參閱更新您的登陸區域)

AWS Control Tower 現在可為存放 AWS Control Tower CloudTrail 日誌的 Amazon S3 儲存貯體自訂保留政策。您可以自訂 Amazon S3 日誌保留政策,以天數或年為增量,最長可達 15 年。

如果您選擇不自訂記錄保留,則預設設定為標準帳戶記錄 1 年,存取記錄的預設設定為 10 年。

當您更新或修復您的 landing zone 時,現有客戶可透過 AWS Control Tower 使用此功能,以及透過 AWS Control Tower 設定程序的新客戶使用。

提供角色漂移修復

2022年8月11日

AWS Control Tower landing zone 無需更新。)

AWS Control Tower 現在支援角色漂移的修復。您可以恢復必要的角色,而無需完整修復您的 landing zone。如果需要此類漂移修復,主控台錯誤頁面會提供還原角色的步驟,以便再次使用您的 landing zone。

AWS Control Tower landing zone 3.0 版

2022年7月29日

AWS Control Tower landing zone 需要更新至 3.0 版。 若要取得資訊,請參閱更新您的登陸區域)

AWS Control Tower landing zone 3.0 版包含下列更新:

  • 可選擇組織層級 AWS CloudTrail 追蹤,或選擇退出由 AWS Control Tower 管理的 CloudTrail 追蹤。

  • 兩個新的偵探控制項可判斷 AWS CloudTrail 是否在您的帳戶中記錄活動。

  • 此選項僅能彙總您所在地區的全域資源相關資 AWS Config 訊。

  • 區域拒絕控制的更新。

  • 受管理策略的更新AWSControlTowerServiceRolePolicy

  • 我們不再aws-controltower/CloudTrailLogs在每個註冊帳戶中建立 IAM 角色aws-controltower-CloudWatchLogsRole和 CloudWatch 日誌群組。之前,我們在每個帳戶中為其帳戶跟踪創建了這些內容。透過組織追蹤,我們只會在管理帳戶中建立一個。

以下各節提供有關每個新功能的詳細資訊。

AWS Control Tower 中的組織層級 CloudTrail 追蹤

使用 3.0 版的 landing zone,AWS Control Tower 現在支援組織層級 AWS CloudTrail 追蹤。

將 AWS Control Tower landing zone 更新為 3.0 版時,您可以選擇選擇組織層級 AWS CloudTrail 追蹤作為記錄偏好設定,或選擇退出由 AWS Control Tower 管理的 CloudTrail 追蹤。當您更新至 3.0 版時,AWS Control Tower 會在 24 小時等待期後刪除已註冊帳戶的現有帳戶層級追蹤。AWS Control Tower 不會刪除未註冊帳戶的帳戶層級追蹤。在不太可能的情況下,您的 landing zone 域更新無法成功,但是在 AWS Control Tower 已建立組織層級追蹤後發生失敗,您可能會對組織層級和帳戶層級追蹤產生重複費用,直到您的更新作業能夠順利完成為止。

從 landing zone 3.0 開始,AWS Control Tower 不再支援管理的帳戶層級追蹤。 AWS 相反地,AWS Control Tower 會根據您的選擇建立組織層級的追蹤,該追蹤為作用中或非作用中狀態。

注意

更新至 3.0 版或更新版本後,您無法選擇繼續使用 AWS Control Tower 管理的帳戶層級 CloudTrail 追蹤。

彙總帳戶日誌中不會遺失任何記錄資料,因為日誌會保留在存放日誌的現有 Amazon S3 儲存貯體中。只會刪除追蹤,而不會刪除現有的記錄。如果您選取新增組織層級追蹤的選項,AWS Control Tower 會在 Amazon S3 儲存貯體中開啟新資料夾的新路徑,並繼續將記錄資訊傳送到該位置。如果您選擇退出由 AWS Control Tower 管理的追蹤,您現有的記錄會保留在值區中,不變。

記錄檔儲存的路徑命名慣例

  • 帳戶追蹤記錄會以下列格式的路徑儲存:/org id/AWSLogs/…

  • 組織追蹤記錄會以下列格式的路徑儲存:/org id/AWSLogs/org id/…

AWS Control Tower 為組織層級 CloudTrail 追蹤建立的路徑與手動建立的組織層級追蹤的預設路徑不同,其格式如下:

  • /AWSLogs/org id/…

如需 CloudTrail 路徑命名的詳細資訊,請參閱尋找 CloudTrail 記錄檔

提示

如果您打算建立和管理自己的帳戶層級追蹤,建議您在完成 AWS Control Tower landing zone 3.0 版本的更新之前建立新追蹤,以立即開始記錄。

您可以隨時選擇建立新的帳戶層級或組織層級 CloudTrail追蹤,並自行管理。在任何 landing zone 更新至 3.0 版或更新版本期間,都可以選擇由 AWS Control Tower 管理的組織層級 CloudTrail追蹤選項。每當您更新 landing zone 域時,您都可以選擇加和選擇退出組織層級的追蹤。

如果您的記錄檔是由協力廠商服務管理,請務必提供服務的新路徑名稱。

注意

對於 3.0 版或更新版本的登陸區域,AWS Control Tower 不支援帳戶層級 AWS CloudTrail 追蹤。您可以隨時建立和維護自己的帳戶層級追蹤,也可以選擇加入 AWS Control Tower 管理的組織層級追蹤。

僅在本地區記錄 AWS Config 資源

在 3.0 版的 landing zone 域中,AWS Control Tower 已更新的基準組態, AWS Config 以便僅在本地區域記錄全球資源。在您更新至 3.0 版之後,全域資源的資源記錄只會在您的本地區域中啟用。

此組態被視為最佳作法。建議使用 AWS Security Hub 和 AWS Config,它會減少建立、修改或刪除全域資源時所建立的組態項目數,藉此節省成本。以前,每次建立、更新或刪除全域資源 (無論是由客戶或 AWS 服務) 時,都會為每個受控區域中的每個項目建立組態項目。

兩個用於 AWS CloudTrail 記錄的新偵探控件

作為組織層級 AWS CloudTrail 追蹤變更的一部分,AWS Control Tower 推出兩個新的偵探控制項,以檢查 CloudTrail 是否已啟用。第一個控制項具有強制性指引,並且在 3.0 及更新版本的安裝或 landing zone 更新期間,會在安全性 OU 上啟用。第二個控制項具有強烈建議的指導方針,並選擇性地套用至安全性 OU 以外的任何 OU,此 OU 已強制執行強制控制保護。

強制控制:偵測安全性組織單位下的共用帳戶是否已啟用 AWS CloudTrail 或啟用 CloudTrail Lake

強烈建議控制項:偵測帳戶是否已啟用 AWS CloudTrail 或啟用 CloudTrail Lake

如需有關新控制的詳細資訊,請參閱 AWS Control Tower 控制程式庫

區域拒絕控制的更新

我們更新了「地區拒絕控制」中的NotAction清單,以包含一些其他服務的動作,列出如下:


            “chatbot:*”,
            "s3:GetAccountPublic",
            "s3:DeleteMultiRegionAccessPoint", 
            "s3:DescribeMultiRegionAccessPointOperation", 
            "s3:GetMultiRegionAccessPoint", 
            "s3:GetMultiRegionAccessPointPolicy", 
            "s3:GetMultiRegionAccessPointPolicyStatus",
            "s3:ListMultiRegionAccessPoints",
            "s3:GetStorageLensConfiguration", 
            “s3:GetStorageLensDashboard", 
            “s3:ListStorageLensConfigurations”
            “s3:GetAccountPublicAccessBlock“,,
            “s3:PutAccountPublic", 
            “s3:PutAccountPublicAccessBlock“,

影片演練

本影片 (3:07) 說明如何將現有的 AWS Control Tower landing zone 更新為第 3 版。若要獲得更佳的觀賞效果,請選取影片右下角的圖示,將影片放大至全螢幕。並提供字幕。

「組織」頁面結合了 OU 和帳戶的檢視

2022年7月18日

(AWS Control Tower landing zone 無需更新)

AWS Control Tower 中的新組織頁面會顯示所有組織單位 (OU) 和帳戶的階層檢視。它結合了先前存在的 OU帳戶頁面中的資訊。

在新頁面上,您可以看到父 OU 與其巢狀 OU 與帳戶之間的關係。您可以對資源群組採取動作。您可以設定頁面檢視。例如,您可以展開或收合階層式檢視、篩選檢視以查看帳戶或僅 OU、選擇僅檢視已註冊的帳戶和已註冊的 OU,或者您可以檢視相關資源群組。這是更容易確保您的整個組織正確更新。

更輕鬆地註冊和更新個別會員帳戶

2022年5月31日

(AWS Control Tower landing zone 無需更新)

AWS Control Tower 現在提供您個別更新和註冊成員帳戶的改良功能。每個帳戶都會顯示何時可用更新,因此您可以更輕鬆地確保您的成員帳戶包含最新的設定。您可以透過幾個簡化的步驟,更新您的 landing zone、修復帳戶偏移,或將帳戶註冊到已註冊的 OU。

當您更新帳戶時,不需要在每個更新動作中包含帳戶的整個組織單位 (OU)。因此,更新個人帳戶所需的時間大大縮短。

您可以透過 AWS Control Tower 主控台提供的更多協助,將帳戶註冊到 AWS Control Tower OU。您在 AWS Control Tower 註冊的現有帳戶仍然必須符合帳戶先決條件,而且您必須新增AWSControlTowerExecution角色。然後,您可以選擇任何已註冊的 OU,並透過選取 [註冊] 按鈕將帳戶註到其中。

我們已將「註冊帳戶」功能與「在帳戶工廠中建立帳戶」工作流程分開,以便在這些類似程序之間建立更多區別,並協助避免在輸入帳戶資訊時發生設定錯誤。

AFT 支援共用 AWS Control Tower 帳戶的自動化自訂

2022年5月27日

(AWS Control Tower landing zone 無需更新)

Terraform Account Factory (AFT) 現在可以透過程式設計方式自訂和更新由 AWS Control Tower 管理的任何帳戶,包括管理帳戶、稽核帳戶和記錄存檔帳戶,以及您註冊的帳戶。您可以集中管理帳戶自訂和更新管理,同時保護帳戶設定的安全性,因為您可以限定執行工作的角色範圍。

現有AWSAFTExecution角色現在會在所有帳戶中部署自訂項目。您可以使用界限設定 IAM 許可,以根據您的業務和安全需求限制AWSAFTExecution角色的存取權限。您也可以透過程式設計方式將該角色中核准的自訂權限委派給信任的使用者。最佳作法是,建議您將權限限制為部署所需自訂所需的權限。

AFT 現在會建立新AWSAFTService角色,在所有受管理帳戶 (包括共用帳戶和管理帳戶) 中部署 AFT 資源。資源先前是由AWSAFTExecution角色部署的。

AWS Control Tower 共用和管理帳戶不是透過帳戶工廠佈建,因此中沒有對應的佈建產品 AWS Service Catalog。因此,您無法更新 Service Catalog 中的共用和管理帳戶。

所有選擇性控制項的並行作業

2022年5月18日

(AWS Control Tower landing zone 無需更新)

AWS Control Tower 現在支援預防性控制和偵探控制的同時操作。

有了這項新功能,現在可以同時套用或移除任何選用的控制項,進而改善所有選用控制項的易用性和效能。您可以啟用多個選擇性控制項,而無需等待個別控制項作業完成。唯一受到限制的時間是 AWS Control Tower 正在設定 landing zone,或將管理擴展到新組織。

支援的預防性控制功能:

  • 在相同 OU 上套用及移除不同的預防性控制。

  • 同時在不同 OU 上套用並移除不同的預防性控制。

  • 同時在多個 OU 上套用並移除相同的預防控制。

  • 您可以同時套用並移除任何預防性和偵探控制項。

您可以在所有發行版本的 AWS Control Tower 中體驗這些控制並行改進功能。

當您對巢狀 OU 套用預防控制時,預防性控制會影響目標 OU 下巢狀的所有帳戶和 OU,即使這些帳戶和 OU 未向 AWS Control Tower 註冊也一樣。預防性控制是使用服務控制策略(SCP)來實現的,這些策略屬於的一部 AWS Organizations分。Detective 控制項是使用 AWS Config 規則來實作。當您建立新帳戶或變更現有帳戶時,Guardrails 仍然有效,而 AWS Control Tower 會提供每個帳戶如何符合您已啟用政策的摘要報告。如需可用控制項的完整清單,請參閱 AWS Control Tower 控制程式庫

現有的安全性和記錄帳戶

2022年5月16日

(在初始設置期間可用。)

AWS Control Tower 現在可讓您在初始 landing zone 設定程序期間,將現有 AWS 帳戶指定為 AWS Control Tower 安全或記錄帳戶的選項。此選項無需 AWS Control Tower 建立新的共用帳戶。安全性帳戶 (依預設稱為稽核帳戶) 是受限制的帳戶,可讓您的安全性和規範遵循團隊存取您 landing zone 中所有帳戶的權限。記錄帳戶 (依預設稱為記錄封存帳戶) 可當做儲存庫使用。它會儲存您 landing zone 中所有帳號的 API 活動和資源設定記錄。

透過使用現有的安全和記錄帳戶,可以更輕鬆地將 AWS Control Tower 管理擴展到現有組織,或從替代的 landing zone 移至 AWS Control Tower。在初始 landing zone 域設置期間,會顯示您使用既有帳戶的選項。它包括安裝程序期間的檢查,以確保部署成功。AWS Control Tower 在您現有的帳戶上實作必要的角色和控制。它不會移除或合併這些帳戶中存在的任何現有資源或資料。

限制:如果您計劃將現有 AWS 帳戶帶入 AWS Control Tower 作為稽核和日誌存檔帳戶,而且這些帳戶具有現有 AWS Config 資源,則必須先刪除現有 AWS Config 資源,然後才能將帳戶註冊到 AWS Control Tower。

AWS Control Tower landing zone 2.9 版

2022年4月22日

AWS Control Tower landing zone 需要更新至 2.9 版。 若要取得資訊,請參閱更新您的登陸區域)

AWS Control Tower landing zone 2.9 版更新了通知轉發器 Lambda,以使用 Python 版本 3.9 執行階段。此更新解決了計劃於 2022 年 7 月進行的 Python 3.6 版本的棄用問題。有關最新信息,請參閱 Python 棄用頁面

AWS Control Tower landing zone 2.8 版

2022年2月10日

AWS Control Tower landing zone 需要更新至 2.8 版。 若要取得資訊,請參閱更新您的登陸區域)

AWS Control Tower landing zone 2.8 版新增了與AWS 基礎安全最佳實務的最新更新保持一致的功能。

在此版本中:

  • 針對日誌封存帳戶中的存取日誌儲存貯體設定存取記錄,以追蹤現有 S3 存取日誌儲存貯體的存取。

  • 已新增 Support 生命週期原則的支援。現有 S3 存取日誌儲存貯體的存取日誌設定為預設保留時間為 10 年。

  • 此外,此版本更新 AWS Control Tower 以使用所有受管帳戶 (不包括管理帳戶) 中提供的 AWS 服務連結角色 (SLR),以便您可以設定和管理 Config 規則以符合 AWS Config 最佳實務。 AWS Config未升級的客戶將繼續使用其現有角色。

  • 此版本簡化了加密 AWS Config 資料的 AWS Control Tower KMS 組態程序,並改善中的相關狀態訊息。 CloudTrail

  • 此版本包含區域拒絕控制項的更新,以允許中的route53-application-recovery功能us-west-2

  • 更新:2022 年 2 月 15 日,我們移除了 AWS Lambda 函數的無效字母佇列。

其他詳細資訊:

  • 如果您解除 landing zone 的委任,AWS Control Tower 不會移除 AWS Config 服務連結角色。

  • 如果您取消佈建 Account Factory 帳戶,AWS Control Tower 不會移除 AWS Config 服務連結角色。

若要將 landing zone 域更新為 2.8,請瀏覽至「登陸區域設定」頁面,選取 2.8 版本,然後選擇「更新」。更新 landing zone 域之後,您必須更新受 AWS Control Tower 管理的所有帳戶,如中所述AWS Control Tower 中的組態更新管理