二零二四年一月至今

自 2024 年 1 月起，AWS Control Tower 已發佈下列更新：

• AWS Control Tower 最多支援 100 個同時控制操作

• AWS Control Tower 於 AWS 加拿大西部 (卡加立) 提供

• AWS Control Tower 支援自助配額調整

• AWS Control Tower 發行控制參考指南

• AWS Control Tower 更新和重新命名兩個主動控制

• 已淘汰的控制項不再可用

• AWS Control Tower 支援標記EnabledControl資源 AWS CloudFormation

• AWS Control Tower 支援使用基準進行 OU 註冊和組態的 API

AWS Control Tower 最多支援 100 個同時控制操作

2024年5月20日

AWS Control Tower landing zone 不需要更新。)

AWS Control Tower 現在支援具有更高並行性的多重控制操作。您可以從主控台或使用 API 同時跨多個組織單位 (OU) 提交多達 100 個 AWS Control Tower 控制操作。最多可同時執行十 (10) 個作業，而其他作業則會排入佇列。如此一來，您就可以跨多個設定更標準化的組態 AWS 帳戶，而不會產生重複控制作業的作業負擔。

若要監控進行中和排入佇列的控制操作的狀態，您可以瀏覽至 AWS Control Tower 主控台中新的最近操作頁面，或者呼叫新的 ListControlOperationsAPI。

AWS Control Tower 程式庫包含 500 多個控制項，可對應到不同的控制目標、架構和服務。對於特定控制目標 (例如靜態加密資料)，您可以透過單一控制作業啟用多個控制項，以協助您達成目標。此功能有助於加速開發、更快地採用最佳實務控制項，並減少營運複雜性。

AWS Control Tower 於 AWS 加拿大西部 (卡加立) 提供

2024年5月3日

AWS Control Tower landing zone 不需要更新。)

從今天開始，您可以在加拿大西部 (卡加立) 區域啟用 AWS Control Tower。如果您已部署 AWS Control Tower，並且想要將其控管功能擴展到此區域，則可以使用 AWS Control 塔 landing zone 域 API 來完成。或者從主控台前往 AWS Control Tower 儀表板中的「設定」頁面，選取您的區域，然後更新您的 landing zone 域。

加拿大西部 (卡加利) 地區不支援 AWS Service Catalog。因此，AWS Control Tower 的某些功能不同。最顯著的功能變化是 Account Factory 不可用。如果您選擇加拿大西部 (卡加立) 作為您的本地區域，則更新帳戶、設定帳戶自動化，以及任何其他涉及 Service Catalog 的程序會與其他區域不同。

佈建帳戶

若要在加拿大西部 (卡加利) 區域建立和佈建新帳戶，建議您在 AWS Control Tower 以外建立帳戶，然後將其註冊到已註冊的 OU。如需詳細資訊，請參閱註冊現有帳戶和註冊帳戶的步驟。

加拿大西部 (卡加利) 地區不提供 Service Catalog API。在 AWS Control Tower (依 Service Catalog API) 自動化帳戶佈建中顯示的範例指令碼無法運作。

由於 AWS Control Tower 缺少其他基本相依性，加拿大西部 (卡加利) 無法使用 Account Factory 自訂 (AFC)、Terraform Account Factory (AFT) 和 AWS Control Tower (CFCT) 的自訂項目。如果您將管理擴展到加拿大西部 (卡加利) 區域，只要您的本地區域提供 Service Catalog，就可以在 AWS Control Tower 支援的所有區域繼續管理 AFC 藍圖。

控制

AWS Security Hub 服務管理標準的主動控制和控制：加拿大西部 (卡加利) 區域不提供 AWS Control Tower。加拿大西部（卡爾加里）不提供預防控制CT.CLOUDFORMATION.PR.1，因為僅在激活基於鉤子的主動控件時才需要此控制。某些基於的偵探控制 AWS Config 項無法使用。如需詳細資訊，請參閱 控制限制。

身份提供者

加拿大西部 (卡加立) 不提供 IAM 身分中心。最佳做法建議是在提供 IAM 身分中心的區域中設定您的登陸區域。或者，如果您在加拿大西部 (卡爾加里) 使用外部身分提供者，則可以選擇自行管理帳戶存取設定。

加拿大西部 (卡加利) 區域的 Service Catalog 不會對 AWS Control Tower 支援的其他區域造成影響。這些差異僅適用於您的所在地區是加拿大西部（卡爾加里）。

如需提供 AWS Control Tower 的完整區域清單，請參閱AWS 區域表。

AWS Control Tower 支援自助配額調整

2024年4月25日

AWS Control Tower landing zone 不需要更新。)

AWS Control Tower 現在可透過 Service Quotas 主控台支援自助配額調整。如需詳細資訊，請參閱 請求提高配額。

AWS Control Tower 發行控制參考指南

2024年4月21 日

AWS Control Tower landing zone 不需要更新。)

AWS Control Tower 發行了《控制參考指南》，這是一份新文件，您可以在其中找到 AWS Control 塔環境專屬控制的詳細資訊。此資料之前已包含在 AWS Control Tower 使用者指南中。控制項參考指南涵蓋了展開格式的控制項。如需詳細資訊，請參閱 AWS Control Tower 控制參考指南。

AWS Control Tower 更新和重新命名兩個主動控制

2024年3月26日

AWS Control Tower landing zone 不需要更新。)

AWS Control Tower 已重新命名兩個主動控制，以配合 Amazon OpenSearch 服務的更新。

• [CT.OPENSEARCH.PR.8] 需要彈性搜索服務域才能使用 TLSv1.2

• [CT.OPENSEARCH.PR.16 ] 需要 Amazon OpenSearch 服務域才能使用 TLSv1.2

我們更新了這兩個控制項的控制名稱和成品，以與 Amazon OpenSearch 服務的最新版本保持一致，該服務現在支援傳輸層安全性 (TLS) 1.3 版，在其網域端點安全性的傳輸安全性選項中支援傳輸層安全性 (TLS) 1.3 版。

若要為這些控制項新增 TLSv1.3 的支援，我們已更新控制項的成品和名稱，以反映控制項的意圖。他們現在會評估服務網域的最低 TLS 版本。若要在您的環境中進行此更新，您必須停用和啟用控制項，才能部署最新的成品。

此變更不會影響其他主動控制項。我們建議您檢閱這些控制項，以確保這些控制項符合您的控制目標。

如有問題或疑慮，請聯絡 Sup AWS port 部門。

已淘汰的控制項不再可用

2024年3月12日

AWS Control Tower landing zone 不需要更新。)

AWS Control Tower 已棄用某些控制項。這些控制項已不再可用。

• CT.ATHENA.PR.1

• CT.CODEBUILD.PR.4

• CT.AUTOSCALING.PR.3

• SH.Athena.1

• SH.Codebuild.5

• SH.AutoScaling.4

• SH.SNS.1

• SH.SNS.2

AWS Control Tower 支援標記EnabledControl資源 AWS CloudFormation

2024年2月22 日

AWS Control Tower landing zone 不需要更新。)

此 AWS Control Tower 發行版本更新EnabledControl資源的行為，以更好地與可設定的控制項保持一致，並透過自動化提升管理 AWS Control Tower 環境的能力。在此版本中，您可以透過 AWS CloudFormation 範本將標籤新增至可設定的EnabledControl資源。之前，您只能透過 AWS Control Tower 主控台和 API 新增標籤。

AWS Control Tower GetEnabledControl 和 ListTagsforResource API 操作會隨此版本進行更新，因為它們仰賴資EnabledControl源功能。EnableControl

如需詳細資訊，請參閱 AWS Control Tower 和AWS CloudFormation 使用者指南EnabledControl中的標記EnabledControl資源。

AWS Control Tower 支援使用基準進行 OU 註冊和組態的 API

2024年2月14日

AWS Control Tower landing zone 不需要更新。)

這些 API 支援透過EnableBaseline呼叫進行程式設計 OU 註冊。當您在 OU 上啟用基準時，OU 內的成員帳戶就會註冊到 AWS Control Tower 管理。某些警告可能適用。例如，透過 AWS Control 塔主控台註冊 OU 可啟用選擇性控制項以及強制性控制。呼叫 API 時，您可能需要完成額外的步驟，以便啟用選用的控制項。

AWS Control Tower 基準體現了 OU 和成員帳戶 AWS Control Tower 管理的最佳實務。例如，當您在 OU 上啟用基準時，OU 內的成員帳戶會收到已定義的資源群組 AWS CloudTrail AWS Config，包括 IAM 身分中心和必要的 AWS IAM 角色。

特定基準與特定 AWS Control Tower landing zone 版本相容。當您變更 landing zone 域設定時，AWS Control Tower 可以將最新的相容基準套用至您的 landing zone 域。如需詳細資訊，請參閱 OU 基準和 landing zone 版本的相容性。

此版本包括四個基本 基準線的類型

• AWSControlTowerBaseline

• AuditBaseline

• LogArchiveBaseline

• IdentityCenterBaseline

使用新的 API 和定義的基準，您可以註冊 OU 並自動化您的 OU 佈建工作流程。這些 API 也可以管理已受 AWS Control Tower 管理的 OU，因此您可以在 landing zone 更新後重新註冊 OU。這些 API 包含對 AWS CloudFormation EnabledBaseline資源的支援，可讓您使用基礎結構即程式碼 (IaC) 來管理 OU。

基準線 API

• EnableBaseline、UpdateEnabledBaseline、DisableBaseline：對 OU 的基準採取動作。

• GetEnabledBaseline、ListEnabledBaselines：探索已啟用基準的組態。

• GetBaselineOperation：檢視特定基準線作業的狀態。

• ResetEnabledBaseline：使用啟用的基準線 (包括巢狀 OU 和強制控制偏移) 修正 OU 上的資源漂移。還修復了區 landing-zone-level 域拒絕控制的漂移

• GetBaseline、ListBaselines：探索 AWS Control Tower 基準的內容。

若要進一步了解這些 API，請參閱 AWS Control Tower 使用者指南中的基準和 API 參考。提供 AWS Control Tower 的新 API AWS 區域 可供使用，但 GovCloud (美國) 區域除外。如需 AWS Control Tower 可供使用的 AWS 區域 清單，請參閱 AWS 區域 表格。