Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

De enero a diciembre de 2024

En 2024, AWS Control Tower publicó las siguientes actualizaciones:

AWS Control Tower cFCT admite GitHub y RCPs

9 de diciembre de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite GitHub como opción para un sistema de control de versiones (VCS) de terceros y una fuente de configuración para las personalizaciones de la Torre de Control de AWS (CFCT). Para obtener más información, consulte Configurar GitHub como fuente de configuración.

AWS Control Tower ahora admite políticas de control de recursos (RCPs) para las personalizaciones de AWS Control Tower (CFCT). Para obtener más información, consulte Guía de personalización de CfCT.

AWS Control Tower añade controles preventivos con políticas declarativas

1 de diciembre de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite los controles preventivos que se implementan mediante políticas declarativas desde AWS Organizations. Las políticas declarativas se aplican directamente a nivel de servicio. Este enfoque garantiza que se aplique la configuración especificada, incluso cuando el servicio introduzca nuevas funciones o APIs cuando el servicio introduzca nuevas funciones. Para obtener más información, consulte Controles implementados con políticas declarativas.

AWS Control Tower agrega opciones de planes de respaldo prescriptivos

25 de noviembre de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite AWS Backup planes prescriptivos que le permiten incorporar un flujo de trabajo de respaldo y recuperación de datos directamente en su landing zone. El plan de copias de seguridad incluye reglas predefinidas, como los días de retención, la frecuencia de las copias de seguridad y el período durante el que se realizan las copias de seguridad. Estas reglas definen cómo hacer copias de seguridad de sus AWS recursos en todas las cuentas de los miembros reguladas. Al aplicar un plan de respaldo a la zona de aterrizaje, AWS Control Tower se asegura de que el plan sea coherente para todas las cuentas de los miembros y se ajuste a las recomendaciones de prácticas recomendadas de AWS Backup.

Para obtener más información, consulte AWS Backup y AWS Control Tower.

AWS Control Tower integra AWS Config los controles

21 de noviembre de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha integrado AWS Config controles seleccionados para que AWS Control Tower pueda verlos y gestionarlos.

Para obtener más información, consulte AWS Config Controles integrados disponibles en AWS Control Tower

AWS Control Tower mejora la administración de enlaces y añade regiones de control proactivo

20 de noviembre de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Con esta versión, AWS Control Tower gestiona los enlaces implementados para controles proactivos. Además, los controles proactivos están disponibles en la región de Canadá Oeste (Calgary) y en la región de Asia Pacífico (Malasia).

Anteriormente, AWS Control Tower dependía de AWS CloudFormation Hooks para ofrecer funciones de control proactivo. Como resultado, los ganchos desplegados estaban protegidos, de modo que solo AWS Control Tower podía modificarlos. Con esta versión, el servicio AWS Control Tower gestiona los enlaces implementados por los controles proactivos. Puede crear sus propios enlaces y, al mismo tiempo, beneficiarse de los controles proactivos de la Torre de Control de AWS.

Si actualmente implementa controles proactivos, puede pasar a esta funcionalidad de enlace mejorada. Para ello, restablezca los controles proactivos que están activos en cada unidad organizativa, mediante una llamada a la ResetEnabledControl API o actualizando el control desde la consola con la función de restablecimiento. Al realizar esta tarea, AWS Control Tower traslada los ganchos de control proactivo a una nueva capacidad, en la que AWS Control Tower gestiona directamente los ganchos.

Además, puede eliminar el control CT.CLOUDFORMATION.PR.1 después de restablecer los controles proactivos, si no lo utiliza para ningún otro propósito. Ese control era necesario para proteger los ganchos. AWS CloudFormation

AWS Control Tower lanza políticas de control de recursos gestionados

15 de noviembre de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ofrece un nuevo tipo de control preventivo, que se implementa con políticas de control de recursos (RCPs). Estos controles le ayudan a establecer un perímetro de datos en todo su entorno de la Torre de Control Tower de AWS para proteger sus recursos del acceso no deseado.

Por ejemplo, puede habilitar controles basados en RCP para Amazon S3 AWS Security Token Service AWS Key Management Service, Amazon SQS y servicios. AWS Secrets Manager Un control basado en RCP puede hacer cumplir un requisito como «Exigir que solo los directores de IAM que pertenezcan a la organización o un AWS servicio puedan acceder a los recursos de Amazon S3 de la organización», independientemente de los permisos otorgados en las políticas de bucket individuales.

Puede configurar los nuevos controles basados en el RCP y algunos controles preventivos basados en el SCP existentes para especificar las exenciones de IAM para los directores y los recursos. AWS Si no desea que un principal o un recurso se rija por el control, puede configurar una exención.

Al combinar los controles preventivos, proactivos y de detección en AWS Control Tower, puede supervisar si su AWS entorno de múltiples cuentas es seguro y se administra de acuerdo con las mejores prácticas, como el estándar AWS Foundational Security Best Practices.

Estos nuevos controles preventivos basados en RCP están disponibles en los Regiones de AWS lugares donde está disponible AWS Control Tower. Para obtener una lista completa de los Regiones de AWS lugares donde está disponible la Torre de Control de AWS, consulte la Región de AWS tabla.

AWS Control Tower informa de un cambio en la política de control

15 de noviembre de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora informa sobre desviaciones en las políticas de control, tanto para los controles implementados con políticas de control de recursos (RCPs) como para los controles que forman parte del estándar gestionado por el servicio Security Hub: AWS Control Tower. Este tipo de desviación se puede corregir con la nueva API. ResetEnabledControl Para obtener más información, consulte Types of Governance Drift.

Nueva API ResetEnabledControl

14 de noviembre de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower anuncia una nueva API que le ayudará a gestionar la desviación de control mediante programación. Puede reparar la desviación de control y restablecer un control a la configuración deseada. La ResetEnabledControl API funciona con los controles opcionales de la Torre de Control de AWS, incluidos los controles altamente recomendados y opcionales.

La desviación de control se produce cuando se modifica un control de la Torre de Control de AWS fuera de la Torre de Control de AWS, por ejemplo, desde la AWS Organizations consola. La resolución de la desviación contribuye a garantizar la conformidad con los requisitos de gobernanza.

El catálogo de control actualiza GetControl la API

8 de noviembre de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite una GetControl API actualizada que incluye dos campos nuevos: Implementation tipos para todos los controles y Parameters para determinados controles que se pueden configurar.

La GetControl API forma parte del espacio de controlcatalog nombres de AWS Control Tower.

Para obtener más información, consulte la GetControlAPI en la referencia de API del catálogo de control.

AWS Control Tower AFT admite GitLab

23 de octubre de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite GitLab y GitLab Self-Managed como opciones para un sistema de control de versiones (VCS) de terceros y una fuente de configuración para Account Factory for Terraform (AFT).

La Torre de Control de AWS está disponible en la región de AWS Asia Pacífico (Malasia)

21 de octubre de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está disponible en la región de Asia-Pacífico (Malasia) de AWS .

Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la tabla de regiones de AWS.

AWS Control Tower admite hasta 1000 cuentas por OU

30 de agosto de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha aumentado el número máximo de cuentas permitidas por unidad organizativa (OU) de 300 a 1000. Ahora puede inscribir hasta 1000 personas a la vez Cuentas de AWS en la gobernanza de la Torre de Control de AWS, sin cambiar la estructura de la unidad organizativa. Los procesos de registro y anulación del registro de las OU también son más eficientes y requieren mucho menos tiempo para implementar los recursos de línea de base de AWS Control Tower en sus cuentas.

Se siguen aplicando algunas limitaciones de las cuentas debido a las limitaciones en la cantidad de conjuntos de pilas de AWS CloudFormation disponibles. En concreto, el número máximo de cuentas que puede inscribir en una OU puede variar en función del número de regiones que controle. Para obtener más información, consulte Limitaciones basadas en AWS los servicios subyacentes en la Guía del usuario de AWS Control Tower. Para obtener una lista completa de Regiones de AWS en las que AWS Control Tower está disponible, consulte la tabla de regiones de Región de AWS.

AWS Control Tower añade una selección de versiones de zona de aterrizaje

15 de agosto de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Si ejecuta la versión 3.1 o superior de la zona de aterrizaje de AWS Control Tower, puede actualizar o reparar la zona de aterrizaje en la versión actual, o bien actualizar a la versión que prefiera. Anteriormente, cualquier actualización o reparación de una zona de aterrizaje exigía una actualización a la última versión de la zona de aterrizaje.

Con la selección de versiones de zona de aterrizaje, dispone de más flexibilidad para planificar las actualizaciones de la versión mientras evalúa los posibles cambios en el entorno. No tiene que elegir entre reparar la desviación para seguir cumpliendo las normas, actualizar las configuraciones de la zona de aterrizaje o actualizar a la última versión de la zona de aterrizaje. Si ejecuta la versión 3.1 o superior de la zona de aterrizaje, puede optar por permanecer en la versión actual o bien actualizar a una versión más reciente, cuando actualice o restablezca las configuraciones de la zona de aterrizaje.

API de control descriptiva disponible, acceso ampliado a regiones y controles

6 de agosto de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower añadió dos nuevas operaciones de API que le ayudan a encontrar más información sobre los controles disponibles mediante programación. Esta funcionalidad facilita la implementación de controles con automatización.

APIs Se accede a ellos a través del espacio de nombres AWS Control Catalog. El catálogo de AWS control forma parte de la Torre de Control de AWS, que incluye controles que le ayudan a gestionar otros AWS servicios, no solo la Torre de Control de AWS. Este catálogo ampliado consolida los controles de varios AWS servicios, de modo que puede ver AWS los controles de acuerdo con algunos casos de uso comunes, como la seguridad, el costo, la durabilidad y las operaciones. Para obtener más información, consulte Control Catalog API Reference.

Disponibilidad ampliada por región

A partir de esta versión, puede ampliar la gobernanza de AWS Control Tower en Regiones de AWS donde algunos de sus controles (ya) habilitados no estén disponibles. Además, ahora puede habilitar determinados controles en más regiones, aunque el control no esté disponible en todas las regiones gobernadas.

Anteriormente, AWS Control Tower le impedía ampliar la gobernanza a las regiones o habilitar los controles, cuando no ofrecía coherencia en todos los controles habilitados y las regiones gobernadas. Con esta versión, tiene más flexibilidad y más responsabilidad a la hora de garantizar que la configuración sea correcta para todos los controles habilitados y todas las regiones gobernadas. El control de la Torre de Control de AWS APIs y el catálogo de controles APIs pueden ayudarle a obtener información sobre las AWS regiones en las que está protegido por los controles habilitados y las regiones en las que se pueden implementar controles adicionales. La información de la región y el control también está disponible en la consola de AWS Control Tower.

AWS Control Tower admite AFT y CfCT en regiones de inscripción

18 de julio de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

En la actualidad, los marcos de personalización de AWS Control Tower Account Factory for Terraform (AFT) y Customizations for AWS Control Tower (cFCT) están disponibles en cinco versiones adicionales Regiones de AWS: Asia Pacífico (Hyderabad, Yakarta y Osaka), Israel (Tel Aviv) y Oriente Medio (Emiratos Árabes Unidos).

El generador de cuentas para Terraform (AFT) configura una canalización de Terraform para ayudarlo a aprovisionar y personalizar cuentas en AWS Control Tower. Las personalizaciones para AWS Control Tower (cFCT) le ayudan a personalizar la zona de aterrizaje y las cuentas de AWS Control Tower con AWS CloudFormation plantillas y políticas de control de servicios ()SCPs.

Para obtener más información, visite las páginas del generador de cuentas para Terraform y de las personalizaciones para AWS Control Tower en la Guía del usuario de AWS Control Tower. También puede consultar las notas de la versión en la página de GitHub de AFT y en la página de GitHub de CfCT. AFT y cFCT son compatibles en todas AWS las regiones, con algunas excepciones. Para obtener información específica, consulte Region limitations.

AWS Control Tower añade la API ListLandingZoneOperations

26 de junio de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha añadido una API que le permite recuperar una lista de las operaciones aplicadas recientemente a la zona de aterrizaje y las operaciones actualmente en curso. La API puede devolver el historial de operaciones de las zonas de aterrizaje y sus identificadores durante un máximo de 90 días. Para ver ejemplos de uso, consulte View the status of your landing zone operations.

Para obtener más información acerca de la API ListLandingZoneOperations, consulte ListLandingZoneOperations en la Referencia de la API de AWS Control Tower.

AWS Control Tower admite hasta 100 operaciones de control simultáneas

20 de mayo de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite varias operaciones de control con mayor simultaneidad. Puede enviar hasta 100 operaciones de control de la Torre de Control de AWS, en varias unidades organizativas (OUs), al mismo tiempo, desde la consola o con APIs. Pueden ejecutarse hasta diez (10) operaciones simultáneamente y las adicionales se ponen en cola. De esta forma, puede establecer una configuración más estandarizada en varias Cuentas de AWS, sin la carga operativa que representan las operaciones de control repetitivas.

Para supervisar el estado de las operaciones de control en curso y en cola, puede ir a la nueva página Operaciones recientes en la consola de AWS Control Tower o puede llamar a la nueva API ListControlOperations.

La biblioteca de AWS Control Tower contiene más de 500 controles, que se asignan a diferentes objetivos, marcos y servicios de control. Para un objetivo de control específico, como Cifrar datos en reposo, puede habilitar varios controles con una sola operación de control para ayudarlo a lograr el objetivo. Esta capacidad facilita el desarrollo acelerado, permite una adopción más rápida de los controles de prácticas recomendadas y mitiga las complejidades operativas.

AWS Control Tower está disponible en la región Oeste de Canadá (Calgary) de AWS

3 de mayo de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

A partir de hoy, puede activar AWS Control Tower en la región Oeste de Canadá (Calgary). Si ya ha implementado AWS Control Tower y quiere extender sus funciones de gobierno a esta región, puede hacerlo con la zona de aterrizaje de AWS Control Tower APIs. Asimismo, desde la consola, vaya a la página Configuración del panel de control de AWS Control Tower, seleccione sus regiones y, a continuación, actualice la zona de aterrizaje.

La región Oeste de Canadá (Calgary) no es compatible con AWS Service Catalog. Por este motivo, algunas funcionalidades de AWS Control Tower son diferentes. El cambio de funcionalidad más notable es que el generador de cuentas no está disponible. Si elige Oeste de Canadá (Calgary) como región de origen, los procedimientos para actualizar las cuentas, configurar las automatizaciones de cuentas y cualquier otro proceso que implique a Service Catalog son diferentes a los de otras regiones.

Cuentas aprovisionadas

Para crear y aprovisionar una nueva cuenta en la región Oeste de Canadá (Calgary), le recomendamos que cree una cuenta fuera de AWS Control Tower y, a continuación, la inscriba en una OU registrada. Para obtener más información, consulte Enroll an existing account y Steps to enroll an account.

El Service Catalog no APIs está disponible en la región Canadá Oeste (Calgary). El script de ejemplo que se muestra en Automatizar el aprovisionamiento de cuentas en AWS Control Tower by Service Catalog APIs no funciona.

Las personalizaciones del generador de cuentas (AFC), el generador de cuentas para Terraform (AFT) y las personalizaciones para AWS Control Tower (CfCT) no están disponibles en Oeste de Canadá (Calgary) debido a la falta de otras dependencias subyacentes de AWS Control Tower. Si amplía la gobernanza a la región Oeste de Canadá (Calgary), podrá seguir administrando los esquemas de AFC en todas las regiones compatibles con AWS Control Tower, siempre y cuando Service Catalog esté disponible en la región de origen.

Controles

Los controles proactivos y los controles para el estándar administrado por servicios de AWS Security Hub : AWS Control Tower no está disponible en la región Oeste de Canadá (Calgary). El control preventivo CT.CLOUDFORMATION.PR.1 no está disponible en Oeste de Canadá (Calgary) porque solo es necesario para activar los controles proactivos basados en enlaces. Algunos controles de detección basados en no AWS Config están disponibles. Para obtener más información, consulte Limitaciones de control.

Proveedor de identidades

IAM Identity Center no está disponible en la región Oeste de Canadá (Calgary). La práctica recomendada es configurar la zona de aterrizaje en una región en la que esté disponible IAM Identity Center. Como alternativa, tiene la opción de administrar por sí mismo la configuración de acceso a la cuenta si utiliza un proveedor de identidad externo en Oeste de Canadá (Calgary).

La falta de disponibilidad de Service Catalog en la región Oeste de Canadá (Calgary) no afecta a las demás regiones compatibles con AWS Control Tower. Estas diferencias se aplican solo si la región de origen es Oeste de Canadá (Calgary).

Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la tabla de regiones de AWS.

AWS Control Tower admite ajustes de cuotas de autoservicio

25 de abril de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite ajustes de cuotas de autoservicio a través de la consola de Service Quotas. Para obtener más información, consulte Solicitud de un aumento de cuota.

AWS Control Tower publica la Guía de referencia de controles

21 de abril de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower publicó la Guía de referencia de controles, un nuevo documento en el que puede encontrar información detallada sobre los controles específicos del entorno de AWS Control Tower. Este material se incluía anteriormente en la Guía del usuario de AWS Control Tower. La Guía de referencia de controles abarca los controles en un formato ampliado. Para obtener más información, consulte AWS Control Tower Controls Reference Guide.

AWS Control Tower actualiza y cambia el nombre de dos controles proactivos

26 de marzo de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha cambiado el nombre de dos controles proactivos para adaptarlos a las actualizaciones de Amazon OpenSearch Service.

Hemos actualizado los nombres de los controles y los artefactos de estos dos controles para adaptarlos a la versión reciente de Amazon OpenSearch Service, que ahora es compatible con la versión 1.3 de Transport Layer Security (TLS) entre sus opciones de seguridad de transporte para la seguridad de puntos finales de dominio.

Para añadir compatibilidad con la versión TLSv1 .3 a estos controles, hemos actualizado el artefacto y el nombre de los controles para que reflejen la intención del control. Ahora evalúan la versión mínima de TLS del dominio de servicio. Para realizar esta actualización en el entorno, debe Deshabilitar y Habilitar los controles para implementar el artefacto más reciente.

Ningún otro control proactivo se ve afectado por este cambio. Le recomendamos que revise estos controles para asegurarse de que cumplen sus objetivos de control.

Si tiene preguntas o dudas, póngase en contacto con AWS Support.

Los controles obsoletos ya no están disponibles

12 de marzo de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha retirado algunos controles. Estos controles ya no están disponibles.

AWS Control Tower admite el etiquetado de EnabledControl recursos en AWS CloudFormation

22 de febrero de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Esta versión de AWS Control Tower actualiza el comportamiento del recurso EnabledControl para adaptarlo mejor a los controles configurables y mejorar la capacidad de administrar el entorno de AWS Control Tower con automatización. Con esta versión, puede añadir etiquetas a los recursos EnabledControl configurables mediante plantillas de AWS CloudFormation . Anteriormente, APIs solo podía añadir etiquetas a través de la consola de la Torre de Control de AWS.

Las operaciones de las API GetEnabledControl, EnableControl y ListTagsforResource de AWS Control Tower se actualizan con esta versión porque dependen de la funcionalidad de los recursos EnabledControl.

Para obtener más información, consulte Tagging EnabledControl resources in AWS Control Tower y EnabledControl en la Guía del usuario de AWS CloudFormation .

AWS Control Tower admite el registro y APIs la configuración de unidades organizativas con líneas base

14 de febrero de 2024

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Estos permiten APIs el registro programático de la OU con la llamada. EnableBaseline Cuando habilita una línea de base en una OU, las cuentas de miembros de la OU se inscriben en la gobernanza de AWS Control Tower. Pueden aplicarse determinadas advertencias. Por ejemplo, el registro de la OU a través de la consola de AWS Control Tower permite controles opcionales y obligatorios. Cuando llames APIs, es posible que tengas que completar un paso adicional para activar los controles opcionales.

La línea de base de AWS Control Tower incorpora prácticas recomendadas para la gobernanza de AWS Control Tower de una OU y de las cuentas de miembros. Por ejemplo, al habilitar una línea base en una OU, las cuentas de los miembros de la OU reciben un grupo definido de recursos, que incluye AWS CloudTrail el centro de identidad de IAM y las funciones de AWS IAM requeridas. AWS Config

Las líneas de base específicas son compatibles con versiones específicas de zona de aterrizaje de AWS Control Tower. AWS Control Tower puede aplicar la última línea de base compatible con su zona de aterrizaje al cambiar la configuración de esta. Para obtener más información, consulte Compatibilidad de las versiones de base de referencia y de zonas de aterrizaje de la OU.

Con las líneas base nuevas APIs y definidas, puede registrar y automatizar su flujo de trabajo de aprovisionamiento de OUs unidades organizativas. APIs También pueden gestionar los OUs que ya están bajo el gobierno de la Torre de Control de AWS, por lo que puede volver a registrarse OUs después de las actualizaciones de landing zone. APIs Incluyen soporte para un AWS CloudFormation EnabledBaseline recurso, que le permite administrar su OUs infraestructura como código (IaC).

Para obtener más información al respecto APIs, consulte las líneas de referencia en la Guía del usuario de AWS Control Tower y en la referencia de la API. Las nuevas APIs están disponibles en los Regiones de AWS lugares donde está disponible la Torre de Control de AWS, excepto en las regiones GovCloud (EE. UU.). Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la Región de AWS tabla.