Enero a diciembre de 2023

• Transición a una nueva AWS Service Catalog Tipo de producto externo (fase 3)

• AWSControl Tower landing zone versión 3.3

• Transición a una nueva AWS Service Catalog Tipo de producto externo (fase 2)

• AWSControl Tower anuncia controles para ayudar a la soberanía digital

• AWSControl Tower apoya la zona de aterrizaje APIs

• AWSControl Tower admite el etiquetado para los controles habilitados

• AWSTorre de Control disponible en la región Asia Pacífico (Melbourne)

• Transición a una nueva AWS Service Catalog Tipo de producto externo (fase 1)

• Nuevo control disponible API

• AWSControl Tower añade controles adicionales

• Se ha informado de un nuevo tipo de desviación: acceso de confianza desactivado

• Cuatro adicionales Regiones de AWS

• AWSTorre de Control disponible en la región de Tel Aviv

• AWSControl Tower lanza 28 nuevos controles proactivos

• AWSControl Tower desaprueba dos controles

• AWSControl Tower landing zone versión 3.2

• AWSControl Tower gestiona las cuentas en función de la identificación

• Controles de detección adicionales del Security Hub disponibles en la biblioteca de controles de la Torre de AWS Control

• AWSControl Tower publica tablas de metadatos de control

• Soporte de Terraform para la personalización de Account Factory

• AWS IAMLa autogestión del Identity Center está disponible para landing zone

• AWSControl Tower aborda la gobernanza mixta para OUs

• Hay controles proactivos adicionales disponibles

• Controles EC2 proactivos de Amazon actualizados

• Siete adicionales Regiones de AWS available

• Seguimiento de solicitudes de personalización de cuentas de Account Factory for Terraform (AFT)

• AWSControl Tower landing zone versión 3.1

• Los controles proactivos están disponibles de forma general

Actualizaciones de la región de landing zone Deny control

• Eliminadodiscovery-marketplace:. Esta acción está cubierta por la aws-marketplace:* exención.

• Se ha agregado quicksight:DescribeAccountSubscription

Nuevos controles proactivos

• CT.APIGATEWAY.PR.6: Exija que un REST dominio de Amazon API Gateway utilice una política de seguridad que especifique una versión mínima del TLS protocolo de TLSv1 .2

• CT.APPSYNC.PR.2: Requiere una AWS AppSync GraphQL API se configurará con visibilidad privada

• CT.APPSYNC.PR.3: Exija que un AWS AppSync GraphQL no API se autentica con claves API

• CT.APPSYNC.PR.4: Requiere un AWS AppSync Almacene en API caché GraphQL para habilitar el cifrado en tránsito.

• CT.APPSYNC.PR.5: Requiere un AWS AppSync APICaché GraphQL para habilitar el cifrado en reposo.

• CT.AUTOSCALING.PR.9: Requerir un EBS volumen de Amazon configurado mediante una configuración de lanzamiento de Amazon EC2 Auto Scaling para cifrar los datos en reposo

• CT.AUTOSCALING.PR.10: Requiere que un grupo de Amazon EC2 Auto Scaling lo use únicamente AWS Tipos de instancia de Nitro al anular una plantilla de lanzamiento

• CT.AUTOSCALING.PR.11: Solo se requiere AWS Tipos de instancias Nitro que admiten el cifrado del tráfico de red entre instancias que se añadirán a un grupo de Amazon EC2 Auto Scaling al anular una plantilla de lanzamiento

• CT.DAX.PR.3: Requerir un clúster de DynamoDB Accelerator para cifrar los datos en tránsito con Transport Layer Security () TLS

• CT.DMS.PR.2: Requiere un AWS Database Migration Service (DMS) Endpoint para cifrar las conexiones de los puntos finales de origen y destino

• CT.EC2.PR.15: Requiere una EC2 instancia de Amazon para usar un AWS Tipo de instancia Nitro al crear a partir del tipo de AWS::EC2::LaunchTemplate recurso

• CT.EC2.PR.16: Requiere una EC2 instancia de Amazon para usar un AWS Tipo de instancia Nitro cuando se crea con el tipo de AWS::EC2::Instance recurso

• CT.EC2.PR.17: Requiere un host EC2 dedicado de Amazon para usar un tipo de instancia AWS Nitro

• CT.EC2.PR.18: Exigir que una EC2 flota de Amazon anule solo las plantillas de lanzamiento con AWS Tipos de instancias de Nitro

• CT.EC2.PR.19: Exigir que una EC2 instancia de Amazon utilice un tipo de instancia nitro que admita el cifrado en tránsito entre instancias cuando se crea con el AWS::EC2::Instance tipo de recurso

• CT.EC2.PR.20: Exigir que una EC2 flota de Amazon anule solo las plantillas de lanzamiento con AWS Tipos de instancias Nitro que admiten el cifrado en tránsito entre instancias

• CT.ELASTICACHE.PR.8: Requerir un grupo de ElastiCache replicación de Amazon de versiones posteriores de Redis para activar la RBAC autenticación

• CT.MQ.PR.1: Exija a un agente ActiveMQ de Amazon MQ que utilice el modo de implementación activo/en espera para obtener una alta disponibilidad

• CT.MQ.PR.2: Exija a un agente MQ de Amazon MQ Rabbit que utilice el modo de clúster Multi-AZ para obtener una alta disponibilidad

• CT.MSK.PR.1: Requerir un clúster de Amazon Managed Streaming for Apache Kafka (MSK) para aplicar el cifrado en tránsito entre los nodos del intermediario del clúster

• CT.MSK.PR.2: Requiere que un clúster de Amazon Managed Streaming for Apache Kafka (MSK) esté configurado con deshabilitado PublicAccess

• CT.NETWORK-FIREWALL.PR.5: Requiere un AWS El firewall de Network Firewall se implementará en múltiples zonas de disponibilidad

• CT.RDS.PR.26: Requiere un proxy de Amazon RDS DB para requerir conexiones de Transport Layer Security (TLS)

• CT.RDS.PR.27: Requerir un grupo de parámetros de clúster de Amazon RDS DB para requerir conexiones de Transport Layer Security (TLS) para los tipos de motores compatibles

• CT.RDS.PR.28: Requerir un grupo de parámetros de Amazon RDS DB para requerir conexiones de Transport Layer Security (TLS) para los tipos de motores compatibles

• CT.RDS.PR.29: Exigir que un RDS clúster de Amazon no esté configurado para que sea de acceso público mediante la propiedad PubliclyAccessible ''

• CT.RDS.PR.30: Exija que una instancia RDS de base de datos de Amazon tenga el cifrado en reposo configurado para usar una KMS clave que especifique para los tipos de motores compatibles

• CT.S3.PR.12: Exigir que un punto de acceso Amazon S3 tenga una configuración de Block Public Access (BPA) con todas las opciones configuradas en true

Nuevos controles preventivos

• CT.APPSYNC.PV.1 Exija que un AWS AppSync GraphQL API está configurado con visibilidad privada

• CT.EC2.PV.1 Exigir que se cree una EBS instantánea de Amazon a partir de un EC2 volumen cifrado

• CT.EC2.PV.2 Exija que un EBS volumen de Amazon adjunto esté configurado para cifrar los datos en reposo

• CT.EC2.PV.3 Exigir que una EBS instantánea de Amazon no pueda restaurarse públicamente

• CT.EC2.PV.4 Exija que no APIs se llame a Amazon EBS Direct

• CT.EC2.PV.5 No permitir el uso de la importación y exportación de Amazon EC2 VM

• CT.EC2.PV.6 No permitir el uso de Amazon EC2 RequestSpotFleet y sus acciones en desuso RequestSpotInstances API

• CT.KMS.PV.1 Requiere un AWS KMS política clave para tener una declaración que limite la creación de AWS KMS subvenciones a AWS servicios

• CT.KMS.PV.2 Exija que un AWS KMS la clave asimétrica con el material RSA clave utilizado para el cifrado no tiene una longitud de clave de 2048 bits

• CT.KMS.PV.3 Exija que un AWS KMS la llave está configurada con la verificación de seguridad de bloqueo de la política de elusión habilitada

• CT.KMS.PV.4 Exija que un AWS KMS la clave gestionada por el cliente (CMK) está configurada con material clave procedente de AWS Nube HSM

• CT.KMS.PV.5 Exija que un AWS KMS la clave gestionada por el cliente (CMK) está configurada con material clave importado

• CT.KMS.PV.6 Exija que un AWS KMS la clave gestionada por el cliente (CMK) está configurada con material clave procedente de un almacén de claves externo () XKS

• CT.LAMBDA.PV.1 Requiere un AWS Lambda función URL a utilizar AWS IAMautenticación basada en

• CT.LAMBDA.PV.2 Requiere una AWS Lambda función URL que debe configurarse para que solo puedan acceder a ella los directores de su Cuenta de AWS

• CT. MULTISERVICE.PV.1: Denegar el acceso a AWS en función de lo solicitado Región de AWS para una unidad organizativa

Nuevos controles detectivescos

• SH.ACM.2: RSA los certificados gestionados por ACM deben utilizar una longitud de clave de al menos 2.048 bits

• SH.AppSync.5: AWS AppSync GraphQL no APIs debe autenticarse con claves API

• SH.CloudTrail.6: Asegúrese de que el depósito de S3 utilizado para almacenar CloudTrail los registros no sea de acceso público:

• SH.DMS.9: los DMS puntos finales deberían usar SSL

• SH.DocumentDB.3: Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

• SH.DynamoDB.3: Los clústeres de DynamoDB Accelerator DAX () deben cifrarse en reposo

• SH.EC2.23: EC2 Transit Gateways no debería aceptar automáticamente las solicitudes de archivos adjuntos VPC

• SH.EKS.1: los puntos finales EKS del clúster no deberían ser de acceso público

• SH.ElastiCache.3: los grupos ElastiCache de replicación deberían tener habilitada la conmutación por error automática

• SH.ElastiCache.4: los grupos ElastiCache de replicación deberían estar habilitados encryption-at-rest

• SH.ElastiCache.5: los grupos de ElastiCache replicación deberían estar encryption-in-transit habilitados

• SH.ElastiCache.6: los grupos de ElastiCache replicación de versiones anteriores de Redis deberían tener AUTH Redis activado

• SH.EventBridge.3: los buses de eventos EventBridge personalizados deben tener adjunta una política basada en los recursos

• SH.KMS.4: AWS KMS la rotación de claves debe estar habilitada

• SH.Lambda.3: Las funciones Lambda deben estar en un VPC

• SH.MQ.5: Los corredores de ActiveMQ deberían utilizar el modo de despliegue activo/en espera

• SH.MQ.6: Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres

• SH.MSK.1: MSK los clústeres deben cifrarse en tránsito entre los nodos de los corredores

• SH.RDS.12: IAM la autenticación debe configurarse para RDS los clústeres

• SH.RDS.15: Los RDS clústeres de bases de datos deben configurarse para varias zonas de disponibilidad

• SH.S3.17: Los buckets S3 deben cifrarse en reposo con AWS KMS claves

• La actualización EnableControl API puede configurar controles que son configurables.

• La actualización GetEnabledControl API muestra los parámetros configurados en un control activado.

• El nuevo UpdateEnabledControl API puede cambiar los parámetros de un control activado.

• CreateLandingZone—Esta API llamada crea una zona de aterrizaje utilizando una versión de la zona de aterrizaje y un archivo de manifiesto.

• GetLandingZoneOperation—Esta API llamada devuelve el estado de una operación de landing zone especificada.

• GetLandingZone—Esta API llamada devuelve detalles sobre la landing zone especificada, incluida la versión, el archivo de manifiesto y el estado.

• UpdateLandingZone—Esta API llamada actualiza la versión de la zona de aterrizaje o el archivo de manifiesto.

• ListLandingZone—Esta API llamada devuelve un identificador de zona de aterrizaje (ARN) para una configuración de zona de aterrizaje en la cuenta de gestión.

• ResetLandingZone—Esta API llamada restablece la zona de aterrizaje a los parámetros especificados en la última actualización, lo que puede reparar la deriva. Si la zona de aterrizaje no se ha actualizado, esta llamada restablece la zona de aterrizaje a los parámetros especificados en la creación.

• DeleteLandingZone—Esta API convocatoria retira del servicio la landing zone.

• TagResource—Esta API llamada agrega etiquetas a los controles habilitados en la Torre AWS de Control.

• UntagResource—Esta API llamada elimina las etiquetas de los controles habilitados en la Torre AWS de Control.

• ListTagsForResource—Esta API llamada devuelve las etiquetas de los controles habilitados en la Torre AWS de Control.

• GetEnabledControl—La API llamada proporciona detalles sobre un control activado.

• Obtén una lista de todos los controles que has activado en la biblioteca de controles de la Torre de AWS Control.

• Para cualquier control activado, puedes obtener información sobre las regiones en las que se admite el control, el identificador del control (ARN), el estado de desviación del control y el resumen del estado del control.

Nuevos controles proactivos

• [CT.ATHENA.PR.1] Requerir un grupo de trabajo de Amazon Athena para cifrar los resultados de las consultas de Athena en reposo

• [CT.ATHENA.PR.2] Exija a un grupo de trabajo de Amazon Athena que cifre los resultados de las consultas de Athena en reposo con un AWS Key Management Service clave () KMS

• [CT.CLOUDTRAIL.PR.4] Requiere una AWS CloudTrail Almacén de datos de eventos de Lake para permitir el cifrado en reposo con un AWS KMS key

• [CT.DAX.PR.2] Requiere un DAX clúster de Amazon para implementar nodos en al menos tres zonas de disponibilidad

• [CT.EC2.PR.14] Exija un EBS volumen de Amazon configurado a través de una plantilla de EC2 lanzamiento de Amazon para cifrar los datos en reposo

• [CT.EKS.PR.2] Exigir que un EKS clúster de Amazon se configure con cifrado secreto mediante AWS Claves del Servicio de administración de claves (KMS)

• [CT.ELASTICLOADBALANCING.PR.14] Requiere un Network Load Balancer para activar el equilibrio de carga entre zonas

• [CT.ELASTICLOADBALANCING.PR.15] Exigir que un grupo objetivo de Elastic Load Balancing v2 no deshabilite explícitamente el equilibrio de cargas entre zonas

• [CT.EMR.PR.1] Exigir que se configure una configuración de seguridad de Amazon EMR (EMR) para cifrar los datos en reposo en Amazon S3

• [CT.EMR.PR.2] Exigir que se configure una configuración de seguridad de Amazon EMR (EMR) para cifrar los datos en reposo en Amazon S3 con un AWS KMS key

• [CT.EMR.PR.3] Exigir que la configuración de seguridad de Amazon EMR (EMR) esté configurada con cifrado de EBS volumen de disco local mediante un AWS KMS key

• [CT.EMR.PR.4] Exigir que se configure una configuración de seguridad de Amazon EMR (EMR) para cifrar los datos en tránsito

• [CT.GLUE.PR.1] Requiere un AWS Glue job para tener una configuración de seguridad asociada

• [CT.GLUE.PR.2] Requiere una AWS Configuración de seguridad de Glue para cifrar datos en objetivos de Amazon S3 mediante AWS KMSclaves

• [CT.KMS.PR.2] Exija que un AWS KMS La clave asimétrica con el material RSA clave utilizado para el cifrado tiene una longitud de clave superior a 2048 bits

• [CT.KMS.PR.3] Requiere un AWS KMS política clave para tener una declaración que limite la creación de AWS KMS subvenciones a AWS servicios

• [CT.LAMBDA.PR.4] Requerir un AWS Lambda Permiso de capa para conceder acceso a un AWS organización o específico AWS cuenta

• [CT.LAMBDA.PR.5] Requieren un AWS Lambda función URL a utilizar AWS IAMautenticación basada en

• [CT.LAMBDA.PR.6] Requiere un AWS Lambda URLCORSpolítica de funciones para restringir el acceso a orígenes específicos

• [CT.NEPTUNE.PR.4] Requiere un clúster de base de datos de Amazon Neptune para permitir la exportación de registros de Amazon para CloudWatch registros de auditoría

• [CT.NEPTUNE.PR.5] Exija un clúster de base de datos de Amazon Neptune para establecer un período de retención de copias de seguridad superior o igual a siete días

• [CT.REDSHIFT.PR.9] Exigir que un grupo de parámetros del clúster de Amazon Redshift esté configurado para usar Secure Sockets Layer (SSL) para el cifrado de los datos en tránsito

• [SH.Athena.1] Los grupos de trabajo de Athena deberían estar cifrados en reposo

• [SH.Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo

• [SH.Neptune.2] Los clústeres de bases de datos de Neptune deberían publicar los registros de auditoría en Logs CloudWatch

• [SH.Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

• [SH.Neptune.4] Los clústeres de base de datos de Neptune deberían tener habilitada la protección de eliminación

• [SH.Neptune.5] Los clústeres de Neptune DB deberían tener habilitadas las copias de seguridad automatizadas

• [SH.Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

• [SH.Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de IAM bases de datos

• [SH.Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

• [SH.RDS.27] Los RDS clústeres de bases de datos deben cifrarse en reposo

Esta es una lista completa de los nuevos controles:

• [CT. APPSYNC.PR.1] Requiere un AWS AppSync GraphQL API habilitará el registro

• [CT. CLOUDWATCH.PR.1] Requerir que una CloudWatch alarma de Amazon tenga una acción configurada para el estado de alarma

• [CT. CLOUDWATCH.PR.2] Exigir que un grupo de CloudWatch registros de Amazon se conserve durante al menos un año

• [CT. CLOUDWATCH.PR.3] Exigir que un grupo de CloudWatch registros de Amazon esté cifrado en reposo con un AWS KMSclave

• [CT. CLOUDWATCH.PR.4] Requiere que se active una acción de CloudWatch alarma de Amazon

• [CT. DOCUMENTDB.PR.1] Exigir que un clúster de Amazon DocumentDB esté cifrado en reposo

• [CT. DOCUMENTDB.PR.2] Requiere que un clúster de Amazon DocumentDB tenga habilitadas las copias de seguridad automáticas

• [CT. DYNAMODB.PR.2] Exigir que una tabla de Amazon DynamoDB se cifre en reposo mediante AWS KMS claves

• [CT. EC2.PR.13] Requiere que una EC2 instancia de Amazon tenga habilitada la supervisión detallada

• [CT. EKS.PR.1] Exigir que un EKS clúster de Amazon esté configurado con el acceso público desactivado al punto final del servidor API Kubernetes del clúster

• [CT. ELASTICACHE.PR.1] Requerir que un clúster de Amazon ElastiCache for Redis tenga activadas las copias de seguridad automáticas

• [CT. ELASTICACHE.PR.2] Requiere que un clúster de Amazon ElastiCache for Redis tenga activadas las actualizaciones automáticas de las versiones secundarias

• [CT. ELASTICACHE.PR.3] Exigir que un grupo de replicación de Amazon ElastiCache for Redis tenga activada la conmutación por error automática

• [CT. ELASTICACHE.PR.4] Exigir que un grupo de ElastiCache replicación de Amazon tenga activado el cifrado en reposo

• [CT. ELASTICACHE.PR.5] Exigir que un grupo de replicación de Amazon ElastiCache for Redis tenga activado el cifrado en tránsito

• [CT. ELASTICACHE.PR.6] Requiere un clúster de ElastiCache caché de Amazon para usar un grupo de subredes personalizado

• [CT. ELASTICACHE.PR.7] Requerir un grupo de ElastiCache replicación de Amazon de versiones anteriores de Redis para tener la autenticación de Redis AUTH

• [CT. ELASTICBEANSTALK.PR.3] Requiere un AWS El entorno de Elastic Beanstalk debe tener una configuración de registro

• [CT. LAMBDA.PR.3] Requiere un AWS Lambda función para estar en una Amazon Virtual Private Cloud gestionada por el cliente () VPC

• [CT. NEPTUNE.PR.1] Requiere un clúster de base de datos de Amazon Neptune para tener AWS Identity and Access Management (IAM) autenticación de base de datos

• [CT. NEPTUNE.PR.2] Requiere que un clúster de base de datos de Amazon Neptune tenga habilitada la protección de eliminación

• [CT. NEPTUNE.PR.3] Requerir que un clúster de base de datos de Amazon Neptune tenga activado el cifrado de almacenamiento

• [CT. REDSHIFT.PR.8] Exigir que se cifre un clúster de Amazon Redshift

• [CT.S3.PR.9] Requiere que un bucket de Amazon S3 tenga activado el bloqueo de objetos S3

• [CT.S3.PR.10] Requiere que un bucket de Amazon S3 tenga configurado el cifrado del lado del servidor mediante AWS KMS claves

• [CT.S3.PR.11] Requiere que un bucket de Amazon S3 tenga habilitado el control de versiones

• [CT. STEPFUNCTIONS.PR.1] Requiere un AWS Step Functions estado de la máquina para tener el registro activado

• [CT. STEPFUNCTIONS.PR.2] Requiere un AWS Step Functions la máquina de estado debe tener AWS X-Ray rastreo activado

• [SH.S3.4] Los buckets S3 deben tener habilitado el cifrado del lado del servidor

• [CT.S3.PR.7] Requiere que un bucket de Amazon S3 tenga configurado el cifrado del lado del servidor

Servicios globales y APIs añadidos

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail (cloudtrail:LookupEvents) para permitir la visibilidad de los eventos globales en las cuentas de los miembros.

• AWS Facturación unificada (consolidatedbilling:*)

• AWS Aplicación Mobile Console (consoleapp:*)

• AWS Nivel gratuito (freetier:*)

• Facturación de AWS (invoicing:*)

• AWS IQ (iq:*)

• AWS Notificaciones de usuario (notifications:*)

• AWS Contactos de notificaciones de usuario (notifications-contacts:*)

• Amazon Payments (payments:*)

• AWS Configuración fiscal (tax:*)

Servicios globales y APIs eliminados

• Se ha eliminado s3:GetAccountPublic porque no es una acción válida.

• Se ha eliminado s3:PutAccountPublic porque no es una acción válida.

• [Sh.Account.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS

• [SH. APIGateway.8] Las rutas de API puerta de enlace deben especificar un tipo de autorización

• [SH. APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2

• [SH. CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [SH. EC2.25] las plantillas de EC2 lanzamiento no deben asignar interfaces públicas IPs a las de red

• [SH. ELB.1] Application Load Balancer debe configurarse para redirigir todas las HTTP solicitudes a HTTPS

• [Sh.redshift.10] Los clústeres de Redshift deben estar cifrados en reposo

• [SH. SageMaker.2] las instancias de SageMaker notebook deben lanzarse de forma personalizada VPC

• [SH. SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook

• [SH. WAF.10] Una WAFV2 web ACL debe tener al menos una regla o grupo de reglas

• Puedes aceptar la configuración predeterminada y permitir que AWS Control Tower se configure y administre AWS IAMIdentity Center para ti.

• Puede elegir autogestionarse AWS IAMIdentity Center, para reflejar sus requisitos empresariales específicos.

• Si lo desea, puede contratar y autogestionar un proveedor de identidad externo, conectándolo a través de IAM Identity Center, si es necesario. Debe utilizar la opción de proveedor de identidad si su entorno reglamentario requiere que utilice un proveedor específico o si trabaja en Regiones de AWS where AWS IAMEl Centro de identidad no está disponible.

OpenSearch Servicio Amazon

• [CT. OPENSEARCH.PR.1] Requiere un dominio de Elasticsearch para cifrar los datos en reposo

• [CT. OPENSEARCH.PR.2] Requiere que se cree un dominio de Elasticsearch en un Amazon especificado por el usuario VPC

• [CT. OPENSEARCH.PR.3] Requiere un dominio de Elasticsearch para cifrar los datos enviados entre nodos

• [CT. OPENSEARCH.PR.4] Requiere un dominio de Elasticsearch para enviar los registros de errores a Amazon Logs CloudWatch

• [CT. OPENSEARCH.PR.5] Requiere un dominio de Elasticsearch para enviar los registros de auditoría a Amazon Logs CloudWatch

• [CT. OPENSEARCH.PR.6] Requiere que un dominio de Elasticsearch tenga reconocimiento de zona y al menos tres nodos de datos

• [CT. OPENSEARCH.PR.7] Requiere que un dominio de Elasticsearch tenga al menos tres nodos maestros dedicados

• [CT. OPENSEARCH.PR.8] Requiere un dominio de Elasticsearch Service para usar .2 TLSv1

• [CT. OPENSEARCH.PR.9] Requiere un dominio de Amazon OpenSearch Service para cifrar los datos en reposo

• [CT. OPENSEARCH.PR.10] Requiere que se cree un dominio de Amazon OpenSearch Service en un Amazon especificado por el usuario VPC

• [CT. OPENSEARCH.PR.11] Requiere un dominio de Amazon OpenSearch Service para cifrar los datos enviados entre nodos

• [CT. OPENSEARCH.PR.12] Requiere un dominio de Amazon OpenSearch Service para enviar los registros de errores a Amazon Logs CloudWatch

• [CT. OPENSEARCH.PR.13] Requerir un dominio de Amazon OpenSearch Service para enviar los registros de auditoría a Amazon Logs CloudWatch

• [CT. OPENSEARCH.PR.14] Requiere que un dominio de Amazon OpenSearch Service tenga reconocimiento de zona y al menos tres nodos de datos

• [CT. OPENSEARCH.PR.15] Exija un dominio de Amazon OpenSearch Service para utilizar un control de acceso detallado

• [CT. OPENSEARCH.PR.16] Se requiere un dominio de Amazon OpenSearch Service para usar .2 TLSv1

Amazon EC2 Auto Scaling

• [CT. AUTOSCALING.PR.1] Exigir que un grupo de Amazon EC2 Auto Scaling tenga varias zonas de disponibilidad

• [CT. AUTOSCALING.PR.2] Requiere una configuración de lanzamiento grupal de Amazon EC2 Auto Scaling para configurar las instancias de Amazon EC2 para IMDSv2

• [CT. AUTOSCALING.PR.3] Requiere una configuración de lanzamiento de Amazon EC2 Auto Scaling para tener un límite de respuesta de metadatos de un solo salto

• [CT. AUTOSCALING.PR.4] Requiere que un grupo de Amazon EC2 Auto Scaling asociado a un Amazon Elastic Load Balancing (ELB) tenga ELB activadas las comprobaciones de estado

• [CT. AUTOSCALING.PR.5] Exigir que una configuración de lanzamiento grupal de Amazon EC2 Auto Scaling no tenga EC2 instancias de Amazon con direcciones IP públicas

• [CT. AUTOSCALING.PR.6] Requerir que cualquier grupo de Amazon EC2 Auto Scaling utilice varios tipos de instancias

• [CT. AUTOSCALING.PR.8] Requiere que un grupo de Amazon EC2 Auto Scaling tenga configuradas las plantillas de lanzamiento EC2

Amazon SageMaker

• [CT. SAGEMAKER.PR.1] Requiere una instancia de Amazon SageMaker Notebook para evitar el acceso directo a Internet

• [CT. SAGEMAKER.PR.2] Exigir que las instancias de Amazon SageMaker Notebook se desplieguen en un Amazon personalizado VPC

• [CT. SAGEMAKER.PR.3] Exigir que las instancias de Amazon SageMaker Notebook tengan prohibido el acceso root

Amazon API Gateway

• [CT. APIGATEWAY.PR.5] Requiere que Amazon API Gateway V2 Websocket y HTTP las rutas especifiquen un tipo de autorización

Amazon Relational Database Service RDS ()

• [CT. RDS.PR.25] Requiere que un clúster de RDS base de datos de Amazon tenga configurado el registro

• ¿Qué es Amazon CloudWatch Logs? en la Guía del usuario CloudWatch de Amazon Logs

• ¿Qué es AWS Step Functions? en el AWS Step Functions Guía para desarrolladores

• Con esta versión, AWS Control Tower desactiva el registro de acceso innecesario para su depósito de registro de acceso, que es el depósito de Amazon S3 en el que se almacenan los registros de acceso en la cuenta de Log Archive, al tiempo que sigue habilitando el registro de acceso al servidor para los cubos de S3. Esta versión también incluye actualizaciones del control Region Deny, que permiten realizar acciones adicionales para los servicios globales, como AWS Support Planes y AWS Artifact.

• La desactivación del registro de acceso al servidor para el depósito de registro de acceso de la Torre de AWS Control Tower hace que Security Hub busque el depósito de registro de acceso de la cuenta de Log Archive, debido a un AWS Security Hub Por regla general, [S3.9] El registro de acceso al servidor de bucket S3 debe estar habilitado. De acuerdo con Security Hub, le recomendamos que suprima este hallazgo concreto, tal y como se indica en la descripción de esta regla en Security Hub. Para obtener información adicional, consulte la información sobre los hallazgos suprimidos.

• El registro de acceso al depósito de registro (normal) de la cuenta de Log Archive no ha cambiado en la versión 3.1. De acuerdo con las prácticas recomendadas, los eventos de acceso a ese depósito se registran como entradas de registro en el depósito de registro de acceso. Para obtener más información sobre el registro de acceso, consulte Registrar solicitudes mediante el registro de acceso al servidor en la documentación de Amazon S3.

• Hemos actualizado el control de denegación de regiones. Esta actualización permite que más servicios globales realicen acciones. Para obtener más información al respectoSCP, consulte Denegar el acceso a AWS en función de lo solicitado Región de AWSy controles que mejoran la protección de la residencia de los datos.

  Se agregaron servicios globales:

  • AWS Account Management (account:*)

  • AWS Activar (activate:*)

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • Amazon ECR (ecr-public:*)

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS lightsail:Get*Lightsail ()

  • Explorador de recursos de AWS (resource-explorer-2:*)

  • Amazon S3 (s3:CreateMultiRegionAccessPoint,s3:GetBucketPolicyStatus,s3:PutMultiRegionAccessPointPolicy)

  • AWS Savings Plans (savingsplans:*)

  • IAMCentro de identidad (sso:*)

  • AWS Support App (supportapp:*)

  • AWS Support Planes (supportplans:*)

  • AWS Sostenibilidad (sustainability:*)

  • AWS Resource Groups Tagging API (tag:GetResources)

  • AWS Marketplace Información sobre los proveedores (vendor-insights:ListEntitledSecurityProfiles)