Januar 2024 - Heute - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Januar 2024 - Heute

Seit Januar 2024 hat AWS Control Tower die folgenden Updates veröffentlicht:

AWSControl Tower unterstützt bis zu 1000 Konten pro OU

30. August 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

AWSControl Tower hat die maximal zulässige Anzahl von Konten pro Organisationseinheit (OU) von 300 auf 1000 erhöht. Jetzt können Sie bis zu 1000 registrieren AWS-Konten sofort in die AWS Control Tower Tower-Governance, ohne Ihre Organisationsstruktur zu ändern. Die OU-Registrierungs- und Neuregistrierungsprozesse sind ebenfalls effizienter und erfordern deutlich weniger Zeit für die Bereitstellung von AWS Control Tower Tower-Basisressourcen für Ihre Konten.

Aufgrund der begrenzten Anzahl von Konten gelten weiterhin einige Einschränkungen AWS CloudFormation Stack-Sets verfügbar. Insbesondere kann die maximale Anzahl von Konten, die Sie in einer Organisationseinheit registrieren können, unterschiedlich sein, je nachdem, wie viele Regionen Sie verwalten. Weitere Informationen finden Sie unter Einschränkungen je nach Basiswert AWS Dienste im AWSControl Tower Tower-Benutzerhandbuch. Für eine vollständige Liste von AWS-Regionen wo AWS Control Tower verfügbar ist, siehe AWS-Region Tabelle.

AWSControl Tower fügt die Auswahl der Landezonenversion hinzu

15. August 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

Wenn du AWS Control Tower Landing Zone Version 3.1 und höher verwendest, kannst du deine landing zone auf der aktuellen Version aktualisieren oder reparieren, oder du kannst ein Upgrade auf eine Version deiner Wahl durchführen. Bisher war für jedes Update oder jede Reparatur der landing zone ein Upgrade auf die neueste Landezonenversion erforderlich.

Mit der Auswahl der Landingzone-Version haben Sie mehr Flexibilität bei der Planung von Versionsupgrades, während Sie mögliche Änderungen an Ihrer Umgebung evaluieren. Sie müssen sich nicht entscheiden, ob Sie Drift reparieren, um die Vorschriften einzuhalten, Ihre Landezonenkonfigurationen aktualisieren oder auf die neueste Landezonenversion aktualisieren möchten. Wenn Sie Landing Zone Version 3.1 oder höher verwenden, können Sie wählen, ob Sie bei der aktuellen Version bleiben oder auf eine neuere Version aktualisieren möchten, wenn Sie Ihre landing zone Zone-Konfigurationen aktualisieren oder zurücksetzen.

Beschreibende Steuerung API verfügbar, erweiterter Zugriff auf Regionen und Steuerelemente

6. August 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

AWSControl Tower hat zwei neue API Operationen hinzugefügt, mit denen Sie programmgesteuert weitere Informationen zu verfügbaren Steuerungen finden können. Diese Funktionalität erleichtert die Bereitstellung automatisierter Steuerungen.

  • Das GetControlAPIgibt Details zu einer aktivierten Steuerung zurück, einschließlich der Ziel-ID, einer Zusammenfassung der Steuerinformationen, einer Liste der Zielregionen und des Drift-Status.

  • Das ListControlsAPIgibt eine paginierte Liste aller verfügbaren Steuerelemente in der AWS Control Tower Tower-Steuerelementbibliothek zurück.

Diese erreichen APIs Sie über den AWS Steuern Sie den Katalog-Namespace. Das Tool AWS Control Catalog ist ein Teil von AWS Control Tower, der Steuerungen enthält, mit denen Sie andere verwalten können AWS Dienstleistungen, nicht nur AWS Control Tower. Dieser erweiterte Katalog konsolidiert Steuerungen aus mehreren AWS Dienste, sodass Sie sie sich ansehen können AWS Die Steuerung richtet sich nach einigen gängigen Anwendungsfällen, z. B. in Bezug auf Sicherheit, Kosten, Haltbarkeit und Betrieb. Weitere Informationen finden Sie in der Control Catalog API Reference.

Erweiterte Verfügbarkeit in der Region

Ab dieser Version können Sie AWS Control Tower Governance erweitern auf AWS-Regionen wo einige Ihrer (bereits) aktivierten Steuerungen nicht verfügbar sind. Außerdem können Sie jetzt bestimmte Steuerungen in mehr Regionen aktivieren, auch wenn die Steuerung nicht in allen von Ihnen verwalteten Regionen unterstützt wird.

Bisher hinderte AWS Control Tower Sie daran, die Steuerung auf Regionen auszudehnen oder Kontrollen zu aktivieren, obwohl es nicht für Konsistenz in all Ihren aktivierten Kontrollen und verwalteten Regionen sorgte. Mit dieser Version haben Sie mehr Flexibilität und mehr Verantwortung, um sicherzustellen, dass Ihre Konfiguration für alle aktivierten Kontrollen und alle kontrollierten Regionen korrekt ist. Die AWSControl Tower Tower-Steuerung APIs und der Kontrollkatalog APIs können Ihnen helfen, Informationen zu erhalten über AWS Regionen, in denen Sie durch aktivierte Kontrollen geschützt sind, und Regionen, in denen zusätzliche Kontrollen eingesetzt werden können. Regions- und Steuerinformationen sind auch in der AWS Control Tower Tower-Konsole verfügbar.

AWSControl Tower unterstützt AFT und CFCT in Opt-in-Regionen

18. Juli 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

Heute sind die AWS Control Tower-Anpassungsframeworks Account Factory for Terraform (AFT) und Customizations for AWS Control Tower (cFCT) in fünf weiteren Versionen verfügbar AWS-Regionen: Asien-Pazifik (Hyderabad, Jakarta und Osaka), Israel (Tel Aviv) und Naher Osten (). UAE

Account Factory for Terraform (AFT) richtet eine Terraform-Pipeline ein, mit der Sie Konten im Control Tower bereitstellen und anpassen können. AWS Customizations for AWS Control Tower (cFCT) hilft dir, deine AWS Control Tower Tower-Landezone und Accounts individuell anzupassen mit AWS CloudFormation Vorlagen und Richtlinien zur Dienstkontrolle ()SCPs.

Weitere Informationen finden Sie auf den Seiten Account Factory for Terraform und Customizations for AWS Control Tower im Control Tower AWS Tower-Benutzerhandbuch. Möglicherweise möchten Sie auch die Versionshinweise auf der AFT Github-Seite und der CfCT Github-Seite lesen. AFTund cFCT werden in allen unterstützt AWS Regionen, mit einigen Ausnahmen. Einzelheiten finden Sie unter Einschränkungen für Regionen.

AWSControl Tower fügt das hinzu ListLandingZoneOperations API

26. Juni 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

AWSDer Control Tower hat eine Funktion hinzugefügtAPI, mit der Sie eine Liste der Operationen abrufen können, die kürzlich auf Ihre landing zone angewendet wurden, und der Operationen, die derzeit ausgeführt werden. APISie können den Verlauf der Landezonenoperationen und deren Identifikatoren für bis zu 90 Tage zurückgeben. Anwendungsbeispiele finden Sie unter Status Ihrer Landezonenoperationen anzeigen.

Weitere Informationen dazu finden Sie ListLandingZoneOperationsin der ListLandingZoneOperations API AWSControl Tower API Tower-Referenz.

AWSControl Tower unterstützt bis zu 100 gleichzeitige Steuervorgänge

20. Mai 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

AWSControl Tower unterstützt jetzt mehrere Steuervorgänge mit höherer Parallelität. Sie können bis zu 100 AWS Control Tower Tower-Kontrolloperationen für mehrere Organisationseinheiten (OUs) gleichzeitig von der Konsole aus oder mit einreichenAPIs. Bis zu zehn (10) Operationen können gleichzeitig ausgeführt werden, und die zusätzlichen werden in die Warteschlange gestellt. Auf diese Weise können Sie eine standardisiertere Konfiguration für mehrere einrichten AWS-Konten, ohne die betriebliche Belastung durch sich wiederholende Kontrollvorgänge.

Um den Status Ihrer laufenden und in der Warteschlange befindlichen Kontrollvorgänge zu überwachen, können Sie in der AWS Control Tower Tower-Konsole zur neuen Seite „Letzte Operationen“ navigieren oder die neue ListControlOperationsAPISeite aufrufen.

Die AWS Control Tower Tower-Bibliothek enthält mehr als 500 Steuerelemente, die unterschiedlichen Kontrollzielen, Frameworks und Services zugeordnet sind. Für ein bestimmtes Kontrollziel, wie z. B. Daten im Ruhezustand verschlüsseln, können Sie mehrere Kontrollen mit einem einzigen Kontrollvorgang aktivieren, um das Ziel zu erreichen. Diese Funktion ermöglicht eine beschleunigte Entwicklung, ermöglicht eine schnellere Einführung von Best-Practice-Kontrollen und verringert die betriebliche Komplexität.

AWSControl Tower verfügbar in AWS Kanada West (Calgary)

3. Mai 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

Ab heute können Sie den AWS Control Tower in der Region Canada West (Calgary) aktivieren. Wenn Sie den AWS Control Tower bereits installiert haben und seine Governance-Funktionen auf diese Region ausweiten möchten, können Sie dies mit der AWS Control Tower Tower-Landezone tunAPIs. Oder rufen Sie von der Konsole aus die Seite „Einstellungen“ in Ihrem AWS Control Tower Tower-Dashboard auf, wählen Sie Ihre Regionen aus und aktualisieren Sie dann Ihre landing zone.

Die Region Kanada West (Calgary) unterstützt nicht AWS Service Catalog. Aus diesem Grund unterscheiden sich einige Funktionen von AWS Control Tower. Die bemerkenswerteste Änderung der Funktionalität ist, dass Account Factory nicht verfügbar ist. Wenn Sie Kanada West (Calgary) als Ihre Heimatregion wählen, unterscheiden sich die Verfahren für die Aktualisierung von Konten, die Einrichtung von Kontoautomatisierungen und alle anderen Prozesse, die Service Catalog beinhalten, von denen in anderen Regionen.

Konten bereitstellen

Um ein neues Konto in der Region Canada West (Calgary) zu erstellen und bereitzustellen, empfehlen wir Ihnen, ein Konto außerhalb von AWS Control Tower zu erstellen und es dann bei einer registrierten OU zu registrieren. Weitere Informationen finden Sie unter Registrierung eines bestehenden Kontos und Schritte zur Registrierung eines Kontos.

Der Service Catalog APIs ist in der Region Kanada West (Calgary) nicht verfügbar. Das in Automate Account Provisioning in AWS Control Tower by Service Catalog gezeigte Beispielskript APIs ist nicht funktionsfähig.

Account Factory-Anpassungen (AFC), Account Factory for Terraform (AFT) und Customizations for AWS Control Tower (cFCT) sind in Canada West (Calgary) nicht verfügbar, da andere zugrunde liegende Abhängigkeiten für Control Tower fehlen. AWS Wenn Sie die Verwaltung auf die Region Canada West (Calgary) ausweiten, können Sie weiterhin AFC Blueprints in allen Regionen verwalten, die AWS Control Tower unterstützt, solange der Service Catalog in Ihrer Heimatregion verfügbar ist.

Steuerungen

Proaktive Kontrollen und Kontrollen für die AWS Security Hub Service-Managed Standard: AWS Control Tower sind in der Region Kanada West (Calgary) nicht verfügbar. Die präventive Kontrolle CT.CLOUDFORMATION.PR.1 ist in Canada West (Calgary) nicht verfügbar, da sie nur für die Aktivierung der hakenbasierten, proaktiven Kontrollen erforderlich ist. Bestimmte detektivische Kontrollen basieren auf AWS Config sind nicht verfügbar. Details hierzu finden Sie unter Einschränkungen der Kontrolle.

Identitätsanbieter

IAMIdentity Center ist in Canada West (Calgary) nicht verfügbar. Es empfiehlt sich, Ihre landing zone in einer Region einzurichten, in der IAM Identity Center verfügbar ist. Alternativ haben Sie die Möglichkeit, Ihre Kontozugriffskonfiguration selbst zu verwalten, wenn Sie einen externen Identitätsanbieter in Canada West (Calgary) verwenden.

Die Nichtverfügbarkeit des Service Catalog in der Region Kanada West (Calgary) hat keine Auswirkungen auf andere Regionen, die von AWS Control Tower unterstützt werden. Diese Unterschiede gelten nur, wenn Ihre Heimatregion Kanada West (Calgary) ist.

Eine vollständige Liste der Regionen, in denen der AWS Control Tower verfügbar ist, finden Sie auf AWS Tabelle der Regionen.

AWSControl Tower unterstützt Self-Service-Kontingentanpassungen

25. April 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

AWSControl Tower unterstützt jetzt Self-Service-Kontingentanpassungen über die Service Quotas Quotas-Konsole. Weitere Informationen finden Sie unter Anfordern einer Kontingenterhöhung.

AWSControl Tower veröffentlicht den Controls Reference Guide

21. April 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

AWSControl Tower hat den Controls Reference Guide veröffentlicht, ein neues Dokument, in dem Sie detaillierte Informationen zu den Steuerungen finden, die für die AWS Control Tower Tower-Umgebung spezifisch sind. Zuvor war dieses Material im AWSControl Tower Tower-Benutzerhandbuch enthalten. Das Referenzhandbuch für Steuerungen behandelt Steuerungen in einem erweiterten Format. Weitere Informationen finden Sie im Referenzhandbuch für AWS Control Tower Controls.

AWSControl Tower aktualisiert und benennt zwei proaktive Steuerungen um

26. März 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

AWSControl Tower hat zwei proaktive Kontrollen umbenannt, um sie an die Aktualisierungen von Amazon OpenSearch Service anzupassen.

Wir haben die Kontrollnamen und die Artefakte für diese beiden Kontrollen aktualisiert, um sie an die aktuelle Version von Amazon OpenSearch Service anzupassen, die jetzt Transport Layer Security (TLS) Version 1.3 unter ihren Transportsicherheitsoptionen für die Sicherheit von Domänenendpunkten unterstützt.

Um Unterstützung für TLSv1 .3 für diese Steuerelemente hinzuzufügen, haben wir das Artefakt und den Namen der Kontrollen aktualisiert, um die Absicht der Steuerung widerzuspiegeln. Sie bewerten jetzt die TLS Mindestversion der Dienstdomäne. Um dieses Update in Ihrer Umgebung durchzuführen, müssen Sie die Steuerelemente deaktivieren und aktivieren, um das neueste Artefakt bereitzustellen.

Keine anderen proaktiven Kontrollen sind von dieser Änderung betroffen. Wir empfehlen Ihnen, diese Kontrollen zu überprüfen, um sicherzustellen, dass sie Ihren Kontrollzielen entsprechen.

Bei Fragen oder Bedenken wenden Sie sich an AWS Support.

Veraltete Steuerelemente sind nicht mehr verfügbar

12. März 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

AWSControl Tower hat einige Steuerelemente als veraltet markiert. Diese Steuerungen sind nicht mehr verfügbar.

  • CT.ATHENA.PR.1

  • CT.CODEBUILD.PR.4

  • CT.AUTOSCALING.PR.3

  • SH.Athena.1

  • SH.Codebuild.5

  • SH.AutoScaling.4

  • SH.SNS.1

  • SH.SNS.2

AWSControl Tower unterstützt das Markieren von EnabledControl Ressourcen in AWS CloudFormation

22. Februar 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

Diese AWS Control Tower Tower-Version aktualisiert das Verhalten der EnabledControl Ressource, um es besser an konfigurierbare Steuerungen anzupassen und die Fähigkeit zu verbessern, Ihre AWS Control Tower Tower-Umgebung automatisiert zu verwalten. Mit dieser Version können Sie Tags zu konfigurierbaren EnabledControl Ressourcen hinzufügen, indem Sie AWS CloudFormation Vorlagen. Bisher konnten Sie Tags APIs nur über die AWS Control Tower Tower-Konsole hinzufügen.

Der AWS Control Tower GetEnabledControl und die ListTagsforResource API Operationen wurden mit dieser Version aktualisiert, da sie von der EnabledControl Ressourcenfunktionalität abhängen. EnableControl

Weitere Informationen finden Sie unter EnabledControlTagging-Ressourcen im AWS Control Tower und EnabledControlim AWS CloudFormation Benutzerleitfaden.

AWSControl Tower unterstützt die APIs Registrierung und Konfiguration von Organisationseinheiten mit Baselines

14. Februar 2024

(Für die landing zone des AWS Control Tower ist kein Update erforderlich.)

Diese APIs unterstützen die programmatische Registrierung von Organisationseinheiten zusammen mit dem EnableBaseline Anruf. Wenn Sie eine Baseline für eine OU aktivieren, werden Mitgliedskonten innerhalb der OU bei AWS Control Tower Governance registriert. Es können bestimmte Vorbehalte gelten. Beispielsweise ermöglicht die OU-Registrierung über die AWS Control Tower Tower-Konsole sowohl optionale als auch obligatorische Kontrollen. Wenn Sie anrufenAPIs, müssen Sie möglicherweise einen zusätzlichen Schritt ausführen, damit optionale Steuerungen aktiviert werden.

Eine AWS Control Tower Tower-Baseline beinhaltet bewährte Methoden für die AWS Control Tower Tower-Governance einer Organisationseinheit und Mitgliedskonten. Wenn Sie beispielsweise eine Baseline für eine Organisationseinheit aktivieren, erhalten Mitgliedskonten innerhalb der Organisationseinheit eine definierte Gruppe von Ressourcen, darunter AWS CloudTrail, AWS Config, IAM Identity Center und erforderlich AWS IAMRollen.

Bestimmte Baselines sind mit bestimmten AWS Control Tower Tower-Landezonenversionen kompatibel. AWSControl Tower kann die neueste kompatible Basislinie auf Ihre landing zone anwenden, wenn Sie Ihre Landezoneneinstellungen ändern. Weitere Informationen finden Sie unter Kompatibilität von OU-Baselines und Landing-Zone-Versionen.

Diese Version enthält vier wichtige Arten von Basislinien
  • AWSControlTowerBaseline

  • AuditBaseline

  • LogArchiveBaseline

  • IdentityCenterBaseline

Mit den neuen APIs und definierten Baselines können Sie Ihren OU-Bereitstellungs-Workflow registrieren OUs und automatisieren. Sie können APIs auch diejenigen verwaltenOUs, die bereits unter der Kontrolle des AWS Control Tower stehen, sodass Sie sich OUs nach Aktualisierungen der landing zone erneut registrieren können. Sie APIs beinhalten Unterstützung für ein AWS CloudFormation EnabledBaselineRessource, OUs mit der Sie Ihre Infrastruktur als Code (IaC) verwalten können.

Grundlinie APIs
  • EnableBaseline, UpdateEnabledBaseline, DisableBaseline: Ergreifen Sie Maßnahmen auf Grundlage einer Basislinie für eine Organisationseinheit.

  • GetEnabledBaseline, ListEnabledBaselines: Entdecken Sie Konfigurationen für Ihre aktivierten Baselines.

  • GetBaselineOperation: Zeigt den Status eines bestimmten Basisvorgangs an.

  • ResetEnabledBaseline: Korrigiert Ressourcenverschiebungen auf einer Organisationseinheit mit aktivierter Baseline (einschließlich verschachtelter OUs und obligatorischer Kontrollabweichungen). Behebt auch Drift bei der Deny-Control-Einstellung in der Region landing-zone-level

  • GetBaseline, ListBaselines: Entdecken Sie den Inhalt der AWS Control Tower Tower-Baselines.

Weitere Informationen dazu finden Sie unter APIs Baselines im AWS Control Tower Tower-Benutzerhandbuch und in der API Referenz. Die neuen APIs sind verfügbar in AWS-Regionen wo AWS Control Tower verfügbar ist, mit Ausnahme der Regionen GovCloud (USA). Für eine Liste AWS-Regionen wo AWS Control Tower verfügbar ist, siehe AWS-Region Tabelle.