Januar bis Dezember 2023

• Übergang zu neuen AWS Service Catalog Externer Produkttyp (Phase 3)

• AWSlanding zone des Control Tower Version 3.3

• Übergang zu neuen AWS Service Catalog Externer Produkttyp (Phase 2)

• AWSControl Tower kündigt Steuerungen zur Unterstützung der digitalen Souveränität an

• AWSControl Tower unterstützt landing zone APIs

• AWSControl Tower unterstützt Tagging für aktivierte Steuerelemente

• AWSControl Tower in der Region Asien-Pazifik (Melbourne) verfügbar

• Übergang zu neuen AWS Service Catalog Externer Produkttyp (Phase 1)

• Neues Steuerelement verfügbar API

• AWSControl Tower fügt zusätzliche Steuerungen hinzu

• Es wurde ein neuer Drift-Typ gemeldet: Vertrauenswürdiger Zugriff deaktiviert

• Vier weitere AWS-Regionen

• AWSControl Tower in der Region Tel Aviv verfügbar

• AWSControl Tower führt 28 neue proaktive Steuerungen ein

• AWSControl Tower lehnt zwei Steuerungen ab

• AWSlanding zone des Control Tower Version 3.2

• AWSControl Tower verwaltet Konten auf der Grundlage von IDs

• Zusätzliche Security Hub Hub-Detektivsteuerungen sind in der AWS Control Tower Tower-Steuerungsbibliothek verfügbar

• AWSControl Tower veröffentlicht Tabellen mit Kontrollmetadaten

• Terraform-Unterstützung für Account Factory Customization

• AWS IAMIdentity Center-Selbstverwaltung für die landing zone verfügbar

• AWSControl Tower befasst sich mit gemischter Governance für OUs

• Zusätzliche proaktive Kontrollen verfügbar

• Aktualisierte EC2 proaktive Kontrollen von Amazon

• Sieben weitere AWS-Regionen available

• Account Factory for Terraform (AFT) — Rückverfolgung von Anfragen zur Kontoanpassung

• AWSlanding zone des Control Tower Version 3.1

• Proaktive Kontrollen sind allgemein verfügbar

Aktualisierungen der Steuerung „Region Deny“ für die landing zone

• Entferntdiscovery-marketplace:. Diese Maßnahme fällt unter die aws-marketplace:* Ausnahmeregelung.

• quicksight:DescribeAccountSubscription hinzugefügt

Neue proaktive Steuerungen

• CT.APIGATEWAY.PR.6: Erfordert, dass eine Amazon API REST Gateway-Domain eine Sicherheitsrichtlinie verwendet, die eine TLS Mindestprotokollversion von TLSv1 .2 festlegt

• CT.APPSYNC.PR.2: Erfordert ein AWS AppSync GraphQL API soll mit privater Sichtbarkeit konfiguriert werden

• CT.APPSYNC.PR.3: Erfordert, dass ein AWS AppSync GraphQL API ist nicht mit Schlüsseln authentifiziert API

• CT.APPSYNC.PR.4: Erfordert ein AWS AppSync APIGraphQL-Cache, um die Verschlüsselung bei der Übertragung zu aktivieren.

• CT.APPSYNC.PR.5: Erfordert ein AWS AppSync APIGraphQL-Cache, um die Verschlüsselung im Ruhezustand zu aktivieren.

• CT.AUTOSCALING.PR.9: Erfordert ein EBS Amazon-Volume, das über eine Amazon EC2 Auto Scaling Scaling-Startkonfiguration konfiguriert wurde, um Daten im Ruhezustand zu verschlüsseln

• CT.AUTOSCALING.PR.10: Nur zur Verwendung eine Amazon EC2 Auto Scaling Scaling-Gruppe erforderlich AWS Nitro-Instance-Typen beim Überschreiben einer Startvorlage

• CT.AUTOSCALING.PR.11: Nur erforderlich AWS Nitro-Instance-Typen, die die Verschlüsselung des Netzwerkverkehrs zwischen Instances unterstützen, die einer Amazon EC2 Auto Scaling Scaling-Gruppe hinzugefügt werden sollen, wenn eine Startvorlage überschrieben wird

• CT.DAX.PR.3: Erfordert einen DynamoDB Accelerator-Cluster zur Verschlüsselung von Daten während der Übertragung mit Transport Layer Security () TLS

• CT.DMS.PR.2: Erfordert ein AWS Database Migration Service (DMS) Endpunkt zum Verschlüsseln von Verbindungen für Quell- und Zielendpunkte

• CT.EC2.PR.15: Erfordert eine EC2 Amazon-Instance, um eine zu verwenden AWS Nitro-Instanztyp bei der Erstellung anhand des AWS::EC2::LaunchTemplate Ressourcentyps

• CT.EC2.PR.16: Erfordert eine EC2 Amazon-Instance, um eine zu verwenden AWS Nitro-Instanztyp, wenn er mit dem AWS::EC2::Instance Ressourcentyp erstellt wurde

• CT.EC2.PR.17: Erfordert einen EC2 dedizierten Amazon-Host, um einen AWS Nitro-Instance-Typ zu verwenden

• CT.EC2.PR.18: Erfordert, dass eine EC2 Amazon-Flotte nur diese Startvorlagen überschreibt mit AWS Nitro-Instance-Typen

• CT.EC2.PR.19: Erfordert, dass eine EC2 Amazon-Instance einen Nitro-Instance-Typ verwendet, der die Verschlüsselung während der Übertragung zwischen Instances unterstützt, wenn sie mit dem AWS::EC2::Instance Ressourcentyp erstellt wird

• CT.EC2.PR.20: Erfordert, dass eine EC2 Amazon-Flotte nur diese Startvorlagen überschreibt mit AWS Nitro-Instance-Typen, die die Verschlüsselung bei der Übertragung zwischen Instances unterstützen

• CT.ELASTICACHE.PR.8: Für eine ElastiCache Amazon-Replikationsgruppe späterer Redis-Versionen muss die RBAC Authentifizierung aktiviert sein

• CT.MQ.PR.1: Erfordert, dass ein Amazon MQ ActiveMQ-Broker den Aktiv-/Standby-Bereitstellungsmodus für hohe Verfügbarkeit verwendet

• CT.MQ.PR.2: Erfordert einen Amazon MQ Rabbit MQ-Broker, der den Multi-AZ-Clustermodus für hohe Verfügbarkeit verwendet

• CT.MSK.PR.1: Erfordert einen Amazon Managed Streaming for Apache Kafka (MSK) -Cluster, um die Verschlüsselung bei der Übertragung zwischen Cluster-Broker-Knoten zu erzwingen

• CT.MSK.PR.2: Erfordert die Konfiguration eines Amazon Managed Streaming for Apache Kafka (MSK) -Clusters mit PublicAccess deaktivierter Option

• CT.NETWORK-FIREWALL.PR.5: Erfordert ein AWS Netzwerk-Firewall-Firewall soll in mehreren Availability Zones eingesetzt werden

• CT.RDS.PR.26: Erfordert einen Amazon RDS DB-Proxy, um Transport Layer Security (TLS) -Verbindungen zu erfordern

• CT.RDS.PR.27: Erfordert eine RDS Amazon-DB-Cluster-Parametergruppe, die Transport Layer Security (TLS) -Verbindungen für unterstützte Engine-Typen erfordert

• CT.RDS.PR.28: Erfordert, dass eine Amazon RDS DB-Parametergruppe Transport Layer Security (TLS) -Verbindungen für unterstützte Engine-Typen erfordert

• CT.RDS.PR.29: Erfordert, dass ein RDS Amazon-Cluster nicht so konfiguriert ist, dass er über die Eigenschaft 'PubliclyAccessible' öffentlich zugänglich ist

• CT.RDS.PR.30: Erfordert, dass für eine RDS Amazon-Datenbank-Instance die Verschlüsselung im Ruhezustand so konfiguriert ist, dass sie einen KMS Schlüssel verwendet, den Sie für unterstützte Engine-Typen angeben

• CT.S3.PR.12: Erfordert, dass ein Amazon S3 S3-Zugriffspunkt über eine Block Public Access (BPA) -Konfiguration verfügt, bei der alle Optionen auf true gesetzt sind

Neue präventive Kontrollen

• CT.APPSYNC.PV.1 Erfordern Sie, dass ein AWS AppSync GraphQL API ist mit privater Sichtbarkeit konfiguriert

• CT.EC2.PV.1 Erfordern, dass ein EBS Amazon-Snapshot aus einem verschlüsselten EC2 Volume erstellt wird

• CT.EC2.PV.2 Erfordern, dass ein angehängtes EBS Amazon-Volume so konfiguriert ist, dass Daten im Ruhezustand verschlüsselt werden

• CT.EC2.PV.3 Erfordern, dass ein EBS Amazon-Snapshot nicht öffentlich wiederherstellbar ist

• CT.EC2.PV.4 Erfordern, dass Amazon EBS Direct APIs nicht aufgerufen wird

• CT.EC2.PV.5 Die Verwendung von Amazon EC2 VM-Import und -Export verbieten

• CT.EC2.PV.6 Verbieten Sie die Verwendung von veralteten Amazon und Aktionen EC2 RequestSpotFleet RequestSpotInstances API

• CT.KMS.PV.1 Erfordern Sie eine AWS KMS wichtige Richtlinie, um eine Aussage zu haben, die die Erstellung von einschränkt AWS KMS Zuschüsse für AWS service

• CT.KMS.PV.2 Erfordern Sie, dass ein AWS KMS Ein asymmetrischer Schlüssel mit RSA Schlüsselmaterial, der für die Verschlüsselung verwendet wird, hat keine Schlüssellänge von 2048 Bit

• CT.KMS.PV.3 Erfordern Sie, dass ein AWS KMS Der Schlüssel ist so konfiguriert, dass die Sicherheitsüberprüfung für die Sperrung der Umgehungsrichtlinie aktiviert ist

• CT.KMS.PV.4 Erfordern Sie, dass ein AWS KMS Der vom Kunden verwaltete Schlüssel (CMK) ist so konfiguriert, dass das Schlüsselmaterial stammt von AWS Cloud HSM

• CT.KMS.PV.5 Benötige das ein AWS KMS Der vom Kunden verwaltete Schlüssel (CMK) ist mit importiertem Schlüsselmaterial konfiguriert

• CT.KMS.PV.6 Erfordern Sie, dass ein AWS KMS Der vom Kunden verwaltete Schlüssel (CMK) ist mit Schlüsselmaterial konfiguriert, das aus einem externen Schlüsselspeicher () XKS stammt

• CT.LAMBDA.PV.1 Erfordert ein AWS Lambda URLzu verwendende Funktion AWS IAMbasierte Authentifizierung

• CT.LAMBDA.PV.2 Erfordern Sie eine AWS Lambda FunktionURL, die nur für den Zugriff durch Prinzipale in Ihrem System konfiguriert werden muss AWS-Konto

• CT. MULTISERVICE.PV.1: Zugriff verweigern auf AWS basierend auf dem Angeforderten AWS-Region für eine Organisationseinheit

Neue detektivische Kontrollen

• SH.ACM.2: RSA Zertifikate, die von verwaltet werden, ACM sollten eine Schlüssellänge von mindestens 2.048 Bit verwenden

• SH.AppSync.5: AWS AppSync GraphQL APIs sollte nicht mit Schlüsseln authentifiziert werden API

• SH.CloudTrail.6: Stellen Sie sicher, dass der zum Speichern von CloudTrail Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist:

• SH.DMS.9: DMS Endpunkte sollten verwenden SSL

• SH.DocumentDB.3: Manuelle Cluster-Snapshots von Amazon DocumentDB sollten nicht öffentlich sein

• SH.DynamoDB.3: DynamoDB Accelerator (DAX) -Cluster sollten im Ruhezustand verschlüsselt werden

• SH.EC2.23: EC2 Transit Gateways sollten Anhangsanfragen nicht automatisch akzeptieren VPC

• SH.EKS.1: EKS Cluster-Endpunkte sollten nicht öffentlich zugänglich sein

• SH.ElastiCache.3: Für ElastiCache Replikationsgruppen sollte automatisches Failover aktiviert sein

• SH.ElastiCache.4: Für ElastiCache Replikationsgruppen hätte aktiviert werden müssen encryption-at-rest

• SH.ElastiCache.5: ElastiCache Replikationsgruppen hätten encryption-in-transit aktiviert sein müssen

• SH.ElastiCache.6: Für ElastiCache Replikationsgruppen früherer Redis-Versionen sollte AUTH Redis aktiviert sein

• SH.EventBridge.3: An EventBridge benutzerdefinierte Event-Busse sollte eine ressourcenbasierte Richtlinie angehängt sein

• SH.KMS.4: AWS KMS Die Schlüsselrotation sollte aktiviert sein

• SH.Lambda.3: Lambda-Funktionen sollten in einem VPC

• SH.MQ.5: ActiveMQ-Broker sollten den Aktiv-/Standby-Bereitstellungsmodus verwenden

• SH.MQ.6: RabbitMQ-Broker sollten den Cluster-Bereitstellungsmodus verwenden

• SH.MSK.1: MSK Cluster sollten bei der Übertragung zwischen Broker-Knoten verschlüsselt werden

• SH.RDS.12: IAM Die Authentifizierung sollte für RDS Cluster konfiguriert werden

• SH.RDS.15: RDS DB-Cluster sollten für mehrere Availability Zones konfiguriert werden

• SH.S3.17: S3-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys

• Die aktualisierte Version EnableControl API kann steuerungen konfigurieren, die konfigurierbar sind.

• Die aktualisierte Version GetEnabledControl API zeigt die konfigurierten Parameter für ein aktiviertes Steuerelement.

• Das neue UpdateEnabledControl API kann die Parameter eines aktivierten Steuerelements ändern.

• CreateLandingZone— Dieser API Aufruf erstellt eine landing zone mithilfe einer Landingzone-Version und einer Manifestdatei.

• GetLandingZoneOperation— Dieser API Aufruf gibt den Status einer bestimmten Landezonenoperation zurück.

• GetLandingZone— Dieser API Aufruf gibt Details zur angegebenen landing zone zurück, einschließlich Version, Manifestdatei und Status.

• UpdateLandingZone— Dieser API Aufruf aktualisiert die Landingzone-Version oder die Manifestdatei.

• ListLandingZone— Dieser API Aufruf gibt eine Landezonen-ID (ARN) für eine Landezoneneinrichtung im Verwaltungskonto zurück.

• ResetLandingZone— Dieser API Aufruf setzt die landing zone auf die beim letzten Update angegebenen Parameter zurück, wodurch Drift behoben werden kann. Wenn die landing zone nicht aktualisiert wurde, setzt dieser Aufruf die landing zone auf die bei der Erstellung angegebenen Parameter zurück.

• DeleteLandingZone—Dieser API Anruf macht die landing zone außer Betrieb.

• TagResource— Dieser API Aufruf fügt Tags zu Steuerelementen hinzu, die im AWS Control Tower aktiviert sind.

• UntagResource— Dieser API Aufruf entfernt Tags von Steuerelementen, die im AWS Control Tower aktiviert sind.

• ListTagsForResource— Dieser API Aufruf gibt Tags für Steuerungen zurück, die im AWS Control Tower aktiviert sind.

• GetEnabledControl— Der API Anruf enthält Einzelheiten zu einem aktivierten Steuerelement.

• Rufen Sie eine Liste aller von Ihnen aktivierten Steuerungen aus der AWS Control Tower Tower-Steuerungsbibliothek ab.

• Für jede aktivierte Steuerung können Sie Informationen über die Regionen abrufen, in denen die Steuerung unterstützt wird, die Kennung der Steuerung (ARN), den Drift-Status der Steuerung und die Statusübersicht der Steuerung.

Neue proaktive Kontrollen

• [CT.ATHENA.PR.1] Erfordert eine Amazon Athena Athena-Arbeitsgruppe, um Athena-Abfrageergebnisse im Ruhezustand zu verschlüsseln

• [CT.ATHENA.PR.2] Eine Amazon Athena Athena-Arbeitsgruppe auffordern, Athena-Abfrageergebnisse im Ruhezustand mit einem zu verschlüsseln AWS Key Management Service (KMS) Schlüssel

• [CT.CLOUDTRAIL.PR.4] Erfordert eine AWS CloudTrail Lake Event Data Store zur Aktivierung der Verschlüsselung im Ruhezustand mit einem AWS KMS Schlüssel

• [CT.DAX.PR.2] Erfordert einen DAX Amazon-Cluster zur Bereitstellung von Knoten in mindestens drei Availability Zones

• [CT.EC2.PR.14] Erfordert ein EBS Amazon-Volume, das über eine EC2 Amazon-Startvorlage konfiguriert wurde, um Daten im Ruhezustand zu verschlüsseln

• [CT.EKS.PR.2] Erfordern, dass ein EKS Amazon-Cluster mit geheimer Verschlüsselung konfiguriert wird mit AWS Schlüssel des Key Management Service (KMS)

• [CT.ELASTICLOADBALANCING.PR.14] Zonenübergreifendes Load Balancing muss über einen Network Load Balancer aktiviert sein

• [CT.ELASTICLOADBALANCING.PR.15] Erfordern, dass eine Elastic Load Balancing v2-Zielgruppe den zonenübergreifenden Load Balancing nicht explizit deaktiviert

• [CT.EMR.PR.1] Erfordert, dass eine Amazon EMR (EMR) -Sicherheitskonfiguration so konfiguriert ist, dass ruhende Daten in Amazon S3 verschlüsselt werden

• [CT.EMR.PR.2] Erfordern, dass eine Amazon EMR (EMR) -Sicherheitskonfiguration konfiguriert ist, um ruhende Daten in Amazon S3 mit einem zu verschlüsseln AWS KMS Schlüssel

• [CT.EMR.PR.3] Erfordern, dass eine Amazon EMR (EMR) -Sicherheitskonfiguration mit EBS Volume-Verschlüsselung auf lokalen Festplatten unter Verwendung eines konfiguriert ist AWS KMS Schlüssel

• [CT.EMR.PR.4] Erfordert, dass eine Amazon EMR (EMR) -Sicherheitskonfiguration konfiguriert ist, um Daten während der Übertragung zu verschlüsseln

• [CT.GLUE.PR.1] Erfordert eine AWS Glue-Job, um eine zugehörige Sicherheitskonfiguration zu haben

• [CT.GLUE.PR.2] Erfordert ein AWS Glue-Sicherheitskonfiguration zur Verschlüsselung von Daten in Amazon S3 S3-Zielen mit AWS KMSSchlüssel

• [CT.KMS.PR.2] Erfordert, dass ein AWS KMS Ein asymmetrischer Schlüssel mit RSA Schlüsselmaterial, der für die Verschlüsselung verwendet wird, hat eine Schlüssellänge von mehr als 2048 Bit

• [CT.KMS.PR.3] Erfordert ein AWS KMS wichtige Richtlinie, um eine Aussage zu haben, die die Erstellung von einschränkt AWS KMS Zuschüsse für AWS service

• [CT.LAMBDA.PR.4] Benötigen Sie eine AWS Lambda Layer-Berechtigung zur Gewährung des Zugriffs auf ein AWS Organisation oder spezifisch AWS Konto

• [CT.LAMBDA.PR.5] Benötigen Sie eine AWS Lambda URLzu verwendende Funktion AWS IAMbasierte Authentifizierung

• [CT.LAMBDA.PR.6] Erfordert eine AWS Lambda URLCORSFunktionsrichtlinie zur Beschränkung des Zugriffs auf bestimmte Quellen

• [CT.NEPTUNE.PR.4] Erfordert einen Amazon Neptune Neptune-DB-Cluster, um den CloudWatch Amazon-Protokollexport für Audit-Logs zu aktivieren

• [CT.NEPTUNE.PR.5] Erfordern, dass ein Amazon Neptune Neptune-DB-Cluster einen Aufbewahrungszeitraum für Backups von mindestens sieben Tagen festlegt

• [CT.REDSHIFT.PR.9] Erfordern, dass eine Amazon Redshift Redshift-Cluster-Parametergruppe so konfiguriert ist, dass sie Secure Sockets Layer (SSL) für die Verschlüsselung von Daten während der Übertragung verwendet

• [SH.Athena.1] Athena-Arbeitsgruppen sollten im Ruhezustand verschlüsselt sein

• [SH.Neptune.1] Neptune-DB-Cluster sollten im Ruhezustand verschlüsselt werden

• [SH.Neptune.2] Neptune-DB-Cluster sollten Audit-Logs in Logs veröffentlichen CloudWatch

• [SH.Neptune.3] Neptune-DB-Cluster-Snapshots sollten nicht öffentlich sein

• [SH.Neptune.4] Bei Neptune-DB-Clustern sollte der Löschschutz aktiviert sein

• [SH.Neptune.5] Bei Neptune-DB-Clustern sollten automatische Backups aktiviert sein

• [SH.Neptune.6] Neptune DB-Cluster-Snapshots sollten im Ruhezustand verschlüsselt werden

• [SH.Neptune.7] Bei Neptune-DB-Clustern sollte die IAM Datenbankauthentifizierung aktiviert sein

• [SH.Neptune.8] Neptune-DB-Cluster sollten so konfiguriert sein, dass sie Tags in Snapshots kopieren

• [SH.RDS.27] RDS DB-Cluster sollten im Ruhezustand verschlüsselt werden

Hier ist eine vollständige Liste der neuen Kontrollen:

• [CT. APPSYNC.PR.1] Benötige ein AWS AppSync GraphQL API soll Logging aktiviert haben

• [CT. CLOUDWATCH.PR.1] Für einen CloudWatch Amazon-Alarm muss eine Aktion für den Alarmstatus konfiguriert sein

• [CT. CLOUDWATCH.PR.2] Erfordern, dass eine CloudWatch Amazon-Protokollgruppe mindestens ein Jahr lang aufbewahrt wird

• [CT. CLOUDWATCH.PR.3] Erfordert, dass eine CloudWatch Amazon-Protokollgruppe im Ruhezustand verschlüsselt wird mit einem AWS KMSSchlüssel

• [CT. CLOUDWATCH.PR.4] Erfordert die Aktivierung einer CloudWatch Amazon-Alarmaktion

• [CT. DOCUMENTDB.PR.1] Erfordert, dass ein Amazon DocumentDB-Cluster im Ruhezustand verschlüsselt wird

• [CT. DOCUMENTDB.PR.2] Für einen Amazon DocumentDB-Cluster müssen automatische Backups aktiviert sein

• [CT. DYNAMODB.PR.2] Erfordern, dass eine Amazon DynamoDB-Tabelle im Ruhezustand verschlüsselt wird mit AWS KMS keys

• [CT. EC2.PR.13] Für eine EC2 Amazon-Instance muss die detaillierte Überwachung aktiviert sein

• [CT. EKS.PR.1] Erfordert, dass ein EKS Amazon-Cluster mit deaktiviertem öffentlichen Zugriff auf den API Kubernetes-Serverendpunkt des Clusters konfiguriert ist

• [CT. ELASTICACHE.PR.1] Für einen Amazon ElastiCache for Redis-Cluster müssen automatische Backups aktiviert sein

• [CT. ELASTICACHE.PR.2] Für einen Amazon ElastiCache for Redis-Cluster müssen automatische Upgrades für kleinere Versionen aktiviert sein

• [CT. ELASTICACHE.PR.3] Für eine Amazon ElastiCache for Redis-Replikationsgruppe muss der automatische Failover aktiviert sein

• [CT. ELASTICACHE.PR.4] Für eine ElastiCache Amazon-Replikationsgruppe muss die Verschlüsselung im Ruhezustand aktiviert sein

• [CT. ELASTICACHE.PR.5] Für eine Amazon ElastiCache for Redis-Replikationsgruppe muss die Verschlüsselung bei der Übertragung aktiviert sein

• [CT. ELASTICACHE.PR.6] Erfordert, dass ein ElastiCache Amazon-Cache-Cluster eine benutzerdefinierte Subnetzgruppe verwendet

• [CT. ELASTICACHE.PR.7] Erfordert, dass eine ElastiCache Amazon-Replikationsgruppe früherer Redis-Versionen über eine Redis-Authentifizierung verfügt AUTH

• [CT. ELASTICBEANSTALK.PR.3] Benötige ein AWS Elastic Beanstalk Beanstalk-Umgebung soll über eine Logging-Konfiguration verfügen

• [CT. LAMBDA.PR.3] Benötige ein AWS Lambda Funktion, um sich in einer vom Kunden verwalteten Amazon Virtual Private Cloud zu befinden () VPC

• [CT. NEPTUNE.PR.1] Erfordert, dass ein Amazon Neptune Neptune-DB-Cluster über AWS Identity and Access Management () Datenbankauthentifizierung IAM

• [CT. NEPTUNE.PR.2] Für einen Amazon Neptune Neptune-DB-Cluster muss der Löschschutz aktiviert sein

• [CT. NEPTUNE.PR.3] Für einen Amazon Neptune Neptune-DB-Cluster muss die Speicherverschlüsselung aktiviert sein

• [CT. REDSHIFT.PR.8] Erfordert die Verschlüsselung eines Amazon Redshift Redshift-Clusters

• [CT.S3.PR.9] Erfordert, dass für einen Amazon S3 S3-Bucket S3 Object Lock aktiviert ist

• [CT.S3.PR.10] Für einen Amazon S3-Bucket muss die serverseitige Verschlüsselung konfiguriert sein mit AWS KMS keys

• [CT.S3.PR.11] Für einen Amazon S3 S3-Bucket muss die Versionierung aktiviert sein

• [CT. STEPFUNCTIONS.PR.1] Benötige ein AWS Step Functions State Machine muss die Protokollierung aktiviert haben

• [CT. STEPFUNCTIONS.PR.2] Benötige ein AWS Step Functions State Machine muss haben AWS X-Ray Tracing aktiviert

• [SH.S3.4] Bei S3-Buckets sollte die serverseitige Verschlüsselung aktiviert sein

• [CT.S3.PR.7] Für einen Amazon S3-Bucket muss die serverseitige Verschlüsselung konfiguriert sein

Globale Dienste und APIs hinzugefügt

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail (cloudtrail:LookupEvents) um die Sichtbarkeit globaler Ereignisse in den Mitgliedskonten zu ermöglichen.

• AWS Konsolidierte Abrechnung (consolidatedbilling:*)

• AWS Mobile Anwendung der Managementkonsole (consoleapp:*)

• AWS Kostenloses Kontingent (freetier:*)

• AWS Invoicing (invoicing:*)

• AWS IQ (iq:*)

• AWS Benutzerbenachrichtigungen (notifications:*)

• AWS Benutzerbenachrichtigungen Kontakte (notifications-contacts:*)

• Amazon Payments (payments:*)

• AWS Steuereinstellungen (tax:*)

Globale Dienste und APIs entfernt

• Wurde entfernts3:GetAccountPublic, weil es sich nicht um eine gültige Aktion handelt.

• Wurde entfernts3:PutAccountPublic, weil es sich nicht um eine gültige Aktion handelt.

• [sh.Account.1] Sicherheitskontaktinformationen sollten bereitgestellt werden für AWS-Konto

• [SH. APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

• [SH. APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

• [SH. CodeBuild.3] CodeBuild S3-Protokolle sollten verschlüsselt sein

• [SH. EC2.25] EC2 Startvorlagen sollten Netzwerkschnittstellen nicht öffentlich IPs zuweisen

• [SH. ELB.1] Der Application Load Balancer sollte so konfiguriert sein, dass alle HTTP Anfragen umgeleitet werden HTTPS

• [sh.RedShift.10] Redshift-Cluster sollten im Ruhezustand verschlüsselt werden

• [SH. SageMaker.2] SageMaker Notebook-Instances sollten in einer benutzerdefinierten Version gestartet werden VPC

• [SH. SageMaker.3] Benutzer sollten keinen Root-Zugriff auf SageMaker Notebook-Instanzen haben

• [SH. WAF.10] Ein WAFV2 Web ACL sollte mindestens eine Regel oder Regelgruppe haben

• Sie können die Standardeinstellung akzeptieren und AWS Control Tower die Einrichtung und Verwaltung erlauben. AWS IAMIdentity Center für Sie.

• Sie können wählen, ob Sie es selbst verwalten möchten AWS IAMIdentity Center, um Ihren spezifischen Geschäftsanforderungen gerecht zu werden.

• Sie können optional einen externen Identitätsanbieter hinzuziehen und diesen selbst verwalten, indem Sie ihn bei Bedarf über IAM Identity Center verbinden. Sie sollten die Optionalität eines Identitätsanbieters nutzen, wenn Ihr regulatorisches Umfeld die Nutzung eines bestimmten Anbieters erfordert, oder wenn Sie in folgenden Branchen tätig sind AWS-Regionen where AWS IAMIdentity Center ist nicht verfügbar.

OpenSearch Amazon-Dienst

• [CT. OPENSEARCH.PR.1] Erfordert eine Elasticsearch-Domain, um Daten im Ruhezustand zu verschlüsseln

• [KT. OPENSEARCH.PR.2] Erfordert, dass eine Elasticsearch-Domain in einem benutzerdefinierten Amazon erstellt wird VPC

• [KT. OPENSEARCH.PR.3] Erfordert eine Elasticsearch-Domain, um zwischen Knoten gesendete Daten zu verschlüsseln

• [KT. OPENSEARCH.PR.4] Erfordert eine Elasticsearch-Domain, um Fehlerprotokolle an Amazon Logs zu senden CloudWatch

• [KT. OPENSEARCH.PR.5] Erfordert eine Elasticsearch-Domain, um Audit-Logs an Amazon Logs zu senden CloudWatch

• [KT. OPENSEARCH.PR.6] Erfordert, dass eine Elasticsearch-Domain über Zone Awareness und mindestens drei Datenknoten verfügt

• [KT. OPENSEARCH.PR.7] Erfordert, dass eine Elasticsearch-Domain über mindestens drei dedizierte Master-Knoten verfügt

• [CT. OPENSEARCH.PR.8] Für die Verwendung ist eine Elasticsearch Service-Domain erforderlich. TLSv1

• [KT. OPENSEARCH.PR.9] Erfordert eine Amazon OpenSearch Service-Domain, um Daten im Ruhezustand zu verschlüsseln

• [KT. OPENSEARCH.PR.10] Erfordert, dass eine Amazon OpenSearch Service-Domain in einem benutzerdefinierten Amazon erstellt wird VPC

• [CT. OPENSEARCH.PR.11] Erfordert eine Amazon OpenSearch Service-Domain, um zwischen Knoten gesendete Daten zu verschlüsseln

• [KT. OPENSEARCH.PR.12] Erfordert eine Amazon OpenSearch Service-Domain, um Fehlerprotokolle an Amazon Logs zu senden CloudWatch

• [KT. OPENSEARCH.PR.13] Erfordert eine Amazon OpenSearch Service-Domain, um Audit-Logs an Amazon Logs zu senden CloudWatch

• [KT. OPENSEARCH.PR.14] Erfordert, dass eine Amazon OpenSearch Service-Domain über Zonenbewusstsein und mindestens drei Datenknoten verfügt

• [CT. OPENSEARCH.PR.15] Erfordert eine Amazon OpenSearch Service-Domain, um eine differenzierte Zugriffskontrolle nutzen zu können

• [CT. OPENSEARCH.PR.16] Für die Verwendung ist eine Amazon OpenSearch Service-Domain erforderlich. 2. TLSv1

Amazon EC2 Auto Scaling

• [CT. AUTOSCALING.PR.1] Eine Amazon EC2 Auto Scaling Scaling-Gruppe muss über mehrere Availability Zones verfügen

• [KT. AUTOSCALING.PR.2] Erfordert eine Amazon EC2 Auto Scaling Scaling-Gruppenstartkonfiguration, um EC2 Amazon-Instances zu konfigurieren für IMDSv2

• [KT. AUTOSCALING.PR.3] Eine Amazon EC2 Auto Scaling Scaling-Startkonfiguration erfordert ein Antwortlimit für Single-Hop-Metadaten

• [KT. AUTOSCALING.PR.4] Für eine Amazon EC2 Auto Scaling Scaling-Gruppe, die einem Amazon Elastic Load Balancing (ELB) zugeordnet ist, müssen ELB Integritätsprüfungen aktiviert sein

• [KT. AUTOSCALING.PR.5] Erfordern, dass eine Amazon EC2 Auto Scaling Scaling-Gruppenstartkonfiguration keine EC2 Amazon-Instances mit öffentlichen IP-Adressen enthält

• [KT. AUTOSCALING.PR.6] Erfordern, dass alle Amazon EC2 Auto Scaling Scaling-Gruppen mehrere Instance-Typen verwenden

• [KT. AUTOSCALING.PR.8] Für eine Amazon EC2 Auto Scaling Scaling-Gruppe müssen EC2 Startvorlagen konfiguriert sein

Amazon SageMaker

• [CT. SAGEMAKER.PR.1] Erfordert eine SageMaker Amazon-Notebook-Instance, um direkten Internetzugang zu verhindern

• [CT. SAGEMAKER.PR.2] Erfordert, dass SageMaker Amazon-Notebook-Instances in einem benutzerdefinierten Amazon bereitgestellt werden VPC

• [KT. SAGEMAKER.PR.3] Erfordert, dass Amazon SageMaker Amazon-Notebook-Instances der Root-Zugriff verweigert wird

APIAmazon-Gateway

• [CT. APIGATEWAY.PR.5] Erfordert, dass Amazon API Gateway V2 Websocket und HTTP Routes einen Autorisierungstyp angeben

Amazon Relational Database Service () RDS

• [CT. RDS.PR.25] Für einen RDS Amazon-Datenbank-Cluster muss die Protokollierung konfiguriert sein

• Was ist Amazon CloudWatch Logs? im Amazon CloudWatch Logs-Benutzerhandbuch

• Was ist AWS Step Functions? in der AWS Step Functions Leitfaden für Entwickler

• Mit dieser Version deaktiviert AWS Control Tower die unnötige Zugriffsprotokollierung für Ihren Access Logging Bucket, den Amazon S3 S3-Bucket, in dem Zugriffsprotokolle im Log Archive-Konto gespeichert werden, während die Serverzugriffsprotokollierung für S3-Buckets weiterhin aktiviert wird. Diese Version enthält auch Aktualisierungen der Steuerung „Region Deny“, die zusätzliche Aktionen für globale Dienste ermöglichen, wie z. B. AWS Support Pläne und AWS Artifact.

• Die Deaktivierung der Serverzugriffsprotokollierung für den AWS Control Tower Tower-Zugriffs-Logging-Bucket veranlasst Security Hub, aufgrund eines AWS Security Hub Regel: [S3.9] Die Zugriffsprotokollierung für den S3-Bucket-Server sollte aktiviert sein. In Übereinstimmung mit Security Hub empfehlen wir, dass Sie dieses spezielle Ergebnis unterdrücken, wie in der Security Hub Hub-Beschreibung dieser Regel angegeben. Weitere Informationen finden Sie unter Informationen zu unterdrückten Ergebnissen.

• Die Zugriffsprotokollierung für den (regulären) Logging-Bucket im Log Archive-Konto ist in Version 3.1 unverändert. Gemäß den bewährten Methoden werden Zugriffsereignisse für diesen Bucket als Protokolleinträge im Access-Logging-Bucket aufgezeichnet. Weitere Informationen zur Zugriffsprotokollierung finden Sie unter Protokollierung von Anfragen mithilfe der Serverzugriffsprotokollierung in der Amazon S3 S3-Dokumentation.

• Wir haben die Steuerung „Region Deny“ aktualisiert. Dieses Update ermöglicht Aktionen durch mehr globale Dienste. Einzelheiten dazu finden Sie SCP unter Zugriff verweigern auf AWS basierend auf dem angeforderten AWS-Regionund Kontrollen, die den Schutz der Datenspeicherung verbessern.

  Globale Dienste wurden hinzugefügt:

  • AWS Account Management (account:*)

  • AWS Aktivieren (activate:*)

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • Amazon ECR (ecr-public:*)

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS Lightsail () lightsail:Get*

  • AWS Ressourcen Explorer (resource-explorer-2:*)

  • Amazon S3 (s3:CreateMultiRegionAccessPoint,s3:GetBucketPolicyStatus,s3:PutMultiRegionAccessPointPolicy)

  • AWS Savings Plans (savingsplans:*)

  • IAMIdentitätszentrum (sso:*)

  • AWS Support App (supportapp:*)

  • AWS Support Pläne (supportplans:*)

  • AWS Nachhaltigkeit (sustainability:*)

  • AWS Resource Groups Tagging API (tag:GetResources)

  • AWS Marketplace Einblicke von Anbietern (vendor-insights:ListEntitledSecurityProfiles)