Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
janvier - décembre 2022
En 2022, AWS Control Tower a publié les mises à jour suivantes :
-
Des commandes complètes aident à AWS approvisionnement et gestion des ressources
-
APIpour les commandes et un nouveau AWS CloudFormation ressource
-
Inscription et mise à jour simplifiées pour les comptes de membres individuels
-
AFTprend en charge la personnalisation automatique des comptes AWS Control Tower partagés
Opérations de compte simultanées
16 décembre 2022
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower prend désormais en charge les actions simultanées dans Account Factory. Vous pouvez créer, mettre à jour ou inscrire jusqu'à cinq (5) comptes à la fois. Soumettez jusqu'à cinq actions à la suite et consultez l'état d'avancement de chaque demande, pendant que vos comptes finissent de s'accumuler en arrière-plan. Par exemple, vous ne devez plus attendre la fin de chaque processus pour mettre à jour un autre compte ou avant de réenregistrer une unité organisationnelle (UO) complète.
Personnalisation de Account Factory (AFC)
28 novembre 2022
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
La personnalisation des comptes en usine vous permet de personnaliser les comptes nouveaux et existants depuis la console AWS Control Tower. Ces nouvelles fonctionnalités de personnalisation vous donnent la flexibilité de définir des plans de compte, qui sont AWS CloudFormation modèles contenus dans un produit Service Catalog spécialisé. Les plans fournissent des ressources et des configurations entièrement personnalisées. Vous pouvez également choisir d'utiliser des plans prédéfinis, créés et gérés par AWS partenaires, qui vous aident à personnaliser les comptes pour des cas d'utilisation spécifiques.
Auparavant, AWS Control Tower Account Factory ne prenait pas en charge la personnalisation des comptes dans la console. Avec cette mise à jour de Account Factory, vous pouvez prédéfinir les exigences relatives aux comptes et les mettre en œuvre dans le cadre d'un flux de travail bien défini. Vous pouvez appliquer des plans pour créer de nouveaux comptes, pour inscrire d'autres AWS des comptes dans AWS Control Tower et pour mettre à jour les comptes AWS Control Tower existants.
Lorsque vous approvisionnez, enregistrez ou mettez à jour un compte dans Account Factory, vous sélectionnez le plan à déployer. Les ressources spécifiées dans le plan sont mises à disposition sur votre compte. Lorsque la création de votre compte est terminée, toutes les configurations personnalisées peuvent être utilisées immédiatement.
Pour commencer à personnaliser les comptes, vous pouvez définir les ressources correspondant à votre cas d'utilisation prévu dans un produit Service Catalog. Vous pouvez également sélectionner des solutions gérées par des partenaires dans le AWS Bibliothèque de mise en route. Pour de plus amples informations, veuillez consulter Personnalisez les comptes avec Account Factory Customization (AFC).
Des commandes complètes aident à AWS approvisionnement et gestion des ressources
28 novembre 2022
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower prend désormais en charge la gestion complète des contrôles, y compris de nouveaux contrôles proactifs optionnels, mis en œuvre via AWS CloudFormation crochets. Ces contrôles sont qualifiés de proactifs car ils vérifient vos ressources, avant qu'elles ne soient déployées, afin de déterminer si les nouvelles ressources seront conformes aux contrôles activés dans votre environnement.
Plus de 130 nouveaux contrôles proactifs vous aident à atteindre des objectifs politiques spécifiques pour votre environnement de AWS Control Tower, à répondre aux exigences des cadres de conformité aux normes du secteur et à régir les interactions de la AWS Control Tower dans plus de vingt autres AWS services.
La bibliothèque de contrôles AWS Control Tower classe ces contrôles en fonction des paramètres associés AWS services et ressources. Pour plus de détails, voir Contrôles proactifs.
Dans cette version, AWS Control Tower est également intégré à AWS Security Hub, grâce à la nouvelle norme Security Hub Service-Managed Standard : AWS Control Tower, qui prend en charge le AWS Norme relative aux meilleures pratiques de sécurité fondamentales (FSBP). Vous pouvez consulter plus de 160 contrôles Security Hub ainsi que les contrôles AWS Control Tower dans la console, et vous pouvez obtenir un score de sécurité Security Hub pour votre environnement AWS Control Tower. Pour plus d'informations, consultez la section Contrôles du Security Hub.
État de conformité consultable par tous AWS Config rules
18 novembre 2022
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower affiche désormais l'état de conformité de tous AWS Config règles déployées dans les unités organisationnelles enregistrées auprès AWS de Control Tower. Vous pouvez consulter l'état de conformité de tous AWS Config règles qui affectent vos comptes dans AWS Control Tower, qu'ils soient inscrits ou non, sans avoir à naviguer en dehors de la console AWS Control Tower. Les clients peuvent choisir de configurer des règles de configuration, appelées contrôles de détection, dans AWS Control Tower, ou de les configurer directement via le AWS Config service. Les règles déployées par AWS Config sont affichées, ainsi que les règles déployées par AWS Control Tower.
Précédemment, AWS Config règles déployées par le biais du AWS Config le service n'était pas visible dans la console AWS Control Tower. Les clients devaient accéder au AWS Config service d'identification des non-conformes AWS Config règles. Vous pouvez désormais identifier tout non-conforme AWS Config règle dans la console AWS Control Tower. Pour connaître l'état de conformité de toutes vos règles de Config, accédez à la page des détails du compte dans la console AWS Control Tower. Vous verrez une liste indiquant l'état de conformité des contrôles gérés par AWS Control Tower et les règles de configuration déployées en dehors de AWS Control Tower.
APIpour les commandes et un nouveau AWS CloudFormation ressource
1er septembre 2022
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower prend désormais en charge la gestion programmatique des commandes, également appelées garde-corps, par le biais d'une série d'appels. API Un nouveau AWS CloudFormation La ressource prend en charge les API fonctionnalités des contrôles. Pour de plus amples informations, veuillez consulter Automatisez les tâches dans AWS Control Tower et Créez AWS Control Tower des ressources avec AWS CloudFormation.
Ils vous APIs permettent d'activer, de désactiver et de consulter l'état de l'application des commandes de la bibliothèque AWS Control Tower. Ils APIs incluent le support pour AWS CloudFormation, afin que vous puissiez gérer AWS ressources en tant que infrastructure-as-code (iAc). AWSControl Tower propose des contrôles préventifs et de détection optionnels qui expriment vos intentions politiques concernant l'ensemble d'une unité organisationnelle (UO) et chaque AWS compte au sein de l'UO. Ces règles restent en vigueur lorsque vous créez de nouveaux comptes ou modifiez des comptes existants.
APIsinclus dans cette version
-
EnableControl— Cet API appel active un contrôle. Il lance une opération asynchrone qui crée AWS les ressources de l'unité organisationnelle spécifiée et les comptes qu'elle contient.
-
DisableControl— Cet API appel désactive une commande. Il lance une opération asynchrone qui supprime AWS les ressources de l'unité organisationnelle spécifiée et les comptes qu'elle contient.
-
GetControlOperation— Renvoie le statut d'un particulier EnableControlou d'une DisableControlopération.
-
ListEnabledControls— Répertorie les contrôles activés par AWS Control Tower sur l'unité organisationnelle spécifiée et les comptes qu'elle contient.
Pour consulter la liste des noms des commandes facultatives, consultez la section Identifiants de ressource APIs et commandes dans le guide de l'utilisateur AWS de Control Tower.
CfCT prend en charge la suppression d'ensembles de piles
26 août 2022
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
Customizations for AWS Control Tower (CfCT) prend désormais en charge la suppression d'ensembles de piles, en définissant un paramètre dans le manifest.yaml
fichier. Pour de plus amples informations, veuillez consulter Suppression d'un ensemble de piles.
Important
Lorsque vous définissez la valeur de enable_stack_set_deletion
to pour la première foistrue
, la prochaine fois que vous invoquerez CfCT, les ALLressources qui commencent par le préfixeCustomControlTower-
, auxquelles est associée la balise Key:AWS_Solutions, Value: CustomControlTowerStackSet
clé et qui ne sont pas déclarées dans le fichier manifeste sont préparées pour être supprimées.
Conservation personnalisée des journaux
15 août 2022
(Mise à jour requise pour la zone d'atterrissage de la AWS Control Tower. Pour plus d'informations, voirMettez à jour votre zone de landing zone)
AWSControl Tower permet désormais de personnaliser la politique de conservation pour les compartiments Amazon S3 qui stockent vos CloudTrail journaux AWS Control Tower. Vous pouvez personnaliser votre politique de conservation des journaux Amazon S3, par tranches de jours ou d'années, jusqu'à un maximum de 15 ans.
Si vous choisissez de ne pas personnaliser la conservation des journaux, les paramètres par défaut sont de 1 an pour la journalisation standard du compte et de 10 ans pour la journalisation des accès.
Cette fonctionnalité est disponible pour les clients existants via AWS Control Tower lorsque vous mettez à jour ou réparez votre zone d'atterrissage, et pour les nouveaux clients via le processus de configuration de la AWS Control Tower.
Réparation de la dérive des rôles disponible
11 août 2022
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower prend désormais en charge la réparation de la dérive des rôles. Vous pouvez rétablir un rôle requis sans avoir à réparer complètement votre zone d'atterrissage. Si ce type de réparation de dérive est nécessaire, la page d'erreur de la console indique les étapes à suivre pour restaurer le rôle, afin que votre zone de landing zone soit à nouveau disponible.
AWSZone d'atterrissage de la Control Tower, version 3.0
29 juillet 2022
(Mise à jour requise pour la zone d'atterrissage de AWS Control Tower vers la version 3.0. Pour plus d'informations, voirMettez à jour votre zone de landing zone)
AWSLa version 3.0 de Control Tower landing zone inclut les mises à jour suivantes :
-
La possibilité de choisir au niveau de l'organisation AWS CloudTrail ou pour choisir de ne pas suivre les CloudTrail sentiers gérés par AWS Control Tower.
-
Deux nouvelles commandes de détection pour déterminer si AWS CloudTrail enregistre l'activité dans vos comptes.
-
La possibilité d'agréger AWS Config informations sur les ressources mondiales de votre région d'origine uniquement.
-
Une mise à jour de la Région refuse le contrôle.
-
Une mise à jour de la politique gérée, AWSControlTowerServiceRolePolicy.
-
Nous ne créons plus le IAM rôle
aws-controltower-CloudWatchLogsRole
ni le groupe de CloudWatch logaws-controltower/CloudTrailLogs
dans chaque compte inscrit. Auparavant, nous les avions créés dans chaque compte pour le suivi de son compte. Avec les parcours d'organisation, nous n'en créons qu'un dans le compte de gestion.
Les sections suivantes fournissent plus de détails sur chaque nouvelle fonctionnalité.
CloudTrail Sentiers organisés au niveau de l'organisation dans Control Tower AWS
Avec la version 3.0 de landing zone, AWS Control Tower prend désormais en charge le niveau de l'organisation AWS CloudTrail sentiers.
Lorsque vous mettez à jour votre zone de landing zone de AWS Control Tower vers la version 3.0, vous avez la possibilité de sélectionner au niveau de l'organisation AWS CloudTrail sentiers selon vos préférences en matière d'exploitation forestière, ou pour vous désinscrire des CloudTrail sentiers gérés par AWS Control Tower. Lorsque vous passez à la version 3.0, AWS Control Tower supprime les traces existantes au niveau du compte pour les comptes inscrits après une période d'attente de 24 heures. AWSControl Tower ne supprime pas les traces au niveau du compte pour les comptes non inscrits. Dans le cas peu probable où la mise à jour de votre zone d'atterrissage échouerait, mais que l'échec se produirait alors que AWS Control Tower a déjà créé le journal au niveau de l'organisation, vous risquez de devoir payer des frais supplémentaires pour les journaux au niveau de l'organisation et au niveau du compte, jusqu'à ce que votre opération de mise à jour soit terminée avec succès.
À partir de la landing zone 3.0, AWS Control Tower ne propose plus de pistes au niveau du compte qui AWS gère. AWSControl Tower crée plutôt un journal au niveau de l'organisation, actif ou inactif, en fonction de votre sélection.
Note
Après la mise à jour vers la version 3.0 ou ultérieure, vous n'avez pas la possibilité de continuer à suivre les CloudTrail traces au niveau du compte gérées par AWS Control Tower.
Aucune donnée de journalisation n'est perdue dans les journaux agrégés de votre compte, car les journaux restent dans le compartiment Amazon S3 existant dans lequel ils sont stockés. Seuls les sentiers sont supprimés, pas les journaux existants. Si vous sélectionnez l'option permettant d'ajouter des traces au niveau de l'organisation, AWS Control Tower ouvre un nouveau chemin vers un nouveau dossier dans votre compartiment Amazon S3 et continue d'envoyer les informations de journalisation à cet emplacement. Si vous choisissez de ne pas participer aux sentiers gérés par AWS Control Tower, vos journaux existants restent inchangés dans le compartiment.
Conventions de dénomination des chemins pour le stockage des journaux
-
Les journaux de suivi des comptes sont stockés sous la forme suivante :
/
org id
/AWSLogs/… -
Les journaux de suivi de l'organisation sont stockés avec un chemin de la forme suivante :
/
org id
/AWSLogs/org id
/…
Le chemin créé par AWS Control Tower pour les journaux au niveau de votre organisation CloudTrail est différent du chemin par défaut pour un journal créé manuellement au niveau de l'organisation, qui aurait la forme suivante :
-
/AWSLogs/
org id
/…
Pour plus d'informations sur la dénomination des CloudTrail chemins, consultez la section Trouver vos fichiers CloudTrail journaux.
Astuce
Si vous envisagez de créer et de gérer vos propres parcours au niveau de votre compte, nous vous recommandons de créer les nouveaux sentiers avant de terminer la mise à jour de la version 3.0 de la zone d'atterrissage de AWS Control Tower, afin de commencer à vous connecter immédiatement.
À tout moment, vous pouvez choisir de créer de nouveaux CloudTrail parcours au niveau du compte ou de l'organisation et de les gérer vous-même. La possibilité de choisir des CloudTrail parcours gérés par AWS Control Tower au niveau de l'organisation est disponible lors de toute mise à jour de la zone d'atterrissage vers la version 3.0 ou ultérieure. Vous pouvez accepter ou non les parcours organisés au niveau de l'organisation chaque fois que vous mettez à jour votre zone de landing zone.
Si vos journaux sont gérés par un service tiers, assurez-vous de donner le nouveau nom de chemin d'accès à votre service.
Note
Pour les zones d'atterrissage de la version 3.0 ou ultérieure, au niveau du compte AWS CloudTrail les sentiers ne sont pas pris en charge par AWS Control Tower. Vous pouvez créer et gérer vos propres parcours au niveau de votre compte à tout moment, ou vous pouvez opter pour des parcours au niveau de l'organisation gérés par Control Tower. AWS
Enregistrer AWS Config ressources dans la région d'origine uniquement
Dans la version 3.0 de landing zone, AWS Control Tower a mis à jour la configuration de base pour AWS Config afin qu'il enregistre les ressources mondiales dans la région d'origine uniquement. Après la mise à jour vers la version 3.0, l'enregistrement des ressources pour les ressources globales est activé uniquement dans votre région d'origine.
Cette configuration est considérée comme une bonne pratique. Il est recommandé par AWS Security Hub and AWS Config, et elle permet de réaliser des économies en réduisant le nombre d'éléments de configuration créés lors de la création, de la modification ou de la suppression de ressources globales. Auparavant, chaque fois qu'une ressource globale était créée, mise à jour ou supprimée, que ce soit par un client ou par un AWS service, un élément de configuration a été créé pour chaque élément dans chaque région gouvernée.
Deux nouvelles commandes de détection pour AWS CloudTrail journalisation
Dans le cadre du changement au niveau de l'organisation AWS CloudTrail Trails, AWS Control Tower introduit deux nouvelles commandes de détection qui vérifient si elles CloudTrail sont activées. Le premier contrôle comporte des instructions obligatoires et il est activé sur l'unité d'organisation de sécurité lors de la configuration ou des mises à jour de la zone d'atterrissage de la version 3.0 et des versions ultérieures. Le second contrôle fait l'objet de directives fortement recommandées, et il est éventuellement appliqué à toute OUs autre option que l'unité d'organisation de sécurité, pour laquelle la protection de contrôle obligatoire est déjà appliquée.
Contrôle obligatoire : détecter si les comptes partagés relevant de l'unité organisationnelle de sécurité ont AWS CloudTrail ou CloudTrail Lake activé
Contrôle fortement recommandé : détectez si un compte a AWS CloudTrail ou CloudTrail Lake activé
Pour plus d'informations sur les nouvelles commandes, consultez la bibliothèque de commandes The AWS Control Tower.
Une mise à jour du contrôle des refus par région
Nous avons mis à jour la NotActionliste dans la section Region Deny Control pour inclure les actions de certains services supplémentaires, listés ci-dessous :
“chatbot:*”, "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", “s3:GetStorageLensDashboard", “s3:ListStorageLensConfigurations” “s3:GetAccountPublicAccessBlock“,, “s3:PutAccountPublic", “s3:PutAccountPublicAccessBlock“,
Vidéo de procédure
Cette vidéo (3:07) explique comment mettre à jour votre zone d'atterrissage AWS Control Tower existante vers la version 3. Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.
La page Organisation combine les vues OUs et les comptes
18 juillet 2022
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)
La nouvelle page Organisation de AWS Control Tower présente une vue hiérarchique de toutes les unités organisationnelles (OUs) et de tous les comptes. Il combine les informations des pages OUset des comptes, qui existaient auparavant.
Sur la nouvelle page, vous pouvez voir les relations entre le parent OUs et ses comptes imbriquésOUs. Vous pouvez agir sur les regroupements de ressources. Vous pouvez configurer l'affichage des pages. Par exemple, vous pouvez développer ou réduire la vue hiérarchique, filtrer la vue pour afficher les comptes ou OUs uniquement, choisir de n'afficher que vos comptes inscrits et enregistrésOUs, ou vous pouvez afficher des groupes de ressources connexes. Il est plus facile de s'assurer que l'ensemble de votre organisation est correctement mis à jour.
Inscription et mise à jour simplifiées pour les comptes de membres individuels
31 mai 2022
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)
AWSControl Tower vous offre désormais une fonctionnalité améliorée pour mettre à jour et inscrire les comptes des membres individuellement. Chaque compte indique la date à laquelle une mise à jour est disponible, ce qui vous permet de vous assurer plus facilement que vos comptes membres incluent la dernière configuration. Vous pouvez mettre à jour votre zone de landing zone, remédier à la dérive de votre compte ou inscrire un compte dans une unité d'organisation enregistrée, en quelques étapes simples.
Lorsque vous mettez à jour un compte, il n'est pas nécessaire d'inclure l'unité organisationnelle (UO) complète du compte dans chaque action de mise à jour. Par conséquent, le temps nécessaire pour mettre à jour un compte individuel est considérablement réduit.
Vous pouvez enregistrer des comptes dans AWS Control Tower en OUs bénéficiant de l'aide supplémentaire de la console AWS Control Tower. Les comptes existants que vous inscrivez dans AWS Control Tower doivent toujours répondre aux conditions requises, et vous devez ajouter le AWSControlTowerExecution
rôle. Vous pouvez ensuite choisir n'importe quelle unité d'organisation enregistrée et y inscrire le compte en cliquant sur le bouton S'inscrire.
Nous avons séparé la fonctionnalité d'inscription d'un compte du flux de travail de création de compte dans Account Factory, afin de mieux distinguer ces processus similaires et d'éviter les erreurs de configuration lors de la saisie des informations de compte.
AFTprend en charge la personnalisation automatique des comptes AWS Control Tower partagés
27 mai 2022
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)
Account Factory for Terraform (AFT) peut désormais personnaliser et mettre à jour par programmation tous vos comptes gérés par AWS Control Tower, y compris le compte de gestion, le compte d'audit et le compte d'archivage des journaux, ainsi que vos comptes enregistrés. Vous pouvez centraliser la personnalisation de votre compte et la gestion des mises à jour, tout en protégeant la sécurité des configurations de votre compte, car vous définissez le rôle qui exécute le travail.
Le AWSAFTExecutionrôle existant déploie désormais les personnalisations dans tous les comptes. Vous pouvez configurer IAM des autorisations avec des limites qui limitent l'accès au AWSAFTExecutionrôle en fonction de vos exigences commerciales et de sécurité. Vous pouvez également déléguer par programmation les autorisations de personnalisation approuvées dans ce rôle, pour les utilisateurs de confiance. En tant que bonne pratique, nous vous recommandons de limiter les autorisations à celles qui sont nécessaires pour déployer les personnalisations requises.
AFTcrée désormais le nouveau AWSAFTServicerôle pour déployer les AFT ressources dans tous les comptes gérés, y compris les comptes partagés et le compte de gestion. Les ressources étaient auparavant déployées par le AWSAFTExecutionrôle.
Les comptes partagés et de gestion de la AWS Control Tower ne sont pas approvisionnés via Account Factory, ils ne disposent donc pas de produits provisionnés correspondants dans AWS Service Catalog. Par conséquent, vous n'êtes pas en mesure de mettre à jour les comptes partagés et de gestion dans Service Catalog.
Opérations simultanées pour tous les contrôles optionnels
18 mai 2022
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower)
AWSControl Tower prend désormais en charge les opérations simultanées pour les contrôles préventifs, ainsi que pour les contrôles de détection.
Grâce à cette nouvelle fonctionnalité, toute commande optionnelle peut désormais être appliquée ou supprimée simultanément, améliorant ainsi la facilité d'utilisation et les performances de toutes les commandes optionnelles. Vous pouvez activer plusieurs contrôles optionnels sans attendre la fin des opérations de contrôle individuelles. Les seules périodes restreintes sont celles où AWS Control Tower est en train de configurer sa zone d'atterrissage ou lorsqu'elle étend la gouvernance à une nouvelle organisation.
Fonctionnalités prises en charge pour les contrôles préventifs :
-
Appliquez et supprimez différents contrôles préventifs sur la même unité d'organisation.
-
Appliquez et supprimez simultanément différents contrôles préventifs sur différents OUs appareils.
-
Appliquez et supprimez le même contrôle préventif sur plusieurs OUs appareils simultanément.
-
Vous pouvez appliquer et supprimer simultanément tous les contrôles préventifs et de détection.
Vous pouvez découvrir ces améliorations de la simultanéité des contrôles dans toutes les versions publiées de AWS Control Tower.
Lorsque vous appliquez des contrôles préventifs à NestedOUs, les contrôles préventifs affectent tous les comptes OUs imbriqués sous l'unité d'organisation cible, même si ces comptes ne OUs sont pas enregistrés auprès de AWS Control Tower. Les contrôles préventifs sont mis en œuvre à l'aide des politiques de contrôle des services (SCPs), qui font partie de AWS Organizations. Les contrôles Detective sont mis en œuvre à l'aide de AWS Config règles. Les garde-fous restent en vigueur lorsque vous créez de nouveaux comptes ou apportez des modifications à vos comptes existants, et AWS Control Tower fournit un rapport récapitulatif indiquant dans quelle mesure chaque compte est conforme aux politiques que vous avez activées. Pour une liste complète des commandes disponibles, consultez la bibliothèque de commandes The AWS Control Tower.
Comptes de sécurité et de journalisation existants
16 mai 2022
(Disponible lors de la configuration initiale.)
AWSControl Tower vous offre désormais la possibilité de spécifier un AWS compte en tant que compte de sécurité ou de connexion de AWS Control Tower, lors du processus initial de configuration de la zone d'atterrissage. Cette option évite à AWS Control Tower de créer de nouveaux comptes partagés. Le compte de sécurité, appelé compte d'audit par défaut, est un compte restreint qui permet à vos équipes de sécurité et de conformité d'accéder à tous les comptes de votre zone de landing zone. Le compte de journalisation, appelé compte Log Archive par défaut, fonctionne comme un référentiel. Il stocke les journaux des API activités et des configurations de ressources de tous les comptes de votre zone de landing zone.
En intégrant vos comptes de sécurité et de journalisation existants, il est plus facile d'étendre la gouvernance de la AWS Control Tower à vos organisations existantes ou de passer d'une autre zone d'atterrissage à AWS Control Tower. L'option vous permettant d'utiliser les comptes existants s'affiche lors de la configuration initiale de la zone d'atterrissage. Il inclut des contrôles pendant le processus de configuration, qui garantissent le succès du déploiement. AWSControl Tower implémente les rôles et les contrôles nécessaires sur vos comptes existants. Il ne supprime ni ne fusionne aucune ressource ou donnée existante dans ces comptes.
Limite : si vous prévoyez d'apporter des objets existants AWS comptes enregistrés dans AWS Control Tower en tant que comptes d'audit et d'archivage des journaux, et si ces comptes existent AWS Config ressources, vous devez supprimer les ressources existantes AWS Config ressources avant de pouvoir enregistrer les comptes dans AWS Control Tower.
AWSZone d'atterrissage de la Control Tower, version 2.9
22 avril 2022
(Mise à jour requise pour la zone d'atterrissage de AWS Control Tower vers la version 2.9. Pour plus d'informations, voirMettez à jour votre zone de landing zone)
AWSLa version 2.9 de Control Tower landing zone met à jour le redirecteur de notifications Lambda pour qu'il utilise le runtime Python version 3.9. Cette mise à jour corrige la dépréciation de la version 3.6 de Python, prévue pour juillet 2022. Pour les informations les plus récentes, consultez la page d'obsolescence de Python.
AWSZone d'atterrissage de la Control Tower, version 2.8
10 février 2022
(Mise à jour requise pour la zone d'atterrissage de AWS Control Tower vers la version 2.8. Pour plus d'informations, voirMettez à jour votre zone de landing zone)
AWSLa version 2.8 de Control Tower landing zone ajoute des fonctionnalités conformes aux récentes mises à jour du AWS Bonnes pratiques fondamentales en matière de sécurité.
Dans cette version :
-
La journalisation des accès est configurée pour le compartiment de journaux d'accès du compte Log Archive, afin de suivre l'accès au compartiment de journaux d'accès S3 existant.
-
Support pour la politique de cycle de vie est ajouté. Le journal d'accès du compartiment de journaux d'accès S3 existant est défini sur une durée de conservation par défaut de 10 ans.
-
En outre, cette version met à jour AWS Control Tower afin d'utiliser le AWS Rôle lié au service (SLR) fourni par AWS Config, dans tous les comptes gérés (à l'exception du compte de gestion), afin que vous puissiez configurer et gérer les règles de configuration en conséquence AWS Config meilleures pratiques. Les clients qui ne procèdent pas à la mise à niveau continueront à utiliser leur rôle existant.
-
Cette version rationalise le processus de KMS configuration AWS de la Control Tower pour le chiffrement. AWS Config , et cela améliore la messagerie d'état associée dans CloudTrail.
-
La version inclut une mise à jour du contrôle de refus des régions, afin de permettre à la
route53-application-recovery
fonctionnalité d'entrer dansus-west-2
. -
Mise à jour : Le 15 février 2022, nous avons supprimé la file d'attente des lettres mortes pour AWS Fonctions Lambda.
Informations supplémentaires :
-
Si vous désactivez votre zone d'atterrissage, AWS Control Tower ne supprime pas le AWS Config rôle lié au service.
-
Si vous désapprovisionnez un compte Account Factory, AWS Control Tower ne supprime pas le AWS Config rôle lié au service.
Pour mettre à jour votre zone d'atterrissage vers la version 2.8, accédez à la page des paramètres de la zone d'atterrissage, sélectionnez la version 2.8, puis choisissez Mettre à jour. Après avoir mis à jour votre zone d'atterrissage, vous devez mettre à jour tous les comptes régis par AWS Control Tower, comme indiqué dansGestion des mises à jour de configuration dans AWS Control Tower.