本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
二零二三年一月至十二月
在 2023 年,AWSControl Tower 發布了以下更新:
過渡到新 AWS Service Catalog 外部產品類型(第三階段)
2023年12月14日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 在建立新產品時不再支援 Terraform 開放原始碼作為產品類型 (藍圖) AWS 帳戶。 如需更新帳戶藍圖的詳細資訊和指示,請參閱轉換至 AWS Service Catalog 外部產品類型。
如果您未更新帳戶藍圖以使用外部產品類型,則只能更新或終止您使用 Terraform 開放原始碼藍圖佈建的帳戶。
AWSControl Tower landing zone 3.3 版
2023年12月14日
(AWSControl Tower landing zone 需要更新至 3.3 版本。 若要取得資訊,請參閱〈更新您的 landing zone〉。
AWSControl Tower 稽核帳戶中 S3 儲存貯體政策的更新
我們已修改AWS控制台在帳戶中部署的 Amazon S3 稽核儲存貯體政策,因此必須符合任何寫入許可的aws:SourceOrgID條件。在此版本中, AWS 只有當要求來自您的組織或組織單位 (OU) 時,服務才能存取您的資源。
您可以使用aws:SourceOrgID條件金鑰,並在 S3 儲存貯體政策的條件元素中將值設定為組織 ID。這種情況可確保 CloudTrail 只能代表組織內的帳戶將日誌寫入 S3 儲存貯體;它可防止組織外部的 CloudTrail 日誌寫入 AWS Control Tower S3 儲存貯體。
我們進行此變更是為了修復潛在的安全性弱點,而不會影響現有工作負載的功能。若要檢視更新的策略,請參閱稽核帳戶中的 Amazon S3 儲存貯體政策。
如需有關新條件金鑰的詳細資訊,請參閱IAM文件和標題為「使用可擴充控制項」的IAM部落格文章 AWS 服務訪問您的資源。」
政策的更新 AWS Config SNS話題
我們在政策中加入了新的aws:SourceOrgID條件金鑰 AWS Config SNS主題。若要檢視更新的原則,請參閱 AWS Config SNS主題策略。
landing zone 域「區域拒絕」控制的更新
-
已移除
discovery-marketplace:。這項行動受aws-marketplace:*豁免所涵蓋。 -
已新增
quicksight:DescribeAccountSubscription
已更新 AWS CloudFormation 範本
我們更新了 AWS CloudFormation 命名的堆棧的模板,BASELINE-CLOUDTRAIL-MASTER以便在何時不顯示漂移 AWS KMS 不使用加密。
過渡到新 AWS Service Catalog 外部產品類型(第二階段)
2023年12月7日
AWSControl Tower landing zone 無需更新。)
HashiCorp 更新了他們的地形版授權。其結果是, AWS Service Catalog 將對 Terraform 開放原始碼產品和佈建產品的支援變更為新的產品類型,稱為「外部」。
避免中斷現有工作負載和 AWS 在您的帳戶中的資源,請按照 AWS Control Tower 轉換到 AWS Service Catalog 外部產品類型於 2023 年 12 月 14 日之前。
AWSControl Tower 宣佈控制以協助數位主權
2023年11月27日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 宣佈 65 項新增 AWS-託管控件,以幫助您滿足您的數字主權要求。透過此版本,您可以在 AWS Control Tower 主控台的全新數位主權群組下探索這些控制項。您可以使用這些控制項來協助防止有關資料存放區、細微存取限制、加密和恢復能力的資源變更,並偵測資源變更。這些控制項的設計目的是讓您能夠更輕鬆地處理大規模需求。如需有關數位主權控制的詳細資訊,請參閱加強數位主權保護的控制項。
例如,您可以選擇啟用有助於強制執行加密和恢復策略的控制項,例如需要 AWS AppSync API緩存啟用傳輸中的加密或需要 AWS 跨多個可用區域部署的 Network Firewall 。您也可以自訂 Con AWS trol Tower 區域的拒絕控制,以套用最符合您獨特業務需求的區域限制。
此版本帶來了強化的 AWS Control Tower 區域拒絕功能。您可以在 OU 層級套用新的參數化 Region 拒絕控制,以提高治理的細微性,同時在 landing zone 層級維持其他區域治理。這個可自訂的區域拒絕控制可協助您套用最符合您獨特業務需求的區域限制。如需新的可設定區域拒絕控制項的相關資訊,請參閱套用至 OU 的區域拒絕控制。
作為新區域拒絕增強功能的新工具,此版本包含一個新的 APIUpdateEnabledControl,可讓您將啟用的控制項重設為預設設定。這對API於需要快速解決漂移問題或以程式設計方式保證控制項不處於漂移狀態的使用案例特別有用。如需有關新項目的詳細資訊API,請參閱《Con AWS trol Tower API 參考》
全新的主動控制
-
CT.APIGATEWAY.PR.6:要求 Amazon API 閘道REST網域使用指定最低TLS通訊協定版本 TLSv1 .2 的安全政策
-
CT.APPSYNC.PR.2:需要一個 AWS AppSync 要使用私有可見性API進行配置的 GraphQL
-
CT.APPSYNC.PR.3:需要一個 AWS AppSync 未使API用金API鑰驗證 GraphQL
-
CT.APPSYNC.PR.4:需要一個 AWS AppSync GraphQL API 快取會啟用傳輸中的加密功能。
-
CT.APPSYNC.PR.5:需要一個 AWS AppSync GraphQL API 快取會啟用靜態加密。
-
CT.AUTOSCALING.PR.9:需要透過 Amazon EC2 自動擴展啟動組態設定的 Amazon EBS 磁碟區,才能加密靜態資料
-
CT.AUTOSCALING.PR.10:要求 Amazon EC2 Auto Scaling 群組僅能使用 AWS 覆寫啟動範本時的 Nitro 實體類型
-
CT.AUTOSCALING.PR.11:僅需要 AWS Nitro 執行個體類型,在覆寫啟動範本時,支援要新增至 Amazon EC2 Auto Scaling 群組的執行個體之間的網路流量加密
-
CT.DAX.PR.3:需要 DynamoDB 加速器叢集使用傳輸層安全性來加密傳輸中的資料 () TLS
-
CT.DMS.PR.2:需要一個 AWS 用於加密來源和目標端點連線的 Database Migration Service (DMS) 端點
-
CT.EC2.PR.15:要求 Amazon EC2 實例使用 AWS 從
AWS::EC2::LaunchTemplate資源類型創建時的 Nitro 實例類型 -
CT.EC2.PR.16:要求 Amazon EC2 實例使用 AWS 使用
AWS::EC2::Instance資源類型創建時的 Nitro 實例類型 -
CT.EC2.PR.17:需要 Amazon EC2 專用主機才能使用 AWS Nitro 執行個體類型
-
CT.EC2.PR.18:要求 Amazon EC2 叢集只覆寫那些啟動範本 AWS 硝基實例類型
-
CT.EC2.PR.19:使用資源類型建立時,要求 Amazon EC2 執行個體使用硝基執行個體類型,該類型支援執行個體之間的傳輸中加密
AWS::EC2::Instance -
CT.EC2.PR.20:要求 Amazon EC2 叢集只覆寫那些啟動範本 AWS Nitro 執行個體類型支援在執行個體之間傳輸時加密
-
CT.ELASTICACHE.PR.8:需要較新 Redis 版本的 Amazon ElastiCache 複寫群組才能啟用RBAC身份驗證
-
CT.MQ.PR.1:要求 Amazon MQ ActiveMQ 代理程式使用主動/待命部署模式以獲得高可用性
-
CT.MQ.PR.2:需要 Amazon MQ 兔子 MQ 代理程式使用異地同步備份叢集模式以獲得高可用性
-
CT.MSK.PR.1:需要 Apache Kafka (MSK) 叢集的 Amazon 受管串流,才能在叢集代理程式節點之間強制執行傳輸過程中的加密
-
CT.MSK.PR.2:需要將 Apache Kafka (MSK) 叢集的 Amazon 受管串流設定為停用狀態 PublicAccess
-
CT.NETWORK-FIREWALL.PR.5:需要一個 AWS 跨多個可用區域部署的 Network Firewall 防火牆
-
CT.RDS.PR.26:需要 Amazon 資RDS料庫代理才能要求傳輸層安全性 (TLS) 連線
-
CT.RDS.PR.27:要求 Amazon RDS DB 叢集參數群組需要支援的引擎類型的傳輸層安全性 (TLS) 連線
-
CT.RDS.PR.28:要求 Amazon RDS DB 參數群組需要支援的引擎類型的傳輸層安全性 (TLS) 連線
-
CT.RDS.PR.29:要求 Amazon RDS 叢集未設定為可透過 'PubliclyAccessible' 屬性公開存取
-
CT.RDS.PR.30:要求 Amazon RDS 資料庫執行個體已設定靜態加密,以使用您為支援引擎類型指定的KMS金鑰
-
CT.S3.PR.12:要求 Amazon S3 存取點具有區塊公用存取 (BPA) 組態,且所有選項都設定為 true
新的預防性控制
-
CT.APPSYNC.PV.1 需要一個 AWS AppSync GraphQL 設定API為具有私有可見性
-
CT.EC2.PV.1 需要從加密EC2磁碟區建立 Amazon EBS 快照
-
CT.EC2.PV.2 需要將連接的 Amazon EBS 磁碟區設定為加密靜態資料
-
CT.EC2.PV.3 要求 Amazon EBS 快照無法公開還原
-
CT.EC2.PV.4 要求 Amazon EBS 直APIs接不叫
-
CT.EC2.PV.5 不允許使用 Amazon EC2 虛擬機導入和導出
-
CT.EC2.PV.6 不允許使用已棄用的 Amazon EC2 RequestSpotFleet 和行動 RequestSpotInstances API
-
CT.KMS.PV.1 需要一個 AWS KMS 關鍵策略有一個限制創建的聲明 AWS KMS 授予 AWS services
-
CT.KMS.PV.2 需要一個 AWS KMS 具有用於加密的RSA金鑰材料的非對稱金鑰不具有 2048 位元的金鑰長度
-
CT.KMS.PV.3 需要一個 AWS KMS 設定金鑰時啟用略過原則鎖定安全檢查
-
CT.KMS.PV.4 需要一個 AWS KMS 客戶管理的金鑰 (CMK) 設定為源自的金鑰材料 AWS 雲端 HSM
-
CT.KMS.PV.5 需要一個 AWS KMS 客戶管理的金鑰 (CMK) 是以匯入的金鑰材料設定
-
CT.KMS.PV.6 要求一個 AWS KMS 客戶管理的金鑰 (CMK) 設定為源自外部金鑰存放區的金鑰材料 (XKS)
-
CT.LAMBDA.PV.1 需要一個 AWS Lambda URL要使用的函數 AWS IAM基於認證
-
CT.LAMBDA.PV.2 需要一個 AWS Lambda 功URL能被配置為僅由您的主體訪問 AWS 帳戶
-
CT. MULTISERVICE.PV.1:拒絕訪問 AWS 根據要求 AWS 區域 針對組織單位
增強您的數位主權治理態勢的全新偵測控制項是 AWS Security Hub 服務管理的標準 AWS Control Tower。
全新偵探控制
-
SH.ACM.2:管理的RSA憑證ACM應使用至少 2,048 位元的金鑰長度
-
SH.AppSync.5: AWS AppSync 不APIs應使API用金鑰驗證 GraphQL
-
SH.CloudTrail.6:確保用於存放 CloudTrail 日誌的 S3 儲存貯體無法公開存取:
-
SH.DMS.9:DMS端點應使用 SSL
-
SH.DocumentDB.3: Amazon DocumentDB 手動叢集快照不應該是公開的
-
SH.DynamoDB.3:DynamoDB 加速器 (DAX) 叢集應在靜態時加密
-
SH.EC2.23:EC2傳輸閘道不應自動接受VPC附件請求
-
SH.EKS.1: EKS 叢集端點不應可公開存取
-
SH.ElastiCache.3: ElastiCache 複寫群組應啟用自動容錯移轉
-
SH.ElastiCache.4: ElastiCache 複製群組應該已 encryption-at-rest 啟用
-
SH.ElastiCache.5: ElastiCache 複製群組應該已 encryption-in-transit 啟用
-
SH.ElastiCache.6:舊版 Redis 的 ElastiCache 複寫群組應啟用 Redis AUTH
-
SH.EventBridge.3: EventBridge 自訂事件匯流排應附有以資源為基礎的政策
-
SH.KMS.4: AWS KMS 鍵旋轉應該啟用
-
SH.Lambda.3:Lambda 函數應該在 VPC
-
SH.MQ.5: ActiveMQ 代理程式應該使用主動/待命部署模式
-
SH.MQ.6: RabbitMQ 代理程式應該使用叢集部署模式
-
SH.MSK.1:MSK叢集應在代理節點之間的傳輸過程中加密
-
SH.RDS.12:應為RDS叢集設定IAM驗證
-
SH.RDS.15:應為多個可用區域設定資RDS料庫叢集
-
SH.S3.17:S3 儲存貯體應在靜態時加密 AWS KMS keys
如需有關新增至控制項的詳細資訊 AWS Security Hub 服務管理的標準 AWS Control Tower 查看適用於服務管理標準:AWSControl Tower 的控制 AWS Security Hub 文件中)。
對於列表 AWS 區域 不支持某些控件,這些控件屬於 AWS Security Hub 服務管理的標準 AWS Control Tower,請參閱不支援的區域。
OU 層級的區域拒絕的新可設定控制項
CT. MULTISERVICE.PV.1:此控制項接受參數,以指定在 OU 層級 (而非整個 Con AWS trol Tower 登陸區) 允許的豁免區域、IAM主體和動作。這是一種預防性控制,由服務控制策略(SCP)實現。
如需詳細資訊,請參閱套用至 OU 的區域拒絕控制。
該 UpdateEnabledControl API
此 AWS Control Tower 版本增加了以下對控制項的API支援:
-
更新後
EnableControlAPI可以配置可配置的控件。 -
更新後
GetEnabledControlAPI會顯示已啟用控制項上的已設定參數。 -
新的
UpdateEnabledControlAPI可以在已啟用的控制項上變更參數。
如需詳細資訊,請參閱《Con AWS trol Tower API參考》。
AWSControl Tower 支援 landing zone APIs
2023 年 11 月 26 日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 現在支持 landing zone 配置和啟動使用APIs。您可以使用建立、更新、取得、列出、重置和刪除著陸區域APIs。
以下內容APIs使您可以使用以編程方式設置和管理 landing zone AWS CloudFormation 或 AWS CLI.
AWSControl Tower 支援以下APIs著陸區:
-
CreateLandingZone— 此API呼叫會使用 landing zone 域版本和資訊清單檔案建立 landing zone 域。 -
GetLandingZoneOperation此API呼叫會傳回指定 landing zone 作業的狀態。 -
GetLandingZone此API呼叫會傳回有關指定 landing zone 的詳細資訊,包括版本、資訊清單檔案和狀態。 -
UpdateLandingZone— 此API呼叫會更新 landing zone 版本或資訊清單檔案。 -
ListLandingZone此API呼叫會針對管理帳戶中的 landing zone 域設定傳回一個 landing zone 識別碼 (ARN)。 -
ResetLandingZone— 此API呼叫將 landing zone 重置為最新更新時指定的參數,該參數可以修復漂移。如果尚未更新 landing zone 域,此呼叫會將 landing zone 域重置為建立時指定的參數。 -
DeleteLandingZone-此API呼叫將停用 landing zone 域。
若要開始使用 landing zoneAPIs,請參閱使用 API 開始使用 AWS Control Tower。
AWSControl Tower 支援已啟用控制項的標籤
2023年11月10日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 現在支援從 Control Tower 主控台或透過的方式來標記已啟用AWS控制項的資源標記APIs。您可以新增、移除或列出已啟用控制項的標籤。
隨著以下內容的發布APIs,您可以為您在 AWS Control Tower 中啟用的控制項配置標籤。標籤可協助您管理、識別、組織、搜尋和篩選資源。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。
AWSControl Tower 支援下列APIs控制標記:
-
TagResource— 此API呼叫將標籤新增至 AWS Control Tower 中啟用的控制項。 -
UntagResource— 此API呼叫會從 AWS Control Tower 中啟用的控制項移除標籤。 -
ListTagsForResource— 此API呼叫會傳回 AWS Control Tower 中啟用之控制項的標籤。
AWSControl Tower 控APIs制可用於 AWS 區域 AWSControl Tower 可用的地方。如需完整清單 AWS 區域 可使用「AWSControl Tower」的內容,請參閱 AWS 區域表
AWSControl Tower 於亞太區域 (墨爾本) 區域提供
2023年11月3日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 可在亞太區域 (墨爾本) 使用。
如果您已經在使用 AWS Control Tower,而且想要在帳戶中將其治理功能擴展到此區域,請前往 AWS Control Tower 儀表板中的「設定」頁面,選取「區域」,然後更新您的 landing zone 域。在 landing zone 域更新後,您必須更新受 AWS Control Tower 管理的所有帳號,以便在新區域中使用您的帳號並OUs受到管理。如需詳細資訊,請參閱關於更新。
如需可使用「AWSControl Tower」的完整區域清單,請參閱 AWS 區域
表
過渡到新 AWS Service Catalog 外部產品類型(第一階段)
2023年10月31 日
AWSControl Tower landing zone 無需更新。)
HashiCorp 更新了他們的地形版授權。其結果是, AWS Service Catalog 將 Terraform 開放原始碼產品和佈建產品的支援更新為新產品類型 (稱為「外部」)。
AWSControl Tower 不 Account Factory 援依賴於 AWS Service Catalog 外部產品類型。避免中斷現有工作負載和 AWS 在 2023 年 12 月 14 日之AWS前,請依照以下建議順序執行您帳戶中的資源轉換步驟:
-
升級您現有的 Terraform 參考引擎 AWS Service Catalog 包括對外部和 Terraform 開源產品類型的支持。如需有關更新 Terraform 參考引擎的指示,請參閱 AWS Service Catalog GitHub 儲存庫
。 -
移至 AWS Service Catalog 並複製任何現有的 Terraform 開放原始碼藍圖,以使用新的外部產品類型。請勿終止現有的 Terraform 開放原始碼藍圖。
-
繼續使用您現有的 Terraform 開放原始碼藍圖來建立或更新「Control Tower」中AWS的帳號。
提供全新控API制
2023年10月14日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 現在支援額外API的功能,您可以用來大規模部署和管理 AWS Control Tower 控制項。如需 AWS Control Tower 控制項的詳細資訊APIs,請參閱參API考資料。
AWSControl Tower 增加了一個新的控制API。
-
GetEnabledControlAPI呼叫提供有關已啟用控制項的詳細資訊。
我們還更新了這個API:
ListEnabledControls— 此API呼叫會列出 Con AWS trol Tower 在指定組織單位上啟用的控制項,以及其包含的帳號。它現在會傳回EnabledControlSummary物件中的其他資訊。
有了這些APIs,您可以通過編程方式執行幾個常見操作。例如:
-
取得您從 AWS Control Tower 控制項庫啟用的所有控制項清單。
-
對於任何已啟用的控制項,您都可以取得有關支援控制項的區域、控制項的識別碼 (ARN)、控制項的漂移狀態,以及控制項狀態摘要的相關資訊。
AWSControl Tower 控APIs制可用於 AWS 區域 AWSControl Tower 可用的地方。如需完整清單 AWS 區域 可使用「AWSControl Tower」的內容,請參閱 AWS 區域表
AWSControl Tower 增加了額外的控制
2023年10月5 日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 宣布新的主動和偵探控制。
AWSControl Tower 中的主動控制是通過 AWS CloudFormation 掛接,可在之前識別並封鎖不相容的資源 AWS CloudFormation 規定他們。主動式控制可補充 Control Tower 現有的預防性和偵測AWS控制功能。
全新的主動控制
-
[CT.ATHENA.PR.1] 要求亞馬遜 Athena 工作群組在靜態時加密雅典娜查詢結果
-
[CT.ATHENA.PR.2] 要求 Amazon Athena 工作群組使用 AWS Key Management Service (KMS) 鍵
-
[CT.CLOUDTRAIL.PR.4] 需要一個 AWS CloudTrail Lake 事件資料存放區以啟用靜態加密 AWS KMS 金錀
-
[CT.DAX.PR.2] 要求 Amazon DAX 叢集將節點部署到至少三個可用區域
-
[CT.EC2.PR.14] 需要透過 Amazon EC2 啟動範本設定的 Amazon EBS 磁碟區來加密靜態資料
-
[CT.EKS.PR.2] 需要使用秘密加密來配置 Amazon EKS 叢集 AWS 金鑰管理服務 (KMS) 金鑰
-
[CT.ELASTICLOADBALANCING.PR.14] 要求 Network Load Balancer 啟動跨區域負載平衡
-
[CT.ELASTICLOADBALANCING.PR.15] 要求 Elastic Load Balancing v2 目標群組未明確停用跨區域負載平衡
-
[CT.EMR.PR.1] 要求將 Amazon EMR (EMR) 安全組態設定設定為加密 Amazon S3 中的靜態資料
-
[CT.EMR.PR.2] 要求將 Amazon EMR (EMR) 安全組態設定設定為使用 AWS KMS 金錀
-
[CT.EMR.PR.3] 要求使用磁碟EBS區本機磁碟加密來設定 Amazon EMR (EMR) 安全組態 AWS KMS 金錀
-
[CT.EMR.PR.4] 要求將 Amazon EMR (EMR) 安全組態設定設定為加密傳輸中的資料
-
[CT.GLUE.PR.1] 需要一個 AWS Glue 工作具有相關聯的安全性設定
-
[CT.GLUE.PR.2] 需要一個 AWS 使用 Glue 安全組態來加密 Amazon S3 目標中的資料 AWS KMS鑰匙
-
[CT.KMS.PR.2] 需要一個 AWS KMS 具有用於加密的RSA金鑰材料的非對稱金鑰,金鑰長度大於 2048 位元
-
[CT.KMS.PR.3] 需要一個 AWS KMS 關鍵策略有一個限制創建的聲明 AWS KMS 授予 AWS services
-
[CT.LAMBDA.PR.4] 需要一個 AWS Lambda 圖層權限以授予存取權 AWS 組織或特定 AWS 帳戶
-
[CT.LAMBDA.PR.5] 需要一個 AWS Lambda URL要使用的函數 AWS IAM基於認證
-
[CT.LAMBDA.PR.6] 需要一個 AWS Lambda 限制對特定來源的訪問的功能URLCORS策略
-
[CT.NEPTUNE.PR.4] 需要 Amazon Neptune 資料庫叢集才能針對稽核日誌啟用 Amazon CloudWatch 日誌匯出
-
[CT.NEPTUNE.PR.5] 要求 Amazon Neptune 資料庫叢集將備份保留期設定為大於或等於 7 天
-
[CT.REDSHIFT.PR.9] 要求 Amazon Redshift 叢集參數群組設定為使用安全通訊端層 (SSL) 來加密傳輸中的資料
這些全新的主動式控制功能可用於商業 AWS 區域 AWSControl Tower 可用的地方。如需這些控制項的詳細資訊,請參閱主動式控制。如需控制項可用位置的詳細資訊,請參閱控制項限制。
全新偵探控制
Security Hub 服務管理標準:AWSControl Tower 新增了新的控制項。這些控制項可協助您強化您的治理狀態。在您在任何特定 OU 上啟用它們之後,它們就是 Security Hub 服務管理標準:AWSControl Tower 的一部分。
-
[SH.Athena.1] Athena 工作群組應在靜態時加密
-
[SH.Neptune.1] Neptune 數據庫集群應在靜態時進行加密
-
[SH.Neptune.2] Neptune DB 叢集應將稽核記錄發佈到 CloudWatch 記錄
-
[SH.Neptune.3] Neptune 資料庫叢集快照不應該是公用的
-
[SH.Neptune.4] Neptune 資料庫叢集應啟用刪除保護
-
[SH.Neptune.5] Neptune 資料庫叢集應啟用自動備份
-
[SH.Neptune.6] Neptune 資料庫叢集快照應在靜態時加密
-
[SH.Neptune.7] Neptune 資料庫叢集應啟用IAM資料庫驗證
-
[SH.Neptune.8] 應將 Neptune DB 叢集設定為將標籤複製到快照
-
[SH.RDS.27] RDS 數據庫集群應在靜態時進行加密
新的 AWS Security Hub 大多數人都可以使用偵探控制 AWS 區域 AWSControl Tower 可用的地方。如需有關這些控制項的詳細資訊,請參閱適用於服務管理標準的控制項:AWSControl Tower。如需控制項可用位置的詳細資訊,請參閱控制限制。
報告的新漂移類型:受信任存取已停用
2023年9月21 日
AWSControl Tower landing zone 無需更新。)
在您設定 AWS Control Tower landing zone 後,您可以停用 AWS Control Tower 的受信任存取權 AWS Organizations。 但是,這樣做會導致漂移。
使用受信任的訪問禁用漂移類型,AWSControl Tower 會在發生此類漂移時通知您,以便您可以修復 AWS Control Tower 的 landing zone。如需詳細資訊,請參閱治理漂移類型。
四個額外 AWS 區域
2023年9月13 日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 現已在亞太區域 (海德拉巴)、歐洲 (西班牙和蘇黎世) 和中東 (UAE) 推出。
如果您已經在使用 AWS Control Tower,而且想要在帳戶中將其治理功能擴展到此區域,請前往 AWS Control Tower 儀表板中的「設定」頁面,選取「區域」,然後更新您的 landing zone 域。在 landing zone 域更新後,您必須更新受 AWS Control Tower 管理的所有帳號,以便在新區域中使用您的帳號並OUs受到管理。如需詳細資訊,請參閱關於更新。
如需可使用「AWSControl Tower」的完整區域清單,請參閱 AWS 區域
表
AWSControl Tower 可在特拉維夫地區使用
2023年8月28日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 宣布在以色列(特拉維夫)地區開放。
如果您已經在使用 AWS Control Tower,而且想要在帳戶中將其治理功能擴展到此區域,請前往 AWS Control Tower 儀表板中的「設定」頁面,選取「區域」,然後更新您的 landing zone 域。在 landing zone 域更新後,您必須更新受 AWS Control Tower 管理的所有帳號,以便在新區域中使用您的帳號並OUs受到管理。如需詳細資訊,請參閱關於更新。
如需可使用「AWSControl Tower」的完整區域清單,請參閱 AWS 區域
表
AWS「Control Tower」推出 28 款全新主動控制
2023年7月24日
AWSControl Tower landing zone 無需更新。)
AWS控制中心新增 28 個全新的主動式控制項,協助您管理您的 AWS 環境。
主動式控制可強化多帳戶中AWS控制中心的治理能力 AWS 環境,在佈建不符合規範的資源之前封鎖它們。這些控制有助於管理 AWS 服務如 Amazon CloudWatch,亞馬 Amazon Neptune,Amazon ElastiCache, AWS Step Functions和 Amazon DocumentDB。這些新的控制項可協助您達成控制目標,例如建立記錄和監控、加密靜態資料或改善彈性。
以下是新控件的完整列表:
-
[康涅狄格州。 APPSYNC.PR.1] 需要一個 AWS AppSync 要啟用記錄功API能的 GraphQL
-
[康涅狄格州。 CLOUDWATCH.PR.1] 要求 Amazon CloudWatch 警報為警報狀態配置操作
-
[康涅狄格州。 CLOUDWATCH.PR.2] 要求 Amazon CloudWatch 日誌組保留至少一年
-
[康涅狄格州。 CLOUDWATCH.PR.3] 要求 Amazon CloudWatch 日誌組在靜態時使用 AWS KMS鍵
-
[康涅狄格州。 CLOUDWATCH.PR.4] 需要激活 Amazon CloudWatch 警報操作
-
[康涅狄格州。 DOCUMENTDB.PR.1] 需要在靜態時加密 Amazon DocumentDB 集群
-
[康涅狄格州。 DOCUMENTDB.PR.2] 要求 Amazon DocumentDB 集群啟用自動備份
-
[康涅狄格州。 DYNAMODB.PR.2] 需要使用靜態加密亞馬遜動態 B 表 AWS KMS keys
-
[康涅狄格州。 EC2.PR.13] 要求 Amazon EC2 實例啟用詳細的監控
-
[康涅狄格州。 EKS.PR.1] 要求將 Amazon EKS 叢集設定為停用叢集 Ku API bernetes 伺服器端點的公開存取權
-
[康涅狄格州。 ELASTICACHE.PR.1] 要求 Amazon ElastiCache 適用於 Redis 的集群啟動自動備份
-
[康涅狄格州。 ELASTICACHE.PR.2] 要求 Amazon ElastiCache 適用於 Redis 集群的自動次要版本升級激活
-
[康涅狄格州。 ELASTICACHE.PR.3] 要求 Amazon ElastiCache 適用於 Redis 的複寫組啟動自動容錯移轉
-
[康涅狄格州。 ELASTICACHE.PR.4] 要求 Amazon ElastiCache 複寫群組啟用靜態加密
-
[康涅狄格州。 ELASTICACHE.PR.5] 要求 ElastiCache 適用於 Redis 的複寫群組的 Amazon 在傳輸過程中啟用加密
-
[康涅狄格州。 ELASTICACHE.PR.6] 要求 Amazon ElastiCache 快取叢集使用自訂子網路群組
-
[康涅狄格州。 ELASTICACHE.PR.7] 要求舊版 Redis 的 Amazon ElastiCache 複寫組具有 Redis 身份驗證 AUTH
-
[康涅狄格州。 ELASTICBEANSTALK.PR.3] 需要一個 AWS 具有日誌記錄配置的 Elastic Beanstalk 環境
-
[康涅狄格州。 LAMBDA.PR.3] 需要一個 AWS Lambda 功能位於客戶管理的 Amazon Virtual Private Cloud()VPC
-
[康涅狄格州。 NEPTUNE.PR.1] 要求 Amazon Neptune 數據庫集群擁有 AWS Identity and Access Management (IAM) 資料庫認證
-
[康涅狄格州。 NEPTUNE.PR.2] 要求 Amazon Neptune 資料庫叢集啟用刪除保護
-
[康涅狄格州。 NEPTUNE.PR.3] 要求 Amazon Neptune 資料庫叢集啟用儲存加密
-
[康涅狄格州。 REDSHIFT.PR.8] 需要加密 Amazon Redshift 集群
-
要求 Amazon S3 儲存貯體啟用 S3 物件鎖定
-
[CT.S3.PR.10] 要求 Amazon S3 儲存貯體設定伺服器端加密 AWS KMS keys
-
要求 Amazon S3 儲存貯體啟用版本控制
-
[康涅狄格州。 STEPFUNCTIONS.PR.1] 需要一個 AWS Step Functions 狀態機已激活日誌記錄
-
[康涅狄格州。 STEPFUNCTIONS.PR.2] 需要一個 AWS Step Functions 狀態機有 AWS X-Ray 追蹤已啟動
AWSControl Tower 中的主動控制是通過 AWS CloudFormation 掛接,可在之前識別並封鎖不相容的資源 AWS CloudFormation 規定他們。主動式控制可補充 Control Tower 現有的預防性和偵測AWS控制功能。
這些新的主動控制功能在所有人都可用 AWS 區域 AWSControl Tower 可用的地方。如需這些控制項的詳細資訊,請參閱主動式控制。
AWSControl Tower 棄用兩個控件
2023年7月18日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 定期檢討其保安控制措施,以確保它們是最新的,並且仍被視為最佳做法。下列兩個控制項已被棄用,自 2023 年 7 月 18 日起生效,而且它們將從控制項程式庫中移除,自 2023 年 8 月 18 日起生效。您無法再對任何組織單位啟用這些控制項。您可以選擇在移除日期之前停用這些控制項。
-
[SH.S3.4] S3 儲存貯體應啟用伺服器端加密
-
[CT.S3.PR.7] 要求 Amazon S3 儲存貯體設定伺服器端加密
棄用原因
自 2023 年 1 月起,Amazon S3 在所有新的和現有的未加密儲存貯體上設定了預設加密,以使用 S3 受管金鑰 (SSE-S3) 套用伺服器端加密作為上傳到這些儲存貯體的新物件的基礎加密層級。對於已具有 SSE-S3 或伺服器端加密的現有儲存貯體,並未對預設加密組態進行任何變更 AWS 金鑰管理服務 (AWS KMS)鍵(SSE-KMS)配置。
AWSControl Tower landing zone 3.2 版
2023 年 6 月 16 日
(AWSControl Tower landing zone 需要更新至 3.2 版本。 若要取得資訊,請參閱〈更新您的 landing zone〉。
AWSControl Tower landing zone 3.2 版帶來了屬於 AWS Security Hub 服務管理標準:AWSControl Tower 適用於正式運作。它引入了在 Con AWS trol Tower 控制台中查看屬於此標準一部分的控件漂移狀態的功能。
此更新包含新的服務連結角色 (SLR),稱為 AWSServiceRoleForAWSControlTower. 此角色透過AWSControlTowerManagedRule在每個成員帳戶中建立稱為的 EventBridge 受管規則,協助AWS控制中心。此受管規則會收集 AWS Security Hub 使用 AWS Control Tower 查找事件可以確定控制漂移。
此規則是 Con AWS trol Tower 要建立的第一個受管理規則。規則不是由堆疊部署;它是直接從 EventBridge APIs. 您可以在 EventBridge 主控台中檢視規則,或透過 EventBridge APIs. 如果managed-by欄位已填入,則會顯示 Con AWS trol Tower 服務主體。
以前,AWSControl Tower 擔任在成員帳戶中執行操作的AWSControlTowerExecution角色。這項新角色和規則更符合在多帳戶中執行操作時允許最少權限的最佳實踐原則 AWS 環境。新角色提供的限制權限特別允許:在成員帳戶中建立受管規則、維護受管規則、透過發佈安全性通SNS知,以及驗證漂移。如需詳細資訊,請參閱AWSServiceRoleForAWSControlTower。
landing zone 3.2 更新也包含管理帳戶中的新 StackSet 資源BP_BASELINE_SERVICE_LINKED_ROLE,該資源最初會部署服務連結的角色。
報告 Security Hub 控制漂移(在 landing zone 3.2 及更新版本)時,AWSControl Tower 會從 Security Hub 接收每日狀態更新。雖然控制功能在每個受控區域中都有效,但 AWS Control Tower 會傳送 AWS Security Hub 僅尋找 AWS Control Tower 本地區域的活動。如需詳細資訊,請參閱 Security Hub 控制漂移報告。
區域拒絕控制項的更新
此 landing zone 版本也包含「區域拒絕」控制項的更新。
全球服務和APIs新增
-
AWS Billing and Cost Management (
billing:*) -
AWS CloudTrail (
cloudtrail:LookupEvents)允許成員帳戶中的全局事件的可見性。 -
AWS 合併帳單 (
consolidatedbilling:*) -
AWS 管理 Console Mobile Application (
consoleapp:*) -
AWS 免費方案 (
freetier:*) -
AWS Invoicing (
invoicing:*) -
AWS IQ(
iq:*) -
AWS 使用者通知 (
notifications:*) -
AWS 用戶通知聯系人(
notifications-contacts:*) -
Amazon Payments(
payments:*) -
AWS 稅金設定 (
tax:*)
全球服務和APIs已移除
-
已移除,
s3:GetAccountPublic因為它不是有效的動作。 -
已移除,
s3:PutAccountPublic因為它不是有效的動作。
AWSControl Tower 根據 ID 處理帳戶
2023年6月14日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 現在通過跟踪來創建和管理您在 Account Factory 中創建的帳戶 AWS 帳戶 ID,而不是帳戶的電子郵件地址。
佈建帳戶時,帳戶請求者一律必須具有CreateAccount和DescribeCreateAccountStatus權限。此權限集是管理員角色的一部分,當請求者擔任管理員角色時,會自動提供此權限集。如果您委派佈建帳戶的權限,您可能需要直接為帳戶要求者新增這些權限。
Control Tower 控制器庫中提供的其他安全中心偵測AWS控制
2023年6月12日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 增加了十個新 AWS Security Hub AWSControl Tower 控制庫的偵探控制。這些新控制項的目標是服務,例如API閘道、 AWS CodeBuild,Amazon 彈性計算雲(EC2),Amazon Elastic Load Balancer,Amazon Redshift SageMaker,Amazon 和 AWS WAF。 這些新的控制項可協助您達成控制目標,例如建立記錄和監控、限制網路存取,以及加密靜態資料等,藉此增強您的治理狀態。
在您在任何特定 OU 上啟用這些控制項之後,這些AWS控制項會成為 Security Hub 服務管理標準:Control Tower 的一部分。
-
[sh.Account。1] 應提供安全聯繫信息 AWS 帳戶
-
[SH. APIGateway.8] API 網關路由應指定授權類型
-
[SH. APIGateway.9] 應為API閘道 V2 階段設定存取記錄
-
[SH. CodeBuild.3] CodeBuild S3 日誌應加密
-
[SH. EC2.25] EC2 啟動範本不應將公開指派IPs給網路介面
-
[SH. ELB.1] 應配置應 Application Load Balancer 以將所有HTTP請求重定向到 HTTPS
-
[紅移 .10] Redshift 叢集在靜態時應加密
-
[SH. SageMaker.2] SageMaker 筆記本實例應以自定義方式啟動 VPC
-
[SH. SageMaker.3] 用戶不應該擁有對 SageMaker 筆記本實例的 root 訪問權限
-
[SH. WAF.10] WAFV2 Web ACL 應該至少有一個規則或規則組
新的 AWS Security Hub 所有偵探控件都可用 AWS 區域 AWSControl Tower 可用的地方。如需有關這些控制項的詳細資訊,請參閱適用於服務管理標準的控制項:AWSControl Tower。
AWSControl Tower 發布控制元數據表
2023年6月7日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 現在提供控制中繼資料的完整表格,作為已發佈文件的一部分。使用控件時APIs,您可以查找每個控件 APIcontrolIdentifier,這是與每個控件ARN相關聯的唯一 AWS 區域。 這些表格包括每個控制項涵蓋的架構和控制目標。之前,此資訊只能在主控台中使用。
這些 Security Hub 料表也包含屬於 AWS Security Hub 服務管理標準:AWSControl Tower 。如需完整詳細資訊,請參閱控制項中繼資料表。
如需控制項識別碼的縮寫清單,以及一些使用範例,請參閱APIs和控制項的資源識別碼。
Account Factory 定制的地形支持
2023年6月6日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 透過 Account Factory 自訂 () 為地形提供單一區域支援。AFC從此版本開始,您可以一起使用 AWS Control Tower 和 Service Catalog,在 Terraform 開放原始碼中定義AFC帳戶藍圖。您可以自定義新的和現有的 AWS 帳戶,在您在 AWS Control Tower 中佈建資源之前。根據預設,此功能可讓您使用 Terraform 在 AWS Control Tower 的本地區域部署和更新帳戶。
帳戶藍圖描述了在下列情況下所需的特定資源和組態 AWS 帳戶 已佈建。您可以使用藍圖做為範本來建立多個 AWS 帳戶 在規模上。
若要開始使用,請在上使用地形參考引擎
若要了解如何建立這些自訂,請參閱 Service Catalog 文件中的建立產品和 Terraform 開放原始碼入門。此功能適用於所有 AWS 區域 AWSControl Tower 可用的地方。
AWS IAM適用於 landing zone 的身分識別中心自我管理
2023年6月6日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 現在支援 Con AWS trol Tower landing zone 的選擇性身分提供者選擇,您可以在設定或更新期間進行設定。依預設,平 landing zone 已選擇加入使用 AWS IAM身分識別中心,符合「組織您的」中定義的最佳實務指引 AWS 使用多個帳戶的環境。您現在有三種選擇:
-
您可以接受預設值,並允許 AWS Control Tower 設定和管理 AWS IAM身分識別中心為您服務。
-
您可以選擇自我管理 AWS IAM身分識別中心,以反映您的特定業務需求。
-
如有需要,您可以透過 Identity Center 連線,選擇性地引入第三方IAM身分識別提供者並自行管理。如果您的法規環境要求您使用特定的供應商,或者您在 AWS 區域 where AWS IAM身分識別中心不可用。
如需詳細資訊,請參閱IAM識別中心指引。
不支援在帳戶層級選取身分識別提供者。此功能僅適用於整個 landing zone 域。AWSControl Tower 身分識別提供者選項適用於所有 AWS 區域 AWSControl Tower 可用的地方。
AWSControl Tower 處理的混合治理 OUs
2023年6月1日
AWSControl Tower landing zone 無需更新。)
在此版本中,如果 OU 處於混合治理狀態,AWSControl Tower 可防止控制項部署到組織單位 (OU)。如果在 AWS Control Tower 將控管擴展到新的控管之後,帳戶未更新,則會在 OU 中發生混合治理 AWS 區域,或移除治理。此版本可協助您使該 OU 的成員帳戶保持一致的合規性。如需詳細資訊,請參閱設定區域時避免混合控管。
提供其他主動式控制
2023年5月19日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 新增 28 個全新的主動式控制功能,協助您管理多帳戶環境並達成特定控制目標,例如靜態資料加密或限制網路存取。主動式控制實作 AWS CloudFormation 在佈建資源之前檢查資源的掛接。新的控制項可協助控管 AWS Amazon 服務,Amazon OpenSearch EC2 Auto Scaling,Amazon SageMaker,Amazon API 網關和亞馬 Amazon Relational Database Service(RDS)等服務。
所有商業支援主動式控制 AWS 區域 AWSControl Tower 可用的地方。
Amazon OpenSearch 服務
-
[克拉。 OPENSEARCH.PR.1] 需要彈性搜索域來加密靜態數據
-
[克拉。 OPENSEARCH.PR.2] 要求在用戶指定的 Amazon 中創建一個彈性搜索域 VPC
-
[克拉。 OPENSEARCH.PR.3] 需要一個彈性搜索域來加密節點之間發送的數據
-
[克拉。 OPENSEARCH.PR.4] 要求彈性搜索域將錯誤日誌發送到 Amazon 日誌 CloudWatch
-
[克拉。 OPENSEARCH.PR.5] 要求彈性搜索域將審核日誌發送到 Amazon 日誌 CloudWatch
-
[克拉。 OPENSEARCH.PR.6] 要求彈性搜索域具有區域感知功能和至少三個數據節點
-
[克拉。 OPENSEARCH.PR.7] 要求彈性搜索域至少具有三個專用的主節點
-
[克拉。 OPENSEARCH.PR.8] 需要彈性搜索服務域才能使用。2 TLSv1
-
[克拉。 OPENSEARCH.PR.9] 需要 Amazon OpenSearch 服務域來加密靜態數據
-
[克拉。 OPENSEARCH.PR.10] 要求在用戶指定的 Amazon 中創建一個 Amazon OpenSearch 服務域 VPC
-
[克拉。 OPENSEARCH.PR.11] 要求 Amazon OpenSearch 服務網域加密節點之間傳送的資料
-
[克拉。 OPENSEARCH.PR.12] 需要 Amazon OpenSearch 服務域將錯誤日誌發送到 Amazon 日誌 CloudWatch
-
[克拉。 OPENSEARCH.PR.13] 要求 Amazon OpenSearch 服務域將審核日誌發送到 Amazon 日誌 CloudWatch
-
[克拉。 OPENSEARCH.PR.14] 要求 Amazon OpenSearch 服務域具有區域感知和至少三個數據節點
-
[克拉。 OPENSEARCH.PR.15] 要求 Amazon OpenSearch 服務域使用精細的訪問控制
-
[克拉。 OPENSEARCH.PR.16] 需要 Amazon OpenSearch 服務域才能使用 .2 TLSv1
Amazon EC2 Auto Scaling
-
[克拉。 AUTOSCALING.PR.1] 要求 Amazon EC2 Auto Scaling 群組具有多個可用區域
-
[克拉。 AUTOSCALING.PR.2] 需要使用 Amazon EC2 Auto Scaling 群組啟動組態來設定 Amazon EC2 執行個體 IMDSv2
-
[克拉。 AUTOSCALING.PR.3] 要求 Amazon EC2 Auto Scaling 啟動組態具有單一躍點中繼資料回應限制
-
[克拉。 AUTOSCALING.PR.4] 要求與 Amazon Elastic Load Balancing (ELB) 關聯的 Amazon EC2 Auto Scaling 群組才能啟動運作狀態檢查 ELB
-
[克拉。 AUTOSCALING.PR.5] 要求 Amazon EC2 Auto Scaling 群組啟動組態沒有具有公有 IP 地址的 Amazon EC2 執行個體
-
[克拉。 AUTOSCALING.PR.6] 要求任何 Amazon EC2 Auto Scaling 群組使用多個執行個體類型
-
[克拉。 AUTOSCALING.PR.8] 要求 Amazon EC2 Auto Scaling 群組設定啟動範本 EC2
Amazon SageMaker
-
[克拉。 SAGEMAKER.PR.1] 需要 Amazon SageMaker 筆記本實例以防止直接訪問互聯網
-
[克拉。 SAGEMAKER.PR.2] 要求在自定義 Amazon 中部署 Amazon SageMaker 筆記本實例 VPC
-
[克拉。 SAGEMAKER.PR.3] 要求 Amazon SageMaker 筆記本實例具有不允許 root 訪問權限
Amazon API 网关
-
[克拉。 APIGATEWAY.PR.5] 需要 Amazon 網API關 V2 網絡套接字和HTTP路由來指定授權類型
Amazon Relational Database Service(RDS)
-
[克拉。 RDS.PR.25] 要求 Amazon RDS 資料庫叢集設定記錄
如需詳細資訊,請參閱主動式控制。
更新 Amazon EC2 主動控制
2023年5月2日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 更新了兩個主動控制:CT.EC2.PR.3 以及 CT.EC2.PR.4.
對於更新 CT.EC2.PR.3 控制,任何 AWS CloudFormation 除非用於連接埠 80 或 443,否則會封鎖參考安全性群組資源前置詞清單的部署,無法部署。
對於更新 CT.EC2.PR.4 控制,任何 AWS CloudFormation 如果連接埠是 3389、20、23、110、3306、8080、9200、9300、25、445、21、1432、5500、5601、9200、25、445、135、1434、4333、5500、5601、5000、8088、8888、8888,就會封鎖參考安全性群組資源的部署。
七個額外 AWS 區域 有用
2023年4月19 日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 現在有七個額外提供 AWS 區域: 北加州 (舊金山)、亞太區域 (香港、雅加達和大阪)、歐洲 (米蘭)、中東 (巴林) 和非洲 (開普敦)。除了美國西部 (加利佛尼亞北部) 區域預設為作用中狀態,除了預設為作用中的「美國西部 (加利佛尼亞北部) 區域」外,這些 AWS Control Tower 的其他區域稱為「選擇
AWSControl Tower 中的某些控制項無法在其中一些額外的操作 AWS 區域 AWSControl Tower 可供使用的地方,因為這些區域不支援必要的基礎功能。如需詳細資訊,請參閱 控制限制。
在這些新地區中,CFCT 不在亞太地區(雅加達和大阪)提供。可用性在其他 AWS 區域 保持不變。
如需 AWS Control Tower 如何管理區域和控制項限制的詳細資訊,請參閱啟動的注意事項 AWS 選擇加入區域。
中東 (巴林) 區域不提供所需的VPCe端點。AFTAFT在此區域部署的客戶必須使用參數進行部署aft_vpc_endpoints=false。如需詳細資訊,請參閱README檔案中的
AWS由於 Amazon 的限制,us-west-1Control Tower 在美國西部 (加利佛尼亞北部) 區域VPCs有兩個可用區域EC2。在美國西部 (加利佛尼亞北部),六個子網路分為兩個可用區域。如需詳細資訊,請參閱AWS Control Tower 和虛擬私人雲端概觀。
AWSControl Tower 為 AWSControlTowerServiceRolePolicy Con AWS trol Tower 增加了新的權限EnableRegion,允許控制塔對ListRegions,並GetRegionOptStatusAPIs由 AWS 帳戶管理服務,使這些額外 AWS 區域
可用於 landing zone 中的共享帳戶(管理帳戶,日誌存檔帳戶,審計帳戶)和您的 OU 成員帳戶。如需詳細資訊,請參閱AWS Control Tower 的受管政策。
Terraform (AFT) 帳戶自訂要求追蹤的 Account Factory
2023年2月16日
AFT支援帳戶自訂要求追蹤。每次提交帳戶自定義請求時,都AFT會生成一個通過自AFT定義傳遞的唯一跟踪令牌 AWS Step Functions 狀態機,記錄令牌作為其執行的一部分。您可以使用 Amazon CloudWatch Logs 深入解析查詢來搜尋時間戳記範圍並擷取請求權杖。因此,您可以看到令牌隨附的有效載荷,因此您可以在整個AFT工作流程中跟踪帳戶自定義請求。如需詳細資訊AFT,請參閱地形的 AWS Control Tower Account Factory 概觀。如需 CloudWatch 記錄檔和 Step Functions 的相關資訊,請參閱下列內容:
-
什麼是 Amazon CloudWatch 日誌? 在 Amazon CloudWatch 日誌用戶指南
-
什麼是 AWS Step Functions? 在 AWS Step Functions 開發者指南
AWSControl Tower landing zone 3.1 版
2023 年 2 月 9 日
(AWSControl Tower landing zone 需要更新至 3.1 版本。 若要取得資訊,請參閱更新您的 landing zone)
AWSControl Tower landing zone 3.1 版包括以下更新:
-
在此版本中,AWSControl Tower 會停用存取日誌儲存貯體 (存取日誌存放在日誌存檔帳戶的 Amazon S3 儲存貯體) 不必要的存取日誌記錄,同時繼續為 S3 儲存貯體啟用伺服器存取日誌。此版本也包含「區域拒絕」控制項的更新,可針對全域服務執行其他動作,例如 AWS Support 計劃及 AWS Artifact.
-
停用 AWS Control Tower 存取記錄值區的伺服器存取記錄會導致 Security Hub 為記錄封存帳戶的存取記錄值區建立發現項目,這是因為 AWS Security Hub 規則,[S3.9] 應啟用 S3 儲存貯體伺服器存取記錄。與安全中心一致,我們建議您隱藏此特定發現項目,如此規則的 Security Hub 說明所述。如需其他資訊,請參閱有關隱藏發現項目的資訊
-
在 3.1 版中,記錄封存帳戶中 (一般) 記錄值區的存取記錄不會變更。根據最佳做法,該值區的存取事件會記錄為存取記錄值區中的記錄項目。如需有關存取記錄的詳細資訊,請參閱 Amazon S3 文件中的使用伺服器存取日誌記錄請求。
-
我們更新了「區域拒絕」控制。此更新允許更多全球服務執行動作。如需詳細資訊SCP,請參閱拒絕存取 AWS 根據要求 AWS 區域以及加強資料駐留保護的控制項。
全球服務新增:
-
AWS Account Management (
account:*) -
AWS 啟動(
activate:*) -
AWS Artifact (
artifact:*) -
AWS Billing Conductor (
billingconductor:*) -
AWS Compute Optimizer (
compute-optimizer:*) -
AWS Data Pipeline (
datapipeline:GetAccountLimits) -
AWS Device Farm(
devicefarm:*) -
AWS Marketplace (
discovery-marketplace:*) -
AmazonECR(
ecr-public:*) -
AWS License Manager (
license-manager:ListReceivedLicenses) -
AWS Lightsail ()
lightsail:Get* -
AWS 資源總管 (
resource-explorer-2:*) -
Amazon S3(
s3:CreateMultiRegionAccessPoint,s3:GetBucketPolicyStatus,s3:PutMultiRegionAccessPointPolicy) -
AWS Savings Plans (
savingsplans:*) -
IAM身分識別中心 (
sso:*) -
AWS Support App (
supportapp:*) -
AWS Support 計劃 (
supportplans:*) -
AWS 可持續發展 (
sustainability:*) -
AWS Resource Groups Tagging API (
tag:GetResources) -
AWS Marketplace 供應商洞察 (
vendor-insights:ListEntitledSecurityProfiles)
-
一般提供主動式控制
2023年1月24日
AWSControl Tower landing zone 無需更新。)
先前以預覽狀態宣佈的選用主動式控制項,現已正式推出。這些控制項稱為主動式控制項,因為它們會在資源部署之前先檢查您的資源,以判斷新資源是否符合在您環境中啟動的控制項。如需詳細資訊,請參閱全面的控制協助 AWS 資源佈建與管理。
