De enero a diciembre de 2023

• Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 3)

• Zona de aterrizaje de AWS Control Tower, versión 3.3

• Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 2)

• AWS Control Tower anuncia controles para ayudar a la soberanía digital

• AWS Control Tower es compatible con landing zone APIs

• AWS Control Tower admite el etiquetado de controles habilitados

• AWS Control Tower está disponible en la región de Asia-Pacífico (Melbourne)

• Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 1)

• Nueva API de control disponible

• AWS Control Tower añade controles adicionales

• Nuevo tipo de desviación notificado: acceso de confianza deshabilitado

• Cuatro adicionales Regiones de AWS

• AWS Control Tower está disponible en la región de Tel Aviv

• AWS Control Tower lanza 28 nuevos controles proactivos

• AWS Control Tower descarta dos controles

• Zona de aterrizaje de AWS Control Tower, versión 3.2

• AWS Control Tower gestiona cuentas en función del ID

• Controles de detección adicionales de Security Hub disponibles en la biblioteca de controles de AWS Control Tower

• AWS Control Tower publica tablas de metadatos de control

• Compatibilidad de Terraform para la personalización del generador de cuentas

• AWS La autogestión del IAM Identity Center está disponible para landing zone

• AWS Control Tower aborda la gobernanza mixta para OUs

• Controles proactivos adicionales disponibles

• Controles EC2 proactivos de Amazon actualizados

• Hay siete más disponibles Regiones de AWS

• Seguimiento de solicitudes de personalización de cuentas del generador de cuentas para Terraform (AFT)

• Zona de aterrizaje de AWS Control Tower, versión 3.1

• Controles proactivos disponibles con carácter general

Actualizaciones del control de denegación de regiones de la zona de aterrizaje

• Se ha eliminado discovery-marketplace:. Esta acción está cubierta por la exención aws-marketplace:*.

• Se ha agregado quicksight:DescribeAccountSubscription

Nuevos controles proactivos

• CT.APIGATEWAY.PR.6: Exija que un dominio REST de Amazon API Gateway utilice una política de seguridad que especifique una versión mínima del protocolo TLS de .2 TLSv1

• CT.APPSYNC.PR.2: Requiere que se configure una API de AWS AppSync GraphQL con visibilidad privada

• CT.APPSYNC.PR.3: Exigir que una API de AWS AppSync GraphQL no esté autenticada con claves de API

• CT.APPSYNC.PR.4: Requiere una caché de API AWS AppSync GraphQL para activar el cifrado en tránsito.

• CT.APPSYNC.PR.5: Requiere una caché de API AWS AppSync GraphQL para activar el cifrado en reposo.

• CT.AUTOSCALING.PR.9: Requerir un volumen de Amazon EBS configurado mediante una configuración de lanzamiento de Amazon EC2 Auto Scaling para cifrar los datos en reposo

• CT.AUTOSCALING.PR.10: Exigir que un grupo de Amazon EC2 Auto Scaling utilice solo tipos de instancias AWS Nitro al anular una plantilla de lanzamiento

• CT.AUTOSCALING.PR.11: Exija que solo los tipos de instancias de AWS Nitro que admitan el cifrado del tráfico de red entre instancias se agreguen a un grupo de Amazon EC2 Auto Scaling, al anular una plantilla de lanzamiento

• CT.DAX.PR.3: Cómo requerir que un clúster de DynamoDB Accelerator cifre datos en tránsito con seguridad de la capa de transporte (TLS)

• CT.DMS.PR.2: Requerir un punto final del AWS Database Migration Service (DMS) para cifrar las conexiones de los puntos finales de origen y destino

• CT.EC2.PR.15: Exigir que una EC2 instancia de Amazon utilice un tipo de instancia AWS Nitro al crear a partir del tipo de AWS::EC2::LaunchTemplate recurso

• CT.EC2.PR.16: Exigir que una EC2 instancia de Amazon utilice un tipo de instancia AWS Nitro cuando se cree con el tipo de AWS::EC2::Instance recurso

• CT.EC2.PR.17: Requerir un host EC2 dedicado de Amazon para usar un tipo de instancia AWS Nitro

• CT.EC2.PR.18: Exija que una EC2 flota de Amazon anule solo las plantillas de lanzamiento con tipos de instancias de AWS Nitro

• CT.EC2.PR.19: Exigir que una EC2 instancia de Amazon utilice un tipo de instancia nitro que admita el cifrado en tránsito entre instancias cuando se crea con el AWS::EC2::Instance tipo de recurso

• CT.EC2.PR.20: Exigir que una EC2 flota de Amazon anule solo las plantillas de lanzamiento con tipos de instancias AWS Nitro que admitan el cifrado en tránsito entre instancias

• CT.ELASTICACHE.PR.8: Requerir un grupo de ElastiCache replicación de Amazon de versiones posteriores de Redis para activar la autenticación RBAC

• CT.MQ.PR.1: Cómo requerir que un agente de ActiveMQ de Amazon MQ utilice el modo de implementación activo/en espera para obtener una alta disponibilidad

• CT.MQ.PR.2: Cómo requerir que un agente MQ de Amazon MQ Rabbit utilice el modo de clúster multi-AZ para obtener una alta disponibilidad

• CT.MSK.PR.1: Cómo requerir que un clúster de Amazon Managed Streaming para Apache Kafka (MSK) aplique cifrado en tránsito entre los nodos del agente del clúster

• CT.MSK.PR.2: Requiere que un clúster de Amazon Managed Streaming for Apache Kafka (MSK) esté configurado con deshabilitado PublicAccess

• CT.NETWORK-FIREWALL.PR.5: Exigir AWS la implementación de un firewall de Network Firewall en varias zonas de disponibilidad

• CT.RDS.PR.26: Cómo requerir que un proxy de base de datos de Amazon RDS exija conexiones de seguridad de la capa de transporte (TLS)

• CT.RDS.PR.27: Cómo requerir que un grupo de parámetros de clúster de base de datos de Amazon RDS exija conexiones de seguridad de la capa de transporte (TLS) para los tipos de motores compatibles

• CT.RDS.PR.28: Cómo requerir que un grupo de parámetros de base de datos de Amazon RDS exija conexiones de seguridad de la capa de transporte (TLS) para los tipos de motores compatibles

• CT.RDS.PR.29: Exigir que un clúster de Amazon RDS no esté configurado para que sea de acceso público mediante la propiedad 'PubliclyAccessible'

• CT.RDS.PR.30: Cómo requerir que una instancia de base de datos de Amazon RDS tenga cifrado en reposo configurado para utilizar una clave de KMS que especifique para los tipos de motores compatibles

• CT.S3.PR.12: Cómo requerir que un punto de acceso de Amazon S3 tenga una configuración Bloquear acceso público (BPA) con todas las opciones establecidas en true

Nuevos controles preventivos

• CT.APPSYNC.PV.1 Exigir que una API de AWS AppSync GraphQL esté configurada con visibilidad privada

• CT.EC2.PV.1 Exigir que se cree una instantánea de Amazon EBS a partir de un volumen cifrado EC2

• CT.EC2.PV.2 Exija que un volumen de Amazon EBS adjunto esté configurado para cifrar los datos en reposo

• CT.EC2.PV.3 Exigir que una instantánea de Amazon EBS no pueda restaurarse públicamente

• CT.EC2.PV.4 Exigir que no APIs se llame a Amazon EBS direct

• CT.EC2.PV.5 No permitir el uso de la importación y exportación de Amazon EC2 VM

• CT.EC2.PV.6 No permitir el uso de acciones obsoletas de Amazon EC2 RequestSpotFleet y API RequestSpotInstances

• CT.KMS.PV.1 Exija una política AWS KMS clave para incluir una declaración que limite la creación de AWS KMS subvenciones a los servicios AWS

• CT.KMS.PV.2 Exija que una clave AWS KMS asimétrica con material de clave RSA que se utilice para el cifrado no tenga una longitud de clave de 2048 bits

• CT.KMS.PV.3 Exija que la AWS KMS clave esté configurada con la comprobación de seguridad de bloqueo por política de elusión activada

• CT.KMS.PV.4 Exigir que una clave AWS KMS gestionada por el cliente (CMK) esté configurada con material clave originado en CloudHSM AWS

• CT.KMS.PV.5 Exija que una clave AWS KMS gestionada por el cliente (CMK) esté configurada con material clave importado

• CT.KMS.PV.6 Exija que una clave AWS KMS gestionada por el cliente (CMK) esté configurada con material clave procedente de un almacén de claves externo (XKS)

• CT.LAMBDA.PV.1 Requiere una URL de AWS Lambda función para usar la autenticación basada en IAM AWS

• CT.LAMBDA.PV.2 Requiere que AWS Lambda la URL de una función esté configurada para que solo puedan acceder a ella los directores de su Cuenta de AWS

• CT.MULTISERVICE.PV.1: Denegar el acceso a una unidad organizativa AWS en función de lo solicitado Región de AWS

Nuevos controles de detección

• SH.ACM.2: Los certificados RSA administrados por ACM deben usar una longitud de clave de al menos 2048 bits

• SH.AppSync.5: AWS AppSync GraphQL no APIs debe autenticarse con claves de API

• SH.CloudTrail.6: Asegúrese de que el depósito de S3 utilizado para almacenar CloudTrail los registros no sea de acceso público:

• SH.DMS.9: Los puntos finales del DMS deben usar SSL

• SH.DocumentDB.3: Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

• SH.DynamoDB.3: Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

• SH.EC2.23: EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de adjuntos de VPC

• SH.EKS.1: Los puntos de conexión del clúster EKS no deben ser de acceso público

• SH.ElastiCache.3: los grupos ElastiCache de replicación deberían tener habilitada la conmutación por error automática

• SH.ElastiCache.4: los grupos ElastiCache de replicación deberían estar habilitados encryption-at-rest

• SH.ElastiCache.5: los grupos de ElastiCache replicación deberían estar encryption-in-transit habilitados

• SH.ElastiCache.6: los grupos de ElastiCache replicación de versiones anteriores de Redis deberían tener habilitada la autenticación de Redis

• SH.EventBridge.3: los buses EventBridge de eventos personalizados deben tener adjunta una política basada en los recursos

• SH.KMS.4: la rotación de AWS KMS claves debe estar habilitada

• SH.Lambda.3: Las funciones de Lambda deben estar en una VPC

• SH.MQ.5: Los agentes de ActiveMQ deben usar el modo de implementación activo/en espera

• SH.MQ.6: Los agentes de RabbitMQ deberían usar el modo de implementación de clústeres

• SH.MSK.1: Los clústeres de MSK deben cifrarse en tránsito entre los nodos de los agentes

• SH.RDS.12: La autenticación de IAM debe configurarse para los clústeres de RDS

• SH.RDS.15: Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad

• SH.S3.17: Los cubos S3 deben cifrarse en reposo con claves AWS KMS

• La API EnableControl actualizada puede configurar controles que son configurables.

• La API GetEnabledControl actualizada muestra los parámetros configurados en un control habilitado.

• La nueva API UpdateEnabledControl puede cambiar los parámetros de un control habilitado.

• CreateLandingZone: esta llamada a la API crea una zona de aterrizaje mediante una versión de zona de aterrizaje y un archivo de manifiesto.

• GetLandingZoneOperation: esta llamada a la API devuelve el estado de una operación de zona de aterrizaje específica.

• GetLandingZone: esta llamada a la API devuelve detalles sobre la zona de aterrizaje especificada, incluida la versión, el archivo de manifiesto y el estado.

• UpdateLandingZone: esta llamada a la API actualiza la versión de la zona de aterrizaje o el archivo de manifiesto.

• ListLandingZone: esta llamada a la API devuelve un identificador de zona de aterrizaje (ARN) para una configuración de zona de aterrizaje en la cuenta de administración.

• ResetLandingZone: esta llamada a la API restablece la zona de aterrizaje a los parámetros especificados en la última actualización, lo que puede reparar la desviación. Si la zona de aterrizaje no se ha actualizado, esta llamada restablece la zona de aterrizaje a los parámetros especificados en el momento de la creación.

• DeleteLandingZone: esta llamada a la API retira el servicio de la zona de aterrizaje.

• TagResource: esta llamada a la API añade etiquetas a los controles habilitados en AWS Control Tower.

• UntagResource: esta llamada a la API elimina las etiquetas de los controles habilitados en AWS Control Tower.

• ListTagsForResource: esta llamada a la API devuelve etiquetas de los controles habilitados en AWS Control Tower.

• GetEnabledControl: la llamada a la API proporciona detalles sobre un control habilitado.

• Obtenga una lista de todos los controles que ha habilitado en la biblioteca de controles de AWS Control Tower.

• Para cualquier control habilitado, puede obtener información sobre las regiones en las que se admite, el identificador del control (ARN), el estado de desviación del control y el resumen del estado del control.

Nuevos controles proactivos

• [CT.ATHENA.PR.1] Requerir un grupo de trabajo de Amazon Athena para cifrar los resultados de las consultas de Athena en reposo

• [CT.ATHENA.PR.2] Requerir que un grupo de trabajo de Amazon Athena cifre los resultados de las consultas de Athena en reposo con una clave (KMS) AWS Key Management Service

• [CT.CLOUDTRAIL.PR.4] Requiere un almacén de datos de eventos de AWS CloudTrail Lake para permitir el cifrado en reposo con una clave AWS KMS

• [CT.DAX.PR.2] Requiere un clúster de Amazon DAX para implementar nodos en al menos tres zonas de disponibilidad

• [CT.EC2.PR.14] Exija un volumen de Amazon EBS configurado mediante una plantilla de EC2 lanzamiento de Amazon para cifrar los datos en reposo

• [CT.EKS.PR.2] Exigir que un clúster de Amazon EKS se configure con cifrado secreto mediante AWS claves del Servicio de administración de claves (KMS)

• [CT.ELASTICLOADBALANCING.PR.14] Requiere un Network Load Balancer para activar el equilibrio de carga entre zonas

• [CT.ELASTICLOADBALANCING.PR.15] Exigir que un grupo objetivo de Elastic Load Balancing v2 no deshabilite explícitamente el equilibrio de cargas entre zonas

• [CT.EMR.PR.1] Exigir que se configure una configuración de seguridad de Amazon EMR (EMR) para cifrar los datos en reposo en Amazon S3

• [CT.EMR.PR.2] Exigir que se configure una configuración de seguridad de Amazon EMR (EMR) para cifrar los datos en reposo en Amazon S3 con una clave AWS KMS

• [CT.EMR.PR.3] Exigir que la configuración de seguridad de Amazon EMR (EMR) esté configurada con el cifrado del disco local por volumen de EBS mediante una clave AWS KMS

• [CT.EMR.PR.4] Exigir que se configure una configuración de seguridad de Amazon EMR (EMR) para cifrar los datos en tránsito

• [CT.GLUE.PR.1] Requiere una tarea de AWS Glue para tener una configuración de seguridad asociada

• [CT.GLUE.PR.2] Requiere una configuración de seguridad de AWS Glue para cifrar los datos en los destinos de Amazon S3 mediante claves de AWS KMS

• [CT.KMS.PR.2] Exija que una clave AWS KMS asimétrica con material de clave RSA que se utilice para el cifrado tenga una longitud de clave superior a 2048 bits

• [CT.KMS.PR.3] Exige que una política AWS KMS clave incluya una declaración que limite la creación de AWS KMS subvenciones a los servicios AWS

• [CT.LAMBDA.PR.4] Exige un permiso de AWS Lambda capa para conceder acceso a una AWS organización o AWS cuenta específica

• [CT.LAMBDA.PR.5] Se requiere la URL de una AWS Lambda función para utilizar la autenticación basada AWS en IAM

• [CT.LAMBDA.PR.6] Exige una URL AWS Lambda funcional (política CORS) para restringir el acceso a orígenes específicos

• [CT.NEPTUNE.PR.4] Requiere un clúster de base de datos de Amazon Neptune para permitir la exportación de registros de Amazon para CloudWatch registros de auditoría

• [CT.NEPTUNE.PR.5] Exija un clúster de base de datos de Amazon Neptune para establecer un período de retención de copias de seguridad superior o igual a siete días

• [CT.REDSHIFT.PR.9] Exigir que un grupo de parámetros del clúster de Amazon Redshift esté configurado para utilizar Secure Sockets Layer (SSL) para el cifrado de los datos en tránsito

• [SH.Athena.1] Los grupos de trabajo de Athena deberían estar cifrados en reposo

• [SH.Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

• [SH.Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

• [SH.Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

• [SH.Neptune.4] Los clústeres de base de datos de Neptune deberían tener habilitada la protección de eliminación

• [SH.Neptune.5] Los clústeres de Neptune DB deberían tener habilitadas las copias de seguridad automatizadas

• [SH.Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

• [SH.Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

• [SH.Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

• [SH.RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo

A continuación se muestra una lista completa de nuevos controles:

• [CT.APPSYNC.PR.1] Requiere una API de AWS AppSync GraphQL para activar el registro

• [CT.CLOUDWATCH.PR.1] Requiere que una alarma de CloudWatch Amazon tenga una acción configurada para el estado de alarma

• [CT.CLOUDWATCH.PR.2] Exigir que un grupo de registros de CloudWatch Amazon se conserve durante al menos un año

• [CT.CLOUDWATCH.PR.3] Exigir que un grupo de registros de CloudWatch Amazon esté cifrado en reposo con una clave KMS AWS

• [CT.CLOUDWATCH.PR.4] Requiere que se active una acción de alarma de Amazon CloudWatch

• [CT.DOCUMENTDB.PR.1] Cómo requerir que un clúster de Amazon DocumentDB se cifre en reposo

• [CT.DOCUMENTDB.PR.2] Cómo requerir que un clúster de Amazon DocumentDB tenga habilitadas las copias de seguridad automáticas

• [CT.DYNAMODB.PR.2] Exigir que una tabla de Amazon DynamoDB se cifre en reposo mediante claves AWS KMS

• [CT. EC2.PR.13] Requiere que una EC2 instancia de Amazon tenga habilitada la supervisión detallada

• [CT.EKS.PR.1] Cómo requerir que un clúster de Amazon EKS se configure con el acceso público deshabilitado al punto de conexión del servidor de API de Kubernetes del clúster

• [CT.ELASTICACHE.PR.1] Requiere que un clúster de ElastiCache Amazon for Redis tenga activadas las copias de seguridad automáticas

• [CT.ELASTICACHE.PR.2] Requiere que un clúster de ElastiCache Amazon for Redis tenga activadas las actualizaciones automáticas de las versiones secundarias

• [CT.ELASTICACHE.PR.3] Exigir que un grupo de replicación de ElastiCache Amazon for Redis tenga activada la conmutación por error automática

• [CT.ELASTICACHE.PR.4] Exigir que un grupo de replicación de ElastiCache Amazon tenga activado el cifrado en reposo

• [CT.ELASTICACHE.PR.5] Exigir que un grupo de replicación de ElastiCache Amazon for Redis tenga activado el cifrado en tránsito

• [CT.ELASTICACHE.PR.6] Requiere un clúster de caché de ElastiCache Amazon para usar un grupo de subredes personalizado

• [CT.ELASTICACHE.PR.7] Requiere un grupo de replicación de ElastiCache Amazon de versiones anteriores de Redis para tener la autenticación AUTH de Redis

• [CT.ELASTICBEANSTALK.PR.3] Cómo requerir un entorno de AWS Elastic Beanstalk para tener una configuración de registro

• [CT.LAMBDA.PR.3] Cómo requerir que una función AWS Lambda esté en una Amazon Virtual Private Cloud (VPC) administrada por el cliente

• [CT.NEPTUNE.PR.1] Requiere que un clúster de base de datos de Amazon Neptune tenga autenticación de base de datos (IAM) AWS Identity and Access Management

• [CT.NEPTUNE.PR.2] Cómo requerir que un clúster de base de datos de Amazon Neptune tenga habilitada la protección contra la eliminación

• [CT.NEPTUNE.PR.3] Cómo requerir que un clúster de base de datos de Amazon Neptune habilite el cifrado de almacenamiento

• [CT.REDSHIFT.PR.8] Cómo requerir que se cifre un clúster de Amazon Redshift

• [CT.S3.PR.9] Cómo requerir que un bucket de Amazon S3 tenga activado el bloqueo de objetos S3

• [CT.S3.PR.10] Requiere que un bucket de Amazon S3 tenga el cifrado del lado del servidor configurado mediante claves AWS KMS

• [CT.S3.PR.11] Cómo requerir que un bucket de Amazon S3 habilite el control de versiones

• [CT.STEPFUNCTIONS.PR.1] Cómo requerir que una máquina de estado de AWS Step Functions tenga el registro activado

• [CT.STEPFUNCTIONS.PR.2] Requiere que una máquina de estados tenga activado el rastreo AWS Step Functions AWS X-Ray

• [SH.S3.4] Los buckets de S3 deben tener habilitado el cifrado del servidor

• [CT.S3.PR.7] Cómo requerir que un bucket de Amazon S3 tenga el cifrado del servidor configurado

Servicios globales y APIs añadidos

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail (cloudtrail:LookupEvents) para permitir la visibilidad de los eventos globales en las cuentas de los miembros.

• AWS Facturación unificada (consolidatedbilling:*)

• AWS Aplicación Mobile Console (consoleapp:*)

• AWS Nivel gratuito (freetier:*)

• Facturación de AWS (invoicing:*)

• AWS IQ (iq:*)

• AWS Notificaciones de usuario (notifications:*)

• AWS Contactos de notificaciones de usuario (notifications-contacts:*)

• Amazon Payments (payments:*)

• AWS Configuración fiscal (tax:*)

Servicios globales y APIs eliminados

• Se ha eliminado s3:GetAccountPublic porque no es una acción válida.

• Se ha eliminado s3:PutAccountPublic porque no es una acción válida.

• [SH.Account.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS

• [SH. APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

• [SH. APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2

• [SH. CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [SH. EC2.25] las plantillas de EC2 lanzamiento no deben asignar interfaces públicas IPs a las de red

• [SH.ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

• [SH.Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

• [SH. SageMaker.2] Las instancias de ordenadores portátiles de SageMaker IA deberían lanzarse en una VPC personalizada

• [SH. SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker AI Notebook

• [SH.WAF.10] Una ACL WAFV2 web debe tener al menos una regla o grupo de reglas

• Puede aceptar la configuración predeterminada y permitir que AWS Control Tower configure y administre AWS IAM Identity Center en su lugar.

• Puede optar por gestionar automáticamente el centro de identidad de AWS IAM para reflejar sus requisitos empresariales específicos.

• Si lo desea, puede contratar y autogestionar un proveedor de identidades externo, conectándolo a través del IAM Identity Center, si es necesario. Debe utilizar la opción de proveedor de identidad si su entorno reglamentario exige que utilice un proveedor específico o si opera en un Regiones de AWS lugar donde el Centro de Identidad de AWS IAM no esté disponible.

OpenSearch Servicio Amazon

• [CT.OPENSEARCH.PR.1] Cómo requerir un dominio de Elasticsearch para cifrar datos en reposo

• [CT.OPENSEARCH.PR.2] Cómo requerir la creación de un dominio de Elasticsearch en una Amazon VPC especificada por el usuario

• [CT.OPENSEARCH.PR.3] Cómo requerir un dominio de Elasticsearch para cifrar datos enviados entre nodos

• [CT.OPENSEARCH.PR.4] Requiere un dominio de Elasticsearch para enviar los registros de errores a Amazon Logs CloudWatch

• [CT.OPENSEARCH.PR.5] Requiere un dominio de Elasticsearch para enviar los registros de auditoría a Amazon Logs CloudWatch

• [CT.OPENSEARCH.PR.6] Cómo requerir que un dominio de Elasticsearch tenga reconocimiento de zona y al menos tres nodos de datos

• [CT.OPENSEARCH.PR.7] Cómo requerir que un dominio de Elasticsearch tenga al menos tres nodos maestros dedicados

• [CT.OPENSEARCH.PR.8] Se requiere un dominio de Elasticsearch Service para usar .2 TLSv1

• [CT.OPENSEARCH.PR.9] Requiere un dominio de OpenSearch Amazon Service para cifrar los datos en reposo

• [CT.OPENSEARCH.PR.10] Requiere que se cree un dominio de Amazon Service en una OpenSearch Amazon VPC especificada por el usuario

• [CT.OPENSEARCH.PR.11] Requiere un dominio de OpenSearch Amazon Service para cifrar los datos enviados entre nodos

• [CT.OPENSEARCH.PR.12] Requiere un dominio de Amazon Service para enviar los registros de errores a OpenSearch Amazon Logs CloudWatch

• [CT.OPENSEARCH.PR.13] Requiere un dominio de Amazon Service para enviar los registros de auditoría a OpenSearch Amazon Logs CloudWatch

• [CT.OPENSEARCH.PR.14] Requiere que un dominio de OpenSearch Amazon Service tenga reconocimiento de zona y al menos tres nodos de datos

• [CT.OPENSEARCH.PR.15] Requiere un dominio de OpenSearch Amazon Service para utilizar un control de acceso detallado

• [CT.OPENSEARCH.PR.16] Requiere un dominio de Amazon Service para usar .2 OpenSearch TLSv1

Amazon EC2 Auto Scaling

• [CT.AUTOSCALING.PR.1] Exigir que un grupo de Amazon EC2 Auto Scaling tenga varias zonas de disponibilidad

• [CT.AUTOSCALING.PR.2] Requiere una configuración de lanzamiento grupal de Amazon EC2 Auto Scaling para configurar las instancias de Amazon para EC2 IMDSv2

• [CT.AUTOSCALING.PR.3] Requiere una configuración de lanzamiento de Amazon EC2 Auto Scaling para tener un límite de respuesta de metadatos de un solo salto

• [CT.AUTOSCALING.PR.4] Requiere que un grupo de Amazon EC2 Auto Scaling asociado a un Amazon Elastic Load Balancing (ELB) tenga activadas las comprobaciones de estado del ELB

• [CT.AUTOSCALING.PR.5] Exigir que una configuración de lanzamiento grupal de Amazon EC2 Auto Scaling no tenga instancias de Amazon con direcciones IP públicas EC2

• [CT.AUTOSCALING.PR.6] Requiere que cualquier grupo de Amazon EC2 Auto Scaling utilice varios tipos de instancias

• [CT.AUTOSCALING.PR.8] Requiere que un grupo de Amazon EC2 Auto Scaling tenga configuradas las plantillas de lanzamiento EC2

Amazon SageMaker AI

• [CT.SAGEMAKER.PR.1] Requiere una instancia de SageMaker Amazon AI Notebook para evitar el acceso directo a Internet

• [CT.SAGEMAKER.PR.2] Requiere que las instancias de SageMaker Amazon AI notebook se desplieguen en una Amazon VPC personalizada

• [CT.SAGEMAKER.PR.3] Exigir que las instancias de SageMaker Amazon AI notebook no tengan permitido el acceso root

Amazon API Gateway

• [CT.APIGATEWAY.PR.5] Cómo requerir que las rutas Websocket y HTTP de Amazon API Gateway V2 especifiquen un tipo de autorización

Amazon Relational Database Service (RDS)

• [CT.RDS.PR.25] Cómo requerir que un clúster de base de datos de Amazon RDS tenga configurado el registro

• ¿Qué es Amazon CloudWatch Logs? en la Guía del usuario CloudWatch de Amazon Logs

• ¿Qué es AWS Step Functions? en la Guía AWS Step Functions para desarrolladores

• Con esta versión, AWS Control Tower desactiva el registro de acceso innecesario para su bucket de registro de acceso, que es el bucket de Amazon S3 en el que se almacenan los registros de acceso en la cuenta de archivo de registro, al tiempo que sigue habilitando el registro de acceso al servidor para los buckets de S3. Esta versión también incluye actualizaciones del control Region Deny que permiten realizar acciones adicionales para los servicios globales, como Soporte los planes y AWS Artifact.

• La desactivación del registro de acceso al servidor para el bucket de registro de acceso de AWS Control Tower provoca que Security Hub cree un resultado para el bucket de registro de acceso de la cuenta de archivo de registro. Debido a una regla de AWS Security Hub , [S3.9] el registro de acceso al servidor del bucket S3 debe estar habilitado. En consonancia con Security Hub, le recomendamos que suprima este resultado concreto, tal y como se indica en la descripción de Security Hub de esta regla. Para obtener más información, consulte la información sobre los resultados suprimidos.

• El registro de acceso al bucket de registro (normal) de la cuenta de archivo de registro no ha cambiado en la versión 3.1. En consonancia con las prácticas recomendadas, los eventos de acceso a ese bucket se registran como entradas de registro en el bucket de registro de acceso. Para obtener más información sobre el registro de acceso, consulte Registro de solicitudes con registro de acceso al servidor en la documentación de Amazon S3.

• Hemos actualizado el control de denegación de regiones. Esta actualización permite que más servicios globales realicen acciones. Para obtener más información sobre este SCP, consulte Denegar el acceso a en AWS función de lo solicitado Región de AWS y Controles que mejoran la protección de la residencia de los datos.

  Servicios globales añadidos:

  • AWS Account Management (account:*)

  • AWS Activar () activate:*

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • Amazon ECR (ecr-public:*)

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS lightsail:Get*Lightsail ()

  • Explorador de recursos de AWS (resource-explorer-2:*)

  • Amazon S3 (s3:CreateMultiRegionAccessPoint, s3:GetBucketPolicyStatus, s3:PutMultiRegionAccessPointPolicy)

  • AWS Savings Plans (savingsplans:*)

  • IAM Identity Center (sso:*)

  • AWS Support App (supportapp:*)

  • Soporte Planes (supportplans:*)

  • AWS Sostenibilidad (sustainability:*)

  • AWS Resource Groups Tagging API (tag:GetResources)

  • AWS Marketplace Información sobre los proveedores (vendor-insights:ListEntitledSecurityProfiles)