Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Januar — Dezember 2022
Im Jahr 2022 veröffentlichte AWS Control Tower die folgenden Updates:
-
Umfassende Kontrollen helfen bei AWS Bereitstellung und Verwaltung von Ressourcen
-
Der Compliance-Status ist für alle sichtbar AWS Config Regeln
-
APIfür Kontrollen und ein neues AWS CloudFormation Ressource
-
Auf der Seite „Organisation“ werden Ansichten von Konten OUs und Ansichten zusammengefasst
-
Einfachere Registrierung und Aktualisierung für einzelne Mitgliedskonten
-
AFTunterstützt die automatische Anpassung für gemeinsam genutzte AWS Control Tower Tower-Konten
-
Gleichzeitige Operationen für alle optionalen Steuerelemente
Gleichzeitige Kontooperationen
16. Dezember 2022
(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)
AWSControl Tower unterstützt jetzt gleichzeitige Aktionen in Account Factory. Sie können bis zu fünf (5) Konten gleichzeitig erstellen, aktualisieren oder registrieren. Reichen Sie bis zu fünf Aktionen nacheinander ein und sehen Sie sich den Abschlussstatus jeder Anfrage an, während Ihre Konten im Hintergrund fertig aufgebaut werden. Sie müssen beispielsweise nicht mehr warten, bis jeder Vorgang abgeschlossen ist, bevor Sie ein anderes Konto aktualisieren oder bevor Sie eine gesamte Organisationseinheit (OU) erneut registrieren.
Anpassung Account Factory (AFC)
28. November 2022
(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)
Die werkseitige Anpassung von Konten ermöglicht es Ihnen, neue und bestehende Konten von der AWS Control Tower Tower-Konsole aus anzupassen. Diese neuen Anpassungsmöglichkeiten geben Ihnen die Flexibilität, Konto-Blueprints zu definieren, und zwar AWS CloudFormation Vorlagen, die in einem speziellen Service Catalog-Produkt enthalten sind. Blueprints bieten vollständig angepasste Ressourcen und Konfigurationen. Sie können sich auch dafür entscheiden, vordefinierte Blueprints zu verwenden, die von erstellt und verwaltet wurden AWS Partner, die Ihnen helfen, Konten für bestimmte Anwendungsfälle anzupassen.
Bisher unterstützte AWS Control Tower Account Factory die Kontoanpassung in der Konsole nicht. Mit diesem Update von Account Factory können Sie Kontoanforderungen vordefinieren und diese als Teil eines klar definierten Workflows implementieren. Sie können Blueprints anwenden, um neue Konten zu erstellen und andere zu registrieren AWS Konten im AWS Control Tower und zur Aktualisierung vorhandener AWS Control Tower Tower-Konten.
Wenn Sie ein Konto in Account Factory bereitstellen, registrieren oder aktualisieren, wählen Sie den Blueprint aus, der bereitgestellt werden soll. Die im Blueprint angegebenen Ressourcen werden in Ihrem Konto bereitgestellt. Wenn Ihr Konto mit der Erstellung fertig ist, können alle benutzerdefinierten Konfigurationen sofort verwendet werden.
Um mit der Anpassung von Konten zu beginnen, können Sie die Ressourcen für Ihren beabsichtigten Anwendungsfall in einem Service Catalog-Produkt definieren. Sie können auch von Partnern verwaltete Lösungen aus den AWS Bibliothek „Erste Schritte“. Weitere Informationen finden Sie unter Passen Sie Konten mit Account Factory Customization (AFC) an.
Umfassende Kontrollen helfen bei AWS Bereitstellung und Verwaltung von Ressourcen
28. November 2022
(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)
AWSControl Tower unterstützt jetzt ein umfassendes Kontrollmanagement, einschließlich neuer, optionaler proaktiver Kontrollen, implementiert über AWS CloudFormation Haken. Diese Kontrollen werden als proaktiv bezeichnet, da sie Ihre Ressourcen — bevor die Ressourcen bereitgestellt werden — daraufhin überprüfen, ob die neuen Ressourcen den in Ihrer Umgebung aktivierten Kontrollen entsprechen.
Über 130 neue proaktive Kontrollen unterstützen Sie bei der Erfüllung bestimmter Richtlinienziele für Ihre AWS Control Tower Tower-Umgebung, bei der Erfüllung der Anforderungen branchenüblicher Compliance-Frameworks und bei der Steuerung von AWS Control Tower Tower-Interaktionen in mehr als zwanzig anderen AWS Dienstleistungen.
Die AWS Control Tower Tower-Steuerungsbibliothek klassifiziert diese Steuerungen nach den zugehörigen AWS Dienste und Ressourcen. Weitere Informationen finden Sie unter Proaktive Kontrollen.
Mit dieser Version ist AWS Control Tower auch integriert in AWS Security Hub, mithilfe des neuen Security Hub Service-Managed Standard: AWS Control Tower, der die AWS Grundlegender Standard für bewährte Sicherheitsverfahren (FSBP). In der Konsole können Sie neben den AWS Control Tower Tower-Steuerungen mehr als 160 Security Hub-Steuerelemente anzeigen und eine Security Hub-Sicherheitsbewertung für Ihre AWS Control Tower Tower-Umgebung abrufen. Weitere Informationen finden Sie unter Security Hub-Steuerelemente.
Der Compliance-Status ist für alle sichtbar AWS Config Regeln
18. November 2022
(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)
AWSControl Tower zeigt jetzt den Compliance-Status aller AWS Config Regeln, die in Organisationseinheiten eingesetzt werden, die bei AWS Control Tower registriert sind. Sie können den Compliance-Status aller einsehen AWS Config Regeln, die sich auf Ihre Konten im AWS Control Tower auswirken, unabhängig davon, ob Sie registriert sind oder nicht, ohne dass Sie die AWS Control Tower Tower-Konsole verlassen müssen. Kunden können wählen, ob sie Config-Regeln, sogenannte Detective Controls, im AWS Control Tower einrichten oder sie direkt über das AWS Config Dienst. Die Regeln wurden angewendet von AWS Config werden zusammen mit den vom AWS Control Tower verwendeten Regeln angezeigt.
Zuvor AWS Config Regeln, die über die bereitgestellt wurden AWS Config Der Dienst war in der AWS Control Tower Tower-Konsole nicht sichtbar. Kunden mussten zum AWS Config Service zur Identifizierung von Verstößen AWS Config Regeln. Jetzt können Sie alle Verstöße identifizieren AWS Config Regel innerhalb der AWS Control Tower Tower-Konsole. Um den Konformitätsstatus all Ihrer Config-Regeln einzusehen, navigieren Sie in der AWS Control Tower Tower-Konsole zur Seite mit den Kontodetails. Sie sehen eine Liste mit dem Compliance-Status der vom AWS Control Tower verwalteten Kontrollen und den Konfigurationsregeln, die außerhalb von AWS Control Tower bereitgestellt werden.
APIfür Kontrollen und ein neues AWS CloudFormation Ressource
1. September 2022
(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)
AWSControl Tower unterstützt jetzt die programmatische Verwaltung von Steuerungen, auch bekannt als Leitplanken, über eine Reihe von Aufrufen. API Ein neues AWS CloudFormation Die Ressource unterstützt die API Funktionalität für Steuerelemente. Weitere Informationen finden Sie unter Automatisieren Sie Aufgaben in AWS Control Tower und AWS Control Tower Ressourcen erstellen mit AWS CloudFormation.
Diese APIs ermöglichen es Ihnen, Steuerungen in der AWS Control Tower Tower-Bibliothek zu aktivieren, zu deaktivieren und den Anwendungsstatus zu überprüfen. Sie APIs beinhalten Unterstützung für AWS CloudFormation, damit Sie es verwalten können AWS Ressourcen wie infrastructure-as-code (IaC). AWSControl Tower bietet optionale präventive und detektive Kontrollen, die Ihre politischen Absichten in Bezug auf eine gesamte Organisationseinheit (OU) und alle AWS Konto innerhalb der OU. Diese Regeln bleiben in Kraft, wenn Sie neue Konten erstellen oder Änderungen an bestehenden Konten vornehmen.
APIsin dieser Version enthalten
-
EnableControl— Dieser API Aufruf aktiviert eine Steuerung. Es startet eine asynchrone Operation, die Folgendes erzeugt AWS Ressourcen für die angegebene Organisationseinheit und die darin enthaltenen Konten.
-
DisableControl— Dieser API Aufruf schaltet ein Steuerelement aus. Es startet eine asynchrone Operation, die löscht AWS Ressourcen für die angegebene Organisationseinheit und die darin enthaltenen Konten.
-
GetControlOperation— Gibt den Status einer bestimmten EnableControlDisableControlOperation zurück.
-
ListEnabledControls— Listet die von AWS Control Tower für die angegebene Organisationseinheit aktivierten Kontrollen und die darin enthaltenen Konten auf.
Eine Liste der Kontrollnamen für optionale Steuerelemente finden Sie unter Ressourcen-Identifikatoren für APIs und Kontrollen im AWSControl Tower Tower-Benutzerhandbuch.
cFCT unterstützt das Löschen von Stack-Sets
26. August 2022
(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)
Customizations for AWS Control Tower (cFCT) unterstützt jetzt das Löschen von Stack-Sets, indem ein Parameter in der manifest.yaml Datei gesetzt wird. Weitere Informationen finden Sie unter Löschen eines Stack-Sets.
Wichtig
Wenn Sie anfänglich den Wert enable_stack_set_deletion auf festlegentrue, werden beim nächsten Aufruf von CfcT ALLRessourcen, die mit dem Präfix beginnenCustomControlTower-, die über das zugehörige Schlüssel-Tag Key:AWS_Solutions, Value: CustomControlTowerStackSet verfügen und die nicht in der Manifestdatei deklariert sind, zum Löschen zwischengespeichert.
Benutzerdefinierte Aufbewahrung von Protokollen
15. August 2022
(Update für die landing zone des AWS Control Tower erforderlich. Weitere Informationen finden Sie unterAktualisiere deine landing zone)
AWSControl Tower bietet jetzt die Möglichkeit, die Aufbewahrungsrichtlinie für Amazon S3 S3-Buckets anzupassen, in denen Ihre AWS Control Tower CloudTrail Tower-Protokolle gespeichert werden. Sie können Ihre Amazon S3 S3-Richtlinie zur Aufbewahrung von Protokollen in Schritten von Tagen oder Jahren bis zu einem Maximum von 15 Jahren anpassen.
Wenn Sie Ihre Protokollaufbewahrung nicht anpassen möchten, sind die Standardeinstellungen 1 Jahr für die Standardkontenprotokollierung und 10 Jahre für die Zugriffsprotokollierung.
Diese Funktion ist für Bestandskunden über AWS Control Tower verfügbar, wenn Sie Ihre landing zone aktualisieren oder reparieren, und für Neukunden über den AWS Control Tower Tower-Setup-Prozess.
Reparatur von Role Drift verfügbar
11. August 2022
(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)
AWSControl Tower unterstützt jetzt die Reparatur von Rollenabweichungen. Sie können eine benötigte Rolle wiederherstellen, ohne Ihre landing zone vollständig reparieren zu müssen. Wenn diese Art von Drift-Reparatur erforderlich ist, finden Sie auf der Fehlerseite der Konsole Schritte zum Wiederherstellen der Rolle, sodass Ihre landing zone wieder verfügbar ist.
AWSlanding zone des Control Tower Version 3.0
29. Juli 2022
(Für die landing zone des AWS Control Tower ist ein Update auf Version 3.0 erforderlich. Weitere Informationen finden Sie unterAktualisiere deine landing zone)
AWSControl Tower landing zone Version 3.0 beinhaltet die folgenden Updates:
-
Die Option zur Auswahl der Organisationsebene AWS CloudTrail Wanderwege oder um sich von den vom AWS Control Tower verwalteten CloudTrail Wegen abzumelden.
-
Zwei neue Detektivkontrollen, um festzustellen, ob AWS CloudTrail protokolliert Aktivitäten in Ihren Konten.
-
Die Option zum Aggregieren AWS Config Nur Informationen über globale Ressourcen in Ihrer Heimatregion.
-
Ein Update zu „Region Deny Control“.
-
Eine Aktualisierung der verwalteten Richtlinie, AWSControlTowerServiceRolePolicy.
-
Wir erstellen die IAM Rolle
aws-controltower-CloudWatchLogsRoleund die CloudWatch Protokollgruppe nicht mehraws-controltower/CloudTrailLogsin jedem registrierten Konto. Bisher haben wir diese in jedem Konto für seinen Kontopfad erstellt. Bei Organization Trails erstellen wir nur einen im Verwaltungskonto.
In den folgenden Abschnitten finden Sie weitere Informationen zu den einzelnen neuen Funktionen.
CloudTrail Trails auf Organisationsebene im Control Tower AWS
Mit landing zone Version 3.0 unterstützt AWS Control Tower jetzt Organisationsebene AWS CloudTrail Pfade.
Wenn Sie Ihre AWS Control Tower Tower-Landezone auf Version 3.0 aktualisieren, haben Sie die Möglichkeit, die Organisationsebene auszuwählen AWS CloudTrail Trails als Logging-Präferenz oder zur Deaktivierung von CloudTrail Trails, die vom AWS Control Tower verwaltet werden. Wenn Sie auf Version 3.0 aktualisieren, löscht AWS Control Tower die vorhandenen Trails auf Kontoebene für registrierte Konten nach einer Wartezeit von 24 Stunden. AWSControl Tower löscht keine Spuren auf Kontoebene für nicht registrierte Konten. In dem unwahrscheinlichen Fall, dass Ihr landing zone Zone-Update nicht erfolgreich ist, der Fehler jedoch auftritt, nachdem AWS Control Tower den Trail auf Organisationsebene bereits erstellt hat, können Ihnen doppelte Gebühren für Trails auf Organisations- und Kontoebene anfallen, bis Ihr Aktualisierungsvorgang erfolgreich abgeschlossen werden kann.
Ab landing zone 3.0 unterstützt AWS Control Tower keine Trails mehr auf Kontoebene, die AWS verwaltet. Stattdessen erstellt AWS Control Tower einen Trail auf Organisationsebene, der je nach Ihrer Auswahl aktiv oder inaktiv ist.
Anmerkung
Nach dem Update auf Version 3.0 oder höher haben Sie nicht mehr die Möglichkeit, mit den von AWS Control Tower verwalteten CloudTrail Trails auf Kontoebene fortzufahren.
Aus Ihren aggregierten Kontoprotokollen gehen keine Protokolldaten verloren, da die Protokolle im vorhandenen Amazon S3 S3-Bucket verbleiben, in dem sie gespeichert werden. Nur die Trails werden gelöscht, nicht die vorhandenen Logs. Wenn Sie die Option zum Hinzufügen von Trails auf Organisationsebene auswählen, öffnet AWS Control Tower einen neuen Pfad zu einem neuen Ordner in Ihrem Amazon S3 S3-Bucket und sendet weiterhin Protokollierungsinformationen an diesen Speicherort. Wenn du dich dafür entscheidest, die von AWS Control Tower verwalteten Trails abzulehnen, bleiben deine bestehenden Logs unverändert im Bucket.
Konventionen zur Benennung von Pfaden für die Protokollspeicherung
-
Konto-Trail-Logs werden mit einem Pfad in der folgenden Form gespeichert:
/org id/AWSLogs/… -
Protokolldateien von Organisationen werden mit einem Pfad in der folgenden Form gespeichert:
/org id/AWSLogs/org id/…
Der Pfad, den AWS Control Tower für Ihre CloudTrail Trails auf Organisationsebene erstellt, unterscheidet sich vom Standardpfad für einen manuell erstellten Trail auf Organisationsebene, der die folgende Form haben würde:
-
/AWSLogs/org id/…
Weitere Informationen zur CloudTrail Pfadbenennung finden Sie unter Logdateien suchen. CloudTrail
Tipp
Wenn du vorhast, deine eigenen Trails auf Kontoebene zu erstellen und zu verwalten, empfehlen wir dir, die neuen Trails zu erstellen, bevor du das Update auf AWS Control Tower landing zone Version 3.0 abgeschlossen hast, um sofort mit der Protokollierung zu beginnen.
Sie können sich jederzeit dafür entscheiden, neue CloudTrail Trails auf Konto- oder Organisationsebene zu erstellen und diese selbst zu verwalten. Die Option, CloudTrail Trails auf Organisationsebene auszuwählen, die von AWS Control Tower verwaltet werden, ist bei jedem landing zone Zone-Update auf Version 3.0 oder höher verfügbar. Du kannst Trails auf Organisationsebene aktivieren und deaktivieren, wann immer du deine landing zone aktualisierst.
Wenn Ihre Logs von einem Drittanbieter verwaltet werden, geben Sie Ihrem Dienst unbedingt den neuen Pfadnamen.
Anmerkung
Für Landing Zones der Version 3.0 oder höher, auf Kontoebene AWS CloudTrail Trails werden vom AWS Control Tower nicht unterstützt. Sie können jederzeit Ihre eigenen Trails auf Kontoebene erstellen und verwalten, oder Sie können sich für Trails auf Organisationsebene entscheiden, die von Control Tower verwaltet werden. AWS
Rekord AWS Config Nur Ressourcen in der Heimatregion
In landing zone Version 3.0 hat AWS Control Tower die Basiskonfiguration für aktualisiert AWS Config sodass globale Ressourcen nur in der Heimatregion aufgezeichnet werden. Nach dem Update auf Version 3.0 ist die Ressourcenaufzeichnung für globale Ressourcen nur in Ihrer Heimatregion aktiviert.
Diese Konfiguration wird als bewährte Methode angesehen. Sie wird empfohlen von AWS Security Hub and AWS Config, und es führt zu Kosteneinsparungen, da die Anzahl der Konfigurationselemente reduziert wird, die beim Erstellen, Ändern oder Löschen globaler Ressourcen erstellt werden. Bisher wurde jedes Mal, wenn eine globale Ressource erstellt, aktualisiert oder gelöscht wurde, unabhängig davon, ob sie von einem Kunden oder einem AWS Service, für jedes Element in jeder kontrollierten Region wurde ein Konfigurationselement erstellt.
Zwei neue Detektivsteuerungen für AWS CloudTrail Protokollierung
Im Rahmen der Umstellung auf Organisationsebene AWS CloudTrail Trails, AWS Control Tower führt zwei neue Detektivsteuerungen ein, die überprüfen, ob sie CloudTrail aktiviert sind. Das erste Steuerelement verfügt über eine obligatorische Anleitung und ist auf der Security OU bei Setup- oder Landingzone-Updates von 3.0 und höher aktiviert. Für das zweite Steuerelement wird dringend empfohlen, und es kann optional auf alle OUs anderen Steuerelemente als die Sicherheits-Organisationseinheit angewendet werden, für die der obligatorische Kontrollschutz bereits aktiviert ist.
Obligatorische Kontrolle: Ermitteln Sie, ob gemeinsam genutzte Konten der Organisationseinheit Sicherheit AWS CloudTrail oder CloudTrail Lake aktiviert
Dringend empfohlene Kontrolle: Ermitteln Sie, ob ein Konto AWS CloudTrail oder CloudTrail Lake aktiviert
Weitere Informationen zu den neuen Steuerungen finden Sie in der AWS Control Tower Tower-Steuerungsbibliothek.
Ein Update für die Region Deny Control
Wir haben die NotActionListe in der Region „Steuerung verweigern“ aktualisiert und enthält nun auch Aktionen einiger zusätzlicher Dienste, die unten aufgeführt sind:
“chatbot:*”, "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", “s3:GetStorageLensDashboard", “s3:ListStorageLensConfigurations” “s3:GetAccountPublicAccessBlock“,, “s3:PutAccountPublic", “s3:PutAccountPublicAccessBlock“,
Video-Anleitung
In diesem Video (3:07) wird beschrieben, wie Sie Ihre bestehende AWS Control Tower Tower-Landezone auf Version 3 aktualisieren. Wählen Sie zur besseren Ansicht das Symbol in der rechten unteren Ecke des Videos, um es in voller Bildschirmgröße anzuzeigen. Es stehen Untertitel zur Verfügung.
Auf der Seite „Organisation“ werden Ansichten von Konten OUs und Ansichten zusammengefasst
18. Juli 2022
(Für die landing zone des AWS Control Tower ist kein Update erforderlich)
Die neue Organisationsseite in AWS Control Tower zeigt eine hierarchische Ansicht aller Organisationseinheiten (OUs) und Konten. Sie kombiniert die Informationen aus den Seiten OUsund Konten, die zuvor vorhanden waren.
Auf der neuen Seite können Sie die Beziehungen zwischen übergeordneten OUs und ihren verschachtelten OUs Konten sehen. Sie können Maßnahmen für Gruppierungen von Ressourcen ergreifen. Sie können die Seitenansicht konfigurieren. Sie können beispielsweise die hierarchische Ansicht erweitern oder reduzieren, die Ansicht so filtern, dass OUs nur Konten angezeigt werden, Sie können festlegen, dass nur Ihre registrierten und registrierten Konten angezeigt werdenOUs, oder Sie können Gruppen verwandter Ressourcen anzeigen. Es ist einfacher sicherzustellen, dass Ihre gesamte Organisation ordnungsgemäß aktualisiert wird.
Einfachere Registrierung und Aktualisierung für einzelne Mitgliedskonten
31. Mai 2022
(Für die landing zone des AWS Control Tower ist kein Update erforderlich)
AWSControl Tower bietet Ihnen jetzt eine verbesserte Möglichkeit, Mitgliedskonten einzeln zu aktualisieren und zu registrieren. Jedes Konto zeigt an, wann es für ein Update verfügbar ist, sodass Sie leichter sicherstellen können, dass Ihre Mitgliedskonten die neueste Konfiguration enthalten. In wenigen einfachen Schritten können Sie Ihre landing zone aktualisieren, Kontoabweichungen beheben oder ein Konto für eine registrierte Organisationseinheit registrieren.
Wenn Sie ein Konto aktualisieren, müssen Sie nicht die gesamte Organisationseinheit (OU) eines Kontos in jede Aktualisierungsaktion einbeziehen. Dadurch wird der Zeitaufwand für die Aktualisierung eines einzelnen Kontos erheblich reduziert.
Sie können Konten OUs mit weiterer Hilfe von der AWS Control Tower-Konsole aus bei AWS Control Tower registrieren. Bestehende Konten, die Sie bei AWS Control Tower registrieren, müssen weiterhin die Kontovoraussetzungen erfüllen, und Sie müssen die AWSControlTowerExecution Rolle hinzufügen. Anschließend können Sie eine beliebige registrierte Organisationseinheit auswählen und das Konto dort registrieren, indem Sie auf die Schaltfläche „Registrieren“ klicken.
Wir haben die Funktion „Konto registrieren“ vom Workflow „Konto erstellen“ in Account Factory getrennt, um diese ähnlichen Prozesse besser voneinander zu unterscheiden und Einrichtungsfehler bei der Eingabe von Kontoinformationen zu vermeiden.
AFTunterstützt die automatische Anpassung für gemeinsam genutzte AWS Control Tower Tower-Konten
27. Mai 2022
(Für die landing zone des AWS Control Tower ist kein Update erforderlich)
Account Factory for Terraform (AFT) kann jetzt alle Ihre Konten, die von AWS Control Tower verwaltet werden, programmgesteuert anpassen und aktualisieren, einschließlich des Verwaltungskontos, des Prüfkontos und des Protokollarchivkontos sowie Ihrer registrierten Konten. Sie können Ihre Kontoanpassung und das Aktualisierungsmanagement zentralisieren und gleichzeitig die Sicherheit Ihrer Kontokonfigurationen schützen, da Sie die Rolle festlegen, die die Arbeit ausführt.
Mit der vorhandenen AWSAFTExecutionRolle werden nun Anpassungen für alle Konten bereitgestellt. Sie können IAM Berechtigungen mit Grenzen einrichten, die den Zugriff auf die AWSAFTExecutionRolle entsprechend Ihren Geschäfts- und Sicherheitsanforderungen einschränken. Sie können die genehmigten Anpassungsberechtigungen in dieser Rolle für vertrauenswürdige Benutzer auch programmgesteuert delegieren. Als bewährte Methode empfehlen wir, die Berechtigungen auf diejenigen zu beschränken, die für die Bereitstellung der erforderlichen Anpassungen erforderlich sind.
AFTerstellt jetzt die neue AWSAFTServiceRolle für die Bereitstellung von AFT Ressourcen für alle verwalteten Konten, einschließlich der gemeinsamen Konten und des Verwaltungskontos. Ressourcen wurden früher von der AWSAFTExecutionRolle bereitgestellt.
Die gemeinsamen Konten und Verwaltungskonten von AWS Control Tower werden nicht über die Account Factory bereitgestellt, sodass sie nicht über die entsprechenden bereitgestellten Produkte verfügen AWS Service Catalog. Daher können Sie die gemeinsamen Konten und Verwaltungskonten in Service Catalog nicht aktualisieren.
Gleichzeitige Operationen für alle optionalen Steuerelemente
18. Mai 2022
(Für die landing zone des AWS Control Tower ist kein Update erforderlich)
AWSControl Tower unterstützt jetzt gleichzeitige Operationen für präventive Kontrollen sowie für detektive Kontrollen.
Mit dieser neuen Funktion kann jetzt jede optionale Steuerung gleichzeitig angewendet oder entfernt werden, wodurch die Benutzerfreundlichkeit und Leistung aller optionalen Kontrollen verbessert werden. Sie können mehrere optionale Steuerungen aktivieren, ohne auf den Abschluss einzelner Steuervorgänge warten zu müssen. Die einzigen eingeschränkten Zeiten sind, wenn der AWS Control Tower gerade dabei ist, eine landing zone einzurichten oder die Verwaltung auf eine neue Organisation auszudehnen.
Unterstützte Funktionen für präventive Kontrollen:
-
Wenden Sie verschiedene präventive Kontrollen auf derselben Organisationseinheit an und entfernen Sie sie.
-
Wenden Sie verschiedene präventive Kontrollen gleichzeitig an und entfernen Sie sie. OUs
-
Wenden Sie dieselbe vorbeugende Kontrolle gleichzeitig an mehreren OUs an und entfernen Sie sie.
-
Sie können alle präventiven und detektiven Kontrollen gleichzeitig anwenden und entfernen.
Sie können diese Verbesserungen der Parallelität der Steuerung in allen veröffentlichten Versionen von AWS Control Tower erleben.
Wenn Sie präventive Kontrollen auf verschachtelte Konten anwendenOUs, wirken sich die präventiven Kontrollen auf alle Konten aus, die unter der Ziel-OU OUs verschachtelt sind, auch wenn diese Konten nicht bei AWS Control Tower registriert OUs sind. Präventive Kontrollen werden mithilfe von Service Control Policies (SCPs) implementiert, die Teil von AWS Organizations. Detektivkontrollen werden implementiert mit AWS Config Regeln. Die Guardrails bleiben in Kraft, wenn Sie neue Konten erstellen oder Änderungen an Ihren bestehenden Konten vornehmen, und AWS Control Tower bietet einen zusammenfassenden Bericht darüber, wie jedes Konto Ihren aktivierten Richtlinien entspricht. Eine vollständige Liste der verfügbaren Steuerungen finden Sie unter Die AWS Control Tower Tower-Steuerungsbibliothek.
Bestehende Sicherheits- und Protokollierungskonten
16. Mai 2022
(Bei der Ersteinrichtung verfügbar.)
AWSControl Tower bietet Ihnen jetzt die Möglichkeit, ein vorhandenes zu spezifizieren AWS Konto als Sicherheits- oder Logging-Konto im AWS Control Tower während der ersten Einrichtung der landing zone. Diese Option macht es überflüssig, dass AWS Control Tower neue, gemeinsame Konten erstellt. Das Sicherheitskonto, das standardmäßig als Auditkonto bezeichnet wird, ist ein eingeschränktes Konto, das Ihren Sicherheits- und Compliance-Teams Zugriff auf alle Konten in Ihrer landing zone gewährt. Das Protokollierungskonto, das standardmäßig als Log Archive-Konto bezeichnet wird, dient als Repository. Es speichert Protokolle von API Aktivitäten und Ressourcenkonfigurationen von allen Konten in Ihrer landing zone.
Indem Sie Ihre bestehenden Sicherheits- und Logging-Konten verwenden, ist es einfacher, die AWS Control Tower-Governance auf Ihre bestehenden Organisationen auszudehnen oder von einer alternativen landing zone zum AWS Control Tower zu wechseln. Die Option, bestehende Konten zu verwenden, wird bei der ersten Einrichtung der landing zone angezeigt. Sie umfasst Prüfungen während des Einrichtungsprozesses, die eine erfolgreiche Bereitstellung sicherstellen. AWSControl Tower implementiert die erforderlichen Rollen und Kontrollen für Ihre bestehenden Konten. Es werden keine vorhandenen Ressourcen oder Daten, die in diesen Konten vorhanden sind, entfernt oder zusammengeführt.
Einschränkung: Wenn Sie beabsichtigen, vorhandene mitzubringen AWS Konten in AWS Control Tower als Audit- und Protokollarchivkonten und ob diese Konten bereits vorhanden sind AWS Config Ressourcen, Sie müssen die vorhandenen löschen AWS Config Ressourcen, bevor Sie die Konten bei AWS Control Tower registrieren können.
AWSlanding zone des Control Tower Version 2.9
22. April 2022
(Für die landing zone des AWS Control Tower ist ein Update auf Version 2.9 erforderlich. Weitere Informationen finden Sie unterAktualisiere deine landing zone)
AWSControl Tower landing zone Version 2.9 aktualisiert den Notification Forwarder Lambda so, dass er die Python-Laufzeit der Version 3.9 verwendet. Dieses Update behebt die veraltete Version 3.6 von Python, die für Juli 2022 geplant ist. Die neuesten Informationen finden Sie auf der Python-Verfallsseite.
AWSlanding zone des Control Tower Version 2.8
10. Februar 2022
(Für die landing zone des AWS Control Tower ist ein Update auf Version 2.8 erforderlich. Weitere Informationen finden Sie unterAktualisiere deine landing zone)
AWSVersion 2.8 der Control Tower landing zone fügt Funktionen hinzu, die den jüngsten Updates entsprechen AWS Bewährte grundlegende Sicherheitsmethoden.
In dieser Version:
-
Die Zugriffsprotokollierung ist für den Zugriffs-Log-Bucket im Log Archive-Konto konfiguriert, um den Zugriff auf den vorhandenen S3-Zugriffs-Log-Bucket nachzuverfolgen.
-
Support für Lifecycle-Richtlinien wurde hinzugefügt. Das Zugriffsprotokoll für den vorhandenen S3-Zugriffsprotokoll-Bucket ist auf eine standardmäßige Aufbewahrungszeit von 10 Jahren festgelegt.
-
Darüber hinaus aktualisiert diese Version AWS Control Tower für die Verwendung von AWS Service Linked Role (SLR), bereitgestellt von AWS Config, in allen verwalteten Konten (außer dem Verwaltungskonto), sodass Sie passende Konfigurationsregeln einrichten und verwalten können AWS Config bewährte Verfahren. Kunden, die kein Upgrade durchführen, werden weiterhin ihre bestehende Rolle verwenden.
-
Diese Version optimiert den AWS Control Tower KMS Tower-Konfigurationsprozess für die Verschlüsselung AWS Config Daten und verbessert die damit verbundenen Statusmeldungen in. CloudTrail
-
Die Version enthält ein Update für die Steuerung von Regionsverweigerungen, um die
route53-application-recoveryFunktion in zu integrierenus-west-2. -
Update: Am 15. Februar 2022 haben wir die Warteschlange für unzustellbare Briefe entfernt AWS Lambda-Funktionen.
Weitere Details:
-
Wenn Sie Ihre landing zone außer Betrieb nehmen, entfernt der AWS Control Tower die AWS Config Rolle, die mit einem Dienst verknüpft ist.
-
Wenn Sie die Bereitstellung eines Account Factory Factory-Kontos aufheben, entfernt AWS Control Tower nicht das AWS Config Rolle, die mit dem Dienst verknüpft ist.
Um Ihre landing zone auf 2.8 zu aktualisieren, navigieren Sie zur Seite mit den Landingzone-Einstellungen, wählen Sie die Version 2.8 aus und wählen Sie dann Aktualisieren. Nachdem Sie Ihre landing zone aktualisiert haben, müssen Sie alle Konten aktualisieren, die vom AWS Control Tower verwaltet werden, wie unter beschriebenVerwaltung von Konfigurationsupdates im AWS Control Tower.
