De enero a diciembre de 2023

• Transición a un nuevo tipo de producto externo de AWS Service Catalog (fase 3)

• Zona de aterrizaje de AWS Control Tower, versión 3.3

• Transición a un nuevo tipo de producto externo de AWS Service Catalog (fase 2)

• AWS Control Tower anuncia controles para ayudar a la soberanía digital

• AWS Control Tower admite las API de zona de aterrizaje

• AWS Control Tower admite el etiquetado de controles habilitados

• AWS Control Tower está disponible en la región de Asia-Pacífico (Melbourne)

• Transición a un nuevo tipo de producto externo de AWS Service Catalog (fase 1)

• Nueva API de control disponible

• AWS Control Tower añade controles adicionales

• Nuevo tipo de desviación notificado: acceso de confianza deshabilitado

• Cuatro Regiones de AWS adicionales

• AWS Control Tower está disponible en la región de Tel Aviv

• AWS Control Tower lanza 28 nuevos controles proactivos

• AWS Control Tower descarta dos controles

• Zona de aterrizaje de AWS Control Tower, versión 3.2

• AWS Control Tower gestiona cuentas en función del ID

• Controles de detección adicionales de Security Hub disponibles en la biblioteca de controles de AWS Control Tower

• AWS Control Tower publica tablas de metadatos de control

• Compatibilidad de Terraform para la personalización del generador de cuentas

• Autoadministración de AWS IAM Identity Center disponible para zona de aterrizaje

• AWS Control Tower aborda la gobernanza mixta para las OU

• Controles proactivos adicionales disponibles

• Actualización de controles proactivos de Amazon EC2

• Siete Regiones de AWS adicionales disponibles

• Seguimiento de solicitudes de personalización de cuentas del generador de cuentas para Terraform (AFT)

• Zona de aterrizaje de AWS Control Tower, versión 3.1

• Controles proactivos disponibles con carácter general

Actualizaciones del control de denegación de regiones de la zona de aterrizaje

• Se ha eliminado discovery-marketplace:. Esta acción está cubierta por la exención aws-marketplace:*.

• Se ha agregado quicksight:DescribeAccountSubscription

Nuevos controles proactivos

• CT.APIGATEWAY.PR.6: Cómo requerir que un dominio REST de Amazon API Gateway utilice una política de seguridad que especifique una versión mínima del protocolo TLS de TLSv1.2

• CT.APPSYNC.PR.2: Cómo requerir que se configure una API de GraphQL de AWS AppSync con visibilidad privada

• CT.APPSYNC.PR.3: Cómo requerir que una API de GraphQL de AWS AppSync no esté autenticada con claves de API

• CT.APPSYNC.PR.4: Cómo requerir que una caché de API de GraphQL de AWS AppSync habilite el cifrado en tránsito.

• CT.APPSYNC.PR.5: Cómo requerir que una caché de API de GraphQL de AWS AppSync habilite el cifrado en reposo.

• CT.AUTOSCALING.PR.9: Cómo requerir que un volumen de Amazon EBS configurado mediante una configuración de lanzamiento de Amazon EC2 Auto Scaling cifre los datos en reposo

• CT.AUTOSCALING.PR.10: Cómo requerir que un grupo de Amazon EC2 Auto Scaling utilice únicamente tipos de instancia de AWS Nitro al anular una plantilla de lanzamiento

• CT.AUTOSCALING.PR.11: Cómo requerir que solo los tipos de instancias de AWS Nitro que admitan cifrado del tráfico de red entre instancias se añadan a un grupo de Amazon EC2 Auto Scaling al anular una plantilla de lanzamiento

• CT.DAX.PR.3: Cómo requerir que un clúster de DynamoDB Accelerator cifre datos en tránsito con seguridad de la capa de transporte (TLS)

• CT.DMS.PR.2: Cómo requerir que un punto de conexión de AWS Database Migration Service (DMS) cifre las conexiones de los puntos de conexión de origen y destino

• CT.EC2.PR.15: Cómo requerir que una instancia de Amazon EC2 utilice un tipo de instancia de AWS Nitro cuando se crea desde el tipo de recurso AWS::EC2::LaunchTemplate

• CT.EC2.PR.16: Cómo requerir que una instancia de Amazon EC2 utilice un tipo de instancia de AWS Nitro cuando se crea mediante el tipo de recurso AWS::EC2::Instance

• CT.EC2.PR.17: Cómo requerir que un host dedicado de Amazon EC2 utilice un tipo de instancia de AWS Nitro

• CT.EC2.PR.18: Cómo requerir que una flota de Amazon EC2 anule solo las plantillas de lanzamiento con tipos de instancias de AWS Nitro

• CT.EC2.PR.19: Cómo requerir que una instancia de Amazon EC2 utilice un tipo de instancia de Nitro que admita cifrado en tránsito entre instancias cuando se crea mediante el tipo de recurso AWS::EC2::Instance

• CT.EC2.PR.20: Cómo requerir que una flota de Amazon EC2 anule solo las plantillas de lanzamiento con tipos de instancias de AWS Nitro que admiten cifrado en tránsito entre instancias

• CT.ELASTICACHE.PR.8: Cómo requerir que un grupo de replicación de Amazon ElastiCache de versiones posteriores de Redis tenga la autenticación RBAC activada

• CT.MQ.PR.1: Cómo requerir que un agente de ActiveMQ de Amazon MQ utilice el modo de implementación activo/en espera para obtener una alta disponibilidad

• CT.MQ.PR.2: Cómo requerir que un agente MQ de Amazon MQ Rabbit utilice el modo de clúster multi-AZ para obtener una alta disponibilidad

• CT.MSK.PR.1: Cómo requerir que un clúster de Amazon Managed Streaming para Apache Kafka (MSK) aplique cifrado en tránsito entre los nodos del agente del clúster

• CT.MSK.PR.2: Cómo requerir que un clúster de Amazon Managed Streaming para Apache Kafka (MSK) esté configurado con PublicAccess deshabilitado

• CT.NETWORK-FIREWALL.PR.5: Cómo requerir que un firewall de AWS Network Firewall se implemente en varias zonas de disponibilidad

• CT.RDS.PR.26: Cómo requerir que un proxy de base de datos de Amazon RDS exija conexiones de seguridad de la capa de transporte (TLS)

• CT.RDS.PR.27: Cómo requerir que un grupo de parámetros de clúster de base de datos de Amazon RDS exija conexiones de seguridad de la capa de transporte (TLS) para los tipos de motores compatibles

• CT.RDS.PR.28: Cómo requerir que un grupo de parámetros de base de datos de Amazon RDS exija conexiones de seguridad de la capa de transporte (TLS) para los tipos de motores compatibles

• CT.RDS.PR.29: Cómo requerir que un clúster de Amazon RDS no esté configurado para que sea de acceso público mediante la propiedad “PubliclyAccessible”

• CT.RDS.PR.30: Cómo requerir que una instancia de base de datos de Amazon RDS tenga cifrado en reposo configurado para utilizar una clave de KMS que especifique para los tipos de motores compatibles

• CT.S3.PR.12: Cómo requerir que un punto de acceso de Amazon S3 tenga una configuración Bloquear acceso público (BPA) con todas las opciones establecidas en true

Nuevos controles preventivos

• CT.APPSYNC.PV.1 Cómo requerir que se configure una API de GraphQL de AWS AppSync con visibilidad privada

• CT.EC2.PV.1 Cómo requerir que se cree una instantánea de Amazon EBS desde un volumen de EC2 cifrado

• CT.EC2.PV.2 Cómo requerir que se configure un volumen de Amazon EBS adjunto para cifrar los datos en reposo

• CT.EC2.PV.3 Cómo requerir que una instantánea de Amazon EBS no pueda restaurarse públicamente

• CT.EC2.PV.4 Cómo requerir que no se llame a las API directas de Amazon EBS

• CT.EC2.PV.5 Cómo prohibir el uso de la importación y exportación de máquinas virtuales de Amazon EC2

• CT.EC2.PV.6 Cómo prohibir el uso de acciones obsoletas de las API RequestSpotFleet y RequestSpotInstances de Amazon EC2

• CT.KMS.PV.1 Cómo requerir que una política de claves de AWS KMS tenga una instrucción que limite la creación de concesiones de AWS KMS a servicios de AWS

• CT.KMS.PV.2 Cómo requerir que una clave asimétrica de AWS KMS con material de clave RSA utilizada para cifrado no tenga una longitud de clave de 2048 bits

• CT.KMS.PV.3 Cómo requerir que la clave de AWS KMS esté configurada con la comprobación de seguridad de bloqueo de la política de elusión habilitada

• CT.KMS.PV.4 Cómo requerir que una clave administrada por el cliente (CMK) de AWS KMS esté configurada con material de claves que se origina en AWS CloudHSM

• CT.KMS.PV.5 Cómo requerir que una clave administrada por el cliente (CMK) de AWS KMS esté configurada con material de claves importado

• CT.KMS.PV.6 Cómo requerir que una clave administrada por el cliente (CMK) de AWS KMS esté configurada con material de claves que se origina en un almacén de claves externo (XKS)

• CT.LAMBDA.PV.1 Cómo requerir que la URL de una función AWS Lambda utilice autenticación basada en IAM de AWS

• CT.LAMBDA.PV.2 Cómo requerir que la URL de una función AWS Lambda esté configurada para que solo puedan acceder a ella las entidades principales de su Cuenta de AWS

• CT.MULTISERVICE.PV.1: Denegación del acceso a AWS en función de la Región de AWS solicitada para una unidad organizativa

Nuevos controles de detección

• SH.ACM.2: Los certificados RSA administrados por ACM deben usar una longitud de clave de al menos 2048 bits

• SH.AppSync.5: Las API de AWS GraphQL no deben autenticarse con claves de API

• SH.CloudTrail.6: Garantizar que el bucket de S3 utilizado para almacenar registros de CloudTrail no sea de acceso público

• SH.DMS.9: Los puntos finales del DMS deben usar SSL

• SH.DocumentDB.3: Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas

• SH.DynamoDB.3: Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo

• SH.EC2.23: Las pasarelas de tránsito de EC2 no deberían aceptar automáticamente las solicitudes de adjuntos de VPC

• SH.EKS.1: Los puntos de conexión del clúster EKS no deben ser de acceso público

• SH.ElastiCache.3: Los grupos de replicación de ElastiCache deben tener habilitada la conmutación por error automática

• SH.ElastiCache.4: Los grupos de replicación de ElastiCache deben tener habilitado el cifrado en reposo

• SH.ElastiCache.5: Los grupos de replicación de ElastiCache deben tener habilitado el cifrado en tránsito

• SH.ElastiCache.6: Los grupos de replicación de ElastiCache de versiones anteriores de Redis deben tener Redis AUTH activado

• SH.EventBridge.3: Los buses de eventos personalizados de EventBridge deben tener asociada una política basada en recursos

• SH.KMS.4: La rotación de AWS KMS debe estar habilitada

• SH.Lambda.3: Las funciones de Lambda deben estar en una VPC

• SH.MQ.5: Los agentes de ActiveMQ deben usar el modo de implementación activo/en espera

• SH.MQ.6: Los agentes de RabbitMQ deberían usar el modo de implementación de clústeres

• SH.MSK.1: Los clústeres de MSK deben cifrarse en tránsito entre los nodos de los agentes

• SH.RDS.12: La autenticación de IAM debe configurarse para los clústeres de RDS

• SH.RDS.15: Los clústeres de bases de datos de RDS deben configurarse para varias zonas de disponibilidad

• SH.S3.17: Los buckets S3 deben cifrarse en reposo con

• La API EnableControl actualizada puede configurar controles que son configurables.

• La API GetEnabledControl actualizada muestra los parámetros configurados en un control habilitado.

• La nueva API UpdateEnabledControl puede cambiar los parámetros de un control habilitado.

• CreateLandingZone: esta llamada a la API crea una zona de aterrizaje mediante una versión de zona de aterrizaje y un archivo de manifiesto.

• GetLandingZoneOperation: esta llamada a la API devuelve el estado de una operación de zona de aterrizaje específica.

• GetLandingZone: esta llamada a la API devuelve detalles sobre la zona de aterrizaje especificada, incluida la versión, el archivo de manifiesto y el estado.

• UpdateLandingZone: esta llamada a la API actualiza la versión de la zona de aterrizaje o el archivo de manifiesto.

• ListLandingZone: esta llamada a la API devuelve un identificador de zona de aterrizaje (ARN) para una configuración de zona de aterrizaje en la cuenta de administración.

• ResetLandingZone: esta llamada a la API restablece la zona de aterrizaje a los parámetros especificados en la última actualización, lo que puede reparar la desviación. Si la zona de aterrizaje no se ha actualizado, esta llamada restablece la zona de aterrizaje a los parámetros especificados en el momento de la creación.

• DeleteLandingZone: esta llamada a la API retira el servicio de la zona de aterrizaje.

• TagResource: esta llamada a la API añade etiquetas a los controles habilitados en AWS Control Tower.

• UntagResource: esta llamada a la API elimina las etiquetas de los controles habilitados en AWS Control Tower.

• ListTagsForResource: esta llamada a la API devuelve etiquetas de los controles habilitados en AWS Control Tower.

• GetEnabledControl: la llamada a la API proporciona detalles sobre un control habilitado.

• Obtenga una lista de todos los controles que ha habilitado en la biblioteca de controles de AWS Control Tower.

• Para cualquier control habilitado, puede obtener información sobre las regiones en las que se admite, el identificador del control (ARN), el estado de desviación del control y el resumen del estado del control.

Nuevos controles proactivos

• [CT.ATHENA.PR.1] Cómo requerir que un grupo de trabajo de Amazon Athena cifre en reposo los resultados de las consultas de Athena

• [CT.ATHENA.PR.2] Cómo requerir que un grupo de trabajo de Amazon Athena cifre en reposo los resultados de las consultas de Athena con una clave de AWS Key Management Service (KMS)

• [CT.CLOUDTRAIL.PR.4] Cómo requerir que un almacén de datos de eventos de AWS CloudTrail Lake permita cifrado en reposo con una clave AWS KMS

• [CT.DAX.PR.2] Cómo requerir que un clúster de Amazon DAX implemente nodos en al menos tres zonas de disponibilidad

• [CT.EC2.PR.14] Cómo requerir que un volumen de Amazon EBS configurado mediante una plantilla de lanzamiento de Amazon EC2 cifre los datos en reposo

• [CT.EKS.PR.2] Cómo requerir que un clúster de Amazon EKS se configure con cifrado secreto mediante claves de AWS Key Management Service (KMS)

• [CT.ELASTICLOADBALANCING.PR.14] Cómo requerir que un equilibrador de carga de red tenga activado el equilibrador de carga entre zonas

• [CT.ELASTICLOADBALANCING.PR.15] Cómo requerir que un grupo de destino de Elastic Load Balancing v2 no deshabilite explícitamente el equilibrio de carga entre zonas

• [CT.EMR.PR.1] Cómo requerir que se configure una configuración de seguridad de Amazon EMR (EMR) para cifrar datos en reposo en Amazon S3

• [CT.EMR.PR.2] Cómo requerir que se configure una configuración de seguridad de Amazon EMR (EMR) para cifrar datos en reposo en Amazon S3 con una clave de AWS KMS

• [CT.EMR.PR.3] Cómo requerir que se configure una configuración de seguridad de Amazon EMR (EMR) con cifrado de disco local de volumen de EBS mediante una clave de AWS KMS

• [CT.EMR.PR.4] Cómo requerir que se configure una configuración de seguridad de Amazon EMR (EMR) para cifrar datos en tránsito

• [CT.GLUE.PR.1] Cómo requerir que un trabajo de AWS Glue para tener una configuración de seguridad asociada

• [CT.GLUE.PR.2] Cómo requerir que una configuración de seguridad de AWS Glue cifre datos en destinos de Amazon S3 mediante claves de AWS KMS

• [CT.KMS.PR.2] Cómo requerir que una clave asimétrica de AWS KMS con material de clave RSA utilizada para cifrado tenga una longitud de clave superior a 2048 bits

• [CT.KMS.PR.3] Cómo requerir que una política de claves de AWS KMS tenga una instrucción que limite la creación de concesiones de AWS KMS a servicios de AWS

• [CT.LAMBDA.PR.4] Cómo requerir un permiso de capa de AWS Lambda para conceder acceso a una organización de AWS o cuenta de AWS específica

• [CT.LAMBDA.PR.5] Cómo requerir que la URL de una función AWS Lambda utilice autenticación basada en IAM de AWS

• [CT.LAMBDA.PR.6] Cómo requerir una política de CORS de URL de función AWS Lambda para restringir el acceso a orígenes específicos

• [CT.NEPTUNE.PR.4] Cómo requerir un clúster de base de datos de Amazon Neptune para permitir la exportación de registros de Amazon CloudWatch para registros de auditoría

• [CT.NEPTUNE.PR.5] Cómo requerir un clúster de base de datos de Amazon Neptune para establecer un período de retención de copia de seguridad superior o igual a siete días

• [CT.REDSHIFT.PR.9] Cómo requerir que un grupo de parámetros de clúster de Amazon Redshift esté configurado para utilizar una capa de sockets seguros (SSL) para el cifrado de datos en tránsito

• [SH.Athena.1] Los grupos de trabajo de Athena deberían estar cifrados en reposo

• [SH.Neptune.1] Los clústeres de bases de datos de Neptune deberían estar cifrados en reposo

• [SH.Neptune.2] Los clústeres de base de datos de Neptune tienen que publicar registros de auditoría en registros de CloudWatch

• [SH.Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas

• [SH.Neptune.4] Los clústeres de base de datos de Neptune deben tener habilitada la protección contra eliminación.

• [SH.Neptune.5] Los clústeres de bases de datos de Neptune deberían tener habilitadas las copias de seguridad automatizadas

• [SH.Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo

• [SH.Neptune.7] Los clústeres de base de datos de Neptune deben tener habilitada la autenticación de bases de datos de IAM

• [SH.Neptune.8] Los clústeres de base de datos de Neptune deben configurarse para copiar etiquetas a las instantáneas

• [SH.RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo

A continuación se muestra una lista completa de nuevos controles:

• [CT.APPSYNC.PR.1] Cómo requerir que una API de GraphQL de AWS AppSync tenga el registro habilitado

• [CT.CLOUDWATCH.PR.1] Cómo requerir que una alarma de Amazon CloudWatch tenga una acción configurada para el estado de alarma

• [CT.CLOUDWATCH.PR.2] Cómo requerir que un grupo de registros de Amazon CloudWatch se conserve durante al menos un año

• [CT.CLOUDWATCH.PR.3] Cómo requerir que un grupo de registros de Amazon CloudWatch esté cifrado en reposo con una clave de AWS KMS

• [CT.CLOUDWATCH.PR.4] Cómo requerir que se active una acción de alarma de Amazon CloudWatch

• [CT.DOCUMENTDB.PR.1] Cómo requerir que un clúster de Amazon DocumentDB se cifre en reposo

• [CT.DOCUMENTDB.PR.2] Cómo requerir que un clúster de Amazon DocumentDB tenga habilitadas las copias de seguridad automáticas

• [CT.DYNAMODB.PR.2] Cómo requerir que una tabla de Amazon DynamoDB se cifre en reposo mediante claves de AWS KMS

• [CT.EC2.PR.13] Cómo requerir que una instancia de Amazon EC2 tenga habilitada la monitorización detallada

• [CT.EKS.PR.1] Cómo requerir que un clúster de Amazon EKS se configure con el acceso público deshabilitado al punto de conexión del servidor de API de Kubernetes del clúster

• [CT.ELASTICACHE.PR.1] Cómo requerir que un clúster de Amazon ElastiCache para Redis tenga activadas las copias de seguridad automáticas

• [CT.ELASTICACHE.PR.2] Cómo requerir que un clúster de Amazon ElastiCache para Redis tenga activadas las actualizaciones automáticas de versiones secundarias

• [CT.ELASTICACHE.PR.3] Cómo requerir que un grupo de replicación de Amazon ElastiCache para Redis tenga activada la conmutación por error automática

• [CT.ELASTICACHE.PR.4] Cómo requerir que un grupo de replicación de Amazon ElastiCache tenga activado el cifrado en reposo

• [CT.ELASTICACHE.PR.5] Cómo requerir que un grupo de replicación de Amazon ElastiCache para Redis tenga activado el cifrado en tránsito

• [CT.ELASTICACHE.PR.6] Cómo requerir que un clúster de caché de Amazon ElastiCache para utilizar un grupo de subredes personalizado

• [CT.ELASTICACHE.PR.7] Cómo requerir un grupo de replicación de Amazon ElastiCache de versiones anteriores de Redis para tener la autenticación AUTH de Redis

• [CT.ELASTICBEANSTALK.PR.3] Cómo requerir un entorno de AWS Elastic Beanstalk para tener una configuración de registro

• [CT.LAMBDA.PR.3] Cómo requerir que una función AWS Lambda esté en una Amazon Virtual Private Cloud (VPC) administrada por el cliente

• [CT.NEPTUNE.PR.1] Cómo requerir que un clúster de base de datos de Amazon Neptune tenga autenticación de bases de datos de AWS Identity and Access Management (IAM)

• [CT.NEPTUNE.PR.2] Cómo requerir que un clúster de base de datos de Amazon Neptune tenga habilitada la protección contra la eliminación

• [CT.NEPTUNE.PR.3] Cómo requerir que un clúster de base de datos de Amazon Neptune habilite el cifrado de almacenamiento

• [CT.REDSHIFT.PR.8] Cómo requerir que se cifre un clúster de Amazon Redshift

• [CT.S3.PR.9] Cómo requerir que un bucket de Amazon S3 tenga activado el bloqueo de objetos S3

• [CT.S3.PR.10] Cómo requerir que un bucket de Amazon S3 tenga el cifrado del servidor configurado mediante claves de AWS KMS

• [CT.S3.PR.11] Cómo requerir que un bucket de Amazon S3 habilite el control de versiones

• [CT.STEPFUNCTIONS.PR.1] Cómo requerir que una máquina de estado de AWS Step Functions tenga el registro activado

• [CT.STEPFUNCTIONS.PR.2] Cómo requerir que una máquina de estado de AWS Step Functions tenga activado el rastreo de AWS X-Ray

• [SH.S3.4] Los buckets de S3 deben tener habilitado el cifrado del servidor

• [CT.S3.PR.7] Cómo requerir que un bucket de Amazon S3 tenga el cifrado del servidor configurado

Adición de servicios y API globales

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail (cloudtrail:LookupEvents) para permitir la visibilidad de los eventos globales en las cuentas de miembros.

• Facturación unificada de AWS (consolidatedbilling:*)

• Aplicación móvil de la consola de gestión de AWS (consoleapp:*)

• Nivel gratuito de AWS (freetier:*)

• Facturación de AWS (invoicing:*)

• AWS IQ (iq:*)

• Notificaciones de usuarios de AWS (notifications:*)

• Notificaciones de usuarios y contactos de AWS (notifications-contacts:*)

• Amazon Payments (payments:*)

• Configuración fiscal de AWS (tax:*)

Eliminación de servicios y API globales

• Se ha eliminado s3:GetAccountPublic porque no es una acción válida.

• Se ha eliminado s3:PutAccountPublic porque no es una acción válida.

• [SH.Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS

• [SH.APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización

• [SH.APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway

• [SH.CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados

• [SH.EC2.25] Las plantillas de lanzamiento de Amazon EC2 no deben asignar direcciones IP públicas a las interfaces de red

• [SH.ELB.1] El equilibrador de carga de aplicación debe configurarse para redirigir todas las solicitudes HTTP a HTTPS

• [SH.Redshift.10] Los clústeres de Redshift deben cifrarse en reposo

• [SH.SageMaker.2] Las instancias de cuaderno de SageMaker deben lanzarse en una VPC personalizada

• [SH.SageMaker.3] Los usuarios no deberían tener acceso raíz a las instancias del cuaderno de SageMaker

• [SH.WAF.10] Las ACL web de WAFV2 deben tener al menos una regla o grupo de reglas

• Puede aceptar la configuración predeterminada y permitir que AWS Control Tower configure y administre AWS IAM Identity Center en su lugar.

• Puede optar por gestionar AWS IAM Identity Center por su cuenta para reflejar sus requisitos empresariales específicos.

• Si lo desea, puede contratar y autogestionar un proveedor de identidades externo, conectándolo a través del IAM Identity Center, si es necesario. Debe utilizar la opción de proveedor de identidad si el entorno reglamentario exige que utilice un proveedor específico o si trabaja en Regiones de AWS donde AWS IAM Identity Center no está disponible.

Amazon OpenSearch Service

• [CT.OPENSEARCH.PR.1] Cómo requerir un dominio de Elasticsearch para cifrar datos en reposo

• [CT.OPENSEARCH.PR.2] Cómo requerir la creación de un dominio de Elasticsearch en una Amazon VPC especificada por el usuario

• [CT.OPENSEARCH.PR.3] Cómo requerir un dominio de Elasticsearch para cifrar datos enviados entre nodos

• [CT.OPENSEARCH.PR.4] Cómo requerir un dominio de Elasticsearch para enviar registros de errores a Registros de Amazon CloudWatch

• [CT.OPENSEARCH.PR.5] Cómo requerir un dominio de Elasticsearch para enviar registros de auditoría a Registros de Amazon CloudWatch

• [CT.OPENSEARCH.PR.6] Cómo requerir que un dominio de Elasticsearch tenga reconocimiento de zona y al menos tres nodos de datos

• [CT.OPENSEARCH.PR.7] Cómo requerir que un dominio de Elasticsearch tenga al menos tres nodos maestros dedicados

• [CT.OPENSEARCH.PR.8] Cómo requerir un dominio de Elasticsearch Service para utilizar TLSv1.2

• [CT.OPENSEARCH.PR.9] Cómo requerir un dominio de Amazon OpenSearch Service para cifrar datos en reposo

• [CT.OPENSEARCH.PR.10] Cómo requerir la creación de un dominio de Amazon OpenSearch Service en una Amazon VPC especificada por el usuario

• [CT.OPENSEARCH.PR.11] Cómo requerir un dominio de Amazon OpenSearch Service para cifrar datos enviados entre nodos

• [CT.OPENSEARCH.PR.12] Cómo requerir un dominio de Amazon OpenSearch Service para enviar registros de errores a Registros de Amazon CloudWatch

• [CT.OPENSEARCH.PR.13] Cómo requerir un dominio de Amazon OpenSearch Service para enviar registros de auditoría a Registros de Amazon CloudWatch

• [CT.OPENSEARCH.PR.14] Cómo requerir que un dominio de Amazon OpenSearch Service tenga reconocimiento de zona y al menos tres nodos de datos

• [CT.OPENSEARCH.PR.15] Cómo requerir un dominio de Amazon OpenSearch Service para utilizar un control de acceso detallado

• [CT.OPENSEARCH.PR.16] Cómo requerir un dominio de Amazon OpenSearch Service para utilizar TLSv1.2

Amazon EC2 Auto Scaling

• [CT.AUTOSCALING.PR.1] Cómo requerir que un grupo de Amazon EC2 Auto Scaling tenga varias zonas de disponibilidad

• [CT.AUTOSCALING.PR.2] Cómo requerir una configuración de inicio de grupo de Amazon EC2 Auto Scaling para configurar instancias de Amazon EC2 para IMDSv2

• [CT.AUTOSCALING.PR.3] Cómo requerir una configuración de inicio de Amazon EC2 Auto Scaling para tener un límite de respuesta de metadatos de salto único

• [CT.AUTOSCALING.PR.4] Cómo requerir que un grupo de Amazon EC2 Auto Scaling asociado a un Amazon Elastic Load Balancing (ELB) tenga activadas las comprobaciones de estado de ELB

• [CT.AUTOSCALING.PR.5] Cómo requerir que una configuración de inicio de grupo de Amazon EC2 Auto Scaling no tenga instancias de Amazon EC2 con direcciones IP públicas

• [CT.AUTOSCALING.PR.6] Cómo requerir que cualquier grupo de Amazon EC2 Auto Scaling utilice varios tipos de instancia

• [CT.AUTOSCALING.PR.8] Cómo requerir que un grupo de Amazon EC2 Auto Scaling tenga configuradas las plantillas de inicio de EC2

Amazon SageMaker

• [CT.SAGEMAKER.PR.1] Cómo requerir una instancia de cuaderno de Amazon SageMaker para impedir el acceso directo a Internet

• [CT.SAGEMAKER.PR.2] Cómo requerir que las instancias de cuaderno de Amazon SageMaker se implementen en una Amazon VPC personalizada

• [CT.SAGEMAKER.PR.3] Cómo requerir que las instancias de cuaderno de Amazon SageMaker no tengan permitido el acceso raíz

Amazon API Gateway

• [CT.APIGATEWAY.PR.5] Cómo requerir que las rutas Websocket y HTTP de Amazon API Gateway V2 especifiquen un tipo de autorización

Amazon Relational Database Service (RDS)

• [CT.RDS.PR.25] Cómo requerir que un clúster de base de datos de Amazon RDS tenga configurado el registro

• ¿Qué son los Registros de Amazon CloudWatch? en la Guía del usuario de los Registros de Amazon CloudWatch

• ¿Qué es AWS Step Functions? en la Guía para desarrolladores de AWS Step Functions

• Con esta versión, AWS Control Tower desactiva el registro de acceso innecesario para su bucket de registro de acceso, que es el bucket de Amazon S3 en el que se almacenan los registros de acceso en la cuenta de archivo de registro, al tiempo que sigue habilitando el registro de acceso al servidor para los buckets de S3. Esta versión también incluye actualizaciones del control de denegación de regiones que permiten acciones adicionales para los servicios globales, como los planes de AWS Support y AWS Artifact.

• La desactivación del registro de acceso al servidor para el bucket de registro de acceso de AWS Control Tower provoca que Security Hub cree un resultado para el bucket de registro de acceso de la cuenta de archivo de registro. Debido a una regla de AWS Security Hub, [S3.9] el registro de acceso al servidor del bucket S3 debe estar habilitado. En consonancia con Security Hub, le recomendamos que suprima este resultado concreto, tal y como se indica en la descripción de Security Hub de esta regla. Para obtener más información, consulte la información sobre los resultados suprimidos.

• El registro de acceso al bucket de registro (normal) de la cuenta de archivo de registro no ha cambiado en la versión 3.1. En consonancia con las prácticas recomendadas, los eventos de acceso a ese bucket se registran como entradas de registro en el bucket de registro de acceso. Para obtener más información sobre el registro de acceso, consulte Registro de solicitudes con registro de acceso al servidor en la documentación de Amazon S3.

• Hemos actualizado el control de denegación de regiones. Esta actualización permite que más servicios globales realicen acciones. Para obtener más información sobre esta SCP, consulte Deny access to AWS based on the requested Región de AWS y Controls that enhance data residency protection.

  Servicios globales añadidos:

  • AWS Account Management (account:*)

  • AWS Activate (activate:*)

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • Amazon ECR (ecr-public:*)

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS Lightsail (lightsail:Get*)

  • Explorador de recursos de AWS (resource-explorer-2:*)

  • Amazon S3 (s3:CreateMultiRegionAccessPoint, s3:GetBucketPolicyStatus, s3:PutMultiRegionAccessPointPolicy)

  • AWS Savings Plans (savingsplans:*)

  • IAM Identity Center (sso:*)

  • AWS Support App (supportapp:*)

  • Planes de AWS Support (supportplans:*)

  • Sostenibilidad en AWS (sustainability:*)

  • AWS Resource Groups Tagging API (tag:GetResources)

  • Información sobre proveedores de AWS Marketplace (vendor-insights:ListEntitledSecurityProfiles)