Janvier 2024 - En cours - AWS Control Tower
AWSControl Tower ajoute une sélection de versions pour les zones d'atterrissageContrôle descriptif API disponible, accès étendu aux régions et aux contrôlesAWSControl Tower soutient AFT et CfCT dans les régions optionnellesAWSControl Tower ajoute le ListLandingZoneOperations APIAWSControl Tower prend en charge jusqu'à 100 opérations de contrôle simultanéesAWSControl Tower disponible dans l'ouest AWS du Canada (Calgary)AWSControl Tower prend en charge les ajustements de quotas en libre-serviceAWSControl Tower publie le guide de référence sur les contrôlesAWSControl Tower met à jour et renomme deux contrôles proactifsLes contrôles obsolètes ne sont plus disponiblesAWSControl Tower prend en charge le balisage des EnabledControl ressources dans AWS CloudFormationAWSControl Tower prend en charge APIs l'enregistrement et la configuration des unités d'organisation avec des lignes de base

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Janvier 2024 - En cours

Depuis janvier 2024, AWS Control Tower a publié les mises à jour suivantes :

AWSControl Tower ajoute une sélection de versions pour les zones d'atterrissage

15 août 2024

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

Si vous utilisez la version 3.1 ou supérieure de AWS Control Tower landing zone, vous pouvez mettre à jour ou réparer votre zone d'atterrissage sur place dans la version actuelle, ou vous pouvez passer à la version de votre choix. Auparavant, toute mise à jour ou réparation de zone d'atterrissage nécessitait une mise à niveau vers la dernière version de la zone d'atterrissage.

Grâce à la sélection des versions dans la zone de landing zone, vous disposez d'une plus grande flexibilité pour planifier les mises à niveau des versions tout en évaluant les modifications potentielles de votre environnement. Vous n'avez pas à choisir entre réparer la dérive pour rester en conformité, mettre à jour les configurations de votre zone d'atterrissage ou passer à la dernière version de la zone d'atterrissage. Si vous utilisez la version 3.1 ou supérieure de la zone d'atterrissage, vous pouvez choisir de conserver la version actuelle ou de passer à une version plus récente lorsque vous mettez à jour ou réinitialisez les configurations de votre zone d'atterrissage.

Contrôle descriptif API disponible, accès étendu aux régions et aux contrôles

6 août 2024

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower a ajouté deux nouvelles API opérations qui vous aident à trouver plus d'informations sur les commandes disponibles, par programmation. Cette fonctionnalité facilite le déploiement des contrôles grâce à l'automatisation.

  • GetControlAPIRenvoie des informations sur un contrôle activé, notamment l'identifiant de la cible, un résumé des informations de contrôle, une liste des régions cibles et l'état de dérive.

  • ListControlsAPIRenvoie une liste paginée de tous les contrôles disponibles dans la bibliothèque de contrôles AWS Control Tower.

Ils APIs sont accessibles via l'espace de noms AWS Control Catalog. Le AWS Control Catalog fait partie de AWS Control Tower, qui inclut des commandes qui vous aident à gérer d'autres AWS services, et pas seulement AWS Control Tower. Ce catalogue étendu consolide les contrôles de plusieurs AWS services, afin que vous puissiez les visualiser AWS en fonction de certains cas d'utilisation courants, tels que la sécurité, le coût, la durabilité et les opérations. Pour plus d'informations, consultez la API référence du catalogue de contrôle.

Disponibilité régionale étendue

À partir de cette version, vous pouvez étendre la gouvernance de la AWS Control Tower Régions AWS là où certaines de vos commandes (déjà) activées ne sont pas disponibles. En outre, vous pouvez désormais activer certains contrôles dans un plus grand nombre de régions, même si le contrôle n'est pas pris en charge dans toutes les régions que vous gérez.

Auparavant, AWS Control Tower vous empêchait d'étendre la gouvernance aux régions ou d'activer les contrôles, alors qu'elle n'assurait pas la cohérence entre tous vos contrôles activés et régions gouvernées. Avec cette version, vous disposez d'une plus grande flexibilité et d'une plus grande responsabilité pour vous assurer que votre configuration est correcte pour tous les contrôles activés et toutes les régions gouvernées. Le AWScontrôle Control Tower APIs et le catalogue de contrôle APIs peuvent vous aider à obtenir des informations sur les AWS régions dans lesquelles vous êtes protégé par des contrôles activés et sur les régions dans lesquelles des contrôles supplémentaires peuvent être déployés. Les informations de région et de contrôle sont également disponibles dans la console AWS Control Tower.

AWSControl Tower soutient AFT et CfCT dans les régions optionnelles

18 juillet 2024

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

Aujourd'hui, AWS les frameworks de personnalisation Account Factory for Terraform (AFT) et Customizations for AWS Control Tower (CfCT) sont disponibles dans cinq autres pays Régions AWS : Asie-Pacifique (Hyderabad, Jakarta et Osaka), Israël (Tel Aviv) et Moyen-Orient (). UAE

Account Factory for Terraform (AFT) met en place un pipeline Terraform pour vous aider à approvisionner et à personnaliser des comptes dans Control Tower. AWS Customizations for AWS Control Tower (CfCT) vous aide à personnaliser la zone d'atterrissage et les comptes de votre AWS Control Tower à l'aide de AWS CloudFormation modèles et de politiques de contrôle des services ()SCPs.

Pour en savoir plus, consultez les pages Account Factory pour Terraform et Customizations for AWS Control Tower ; consultez le guide de l'utilisateur de AWS Control Tower. Vous pouvez également consulter les notes de publication sur les pages AFT Github et CfCT Github. AFTet les CfCT sont pris en charge dans toutes les AWS régions, à quelques exceptions près. Pour plus de détails, consultez la section Limitations régionales.

AWSControl Tower ajoute le ListLandingZoneOperations API

26 juin 2024

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower a ajouté un API qui vous permet de récupérer une liste des opérations récemment appliquées à votre zone d'atterrissage et des opérations en cours. Ils API peuvent afficher l'historique des opérations de la zone d'atterrissage et leurs identifiants pendant une période maximale de 90 jours. Pour des exemples d'utilisation, voir Afficher le statut des opérations de votre zone d'atterrissage.

Pour plus d'informations à ce sujet ListLandingZoneOperationsAPI, consultez ListLandingZoneOperationsle AWSControl Tower API Reference.

AWSControl Tower prend en charge jusqu'à 100 opérations de contrôle simultanées

20 mai 2024

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower prend désormais en charge plusieurs opérations de contrôle avec une plus grande simultanéité. Vous pouvez soumettre jusqu'à 100 AWS opérations de contrôle de la Control Tower, dans plusieurs unités organisationnelles (OUs), en même temps, depuis la console ou avecAPIs. Jusqu'à dix (10) opérations peuvent être exécutées simultanément, et les opérations supplémentaires sont mises en file d'attente. De cette façon, vous pouvez configurer une configuration plus standardisée sur plusieurs Comptes AWS, sans la charge opérationnelle liée aux opérations de contrôle répétitives.

Pour suivre l'état de vos opérations de contrôle en cours et en file d'attente, vous pouvez accéder à la nouvelle page des opérations récentes de la console AWS Control Tower, ou vous pouvez appeler la nouvelle. ListControlOperationsAPI

La bibliothèque AWS Control Tower contient plus de 500 contrôles, qui correspondent à différents objectifs, cadres et services de contrôle. Pour un objectif de contrôle spécifique, tel que le chiffrement des données au repos, vous pouvez activer plusieurs contrôles en une seule opération de contrôle, afin de vous aider à atteindre l'objectif. Cette fonctionnalité facilite le développement accéléré, permet une adoption plus rapide des meilleures pratiques de contrôle et atténue les complexités opérationnelles.

AWSControl Tower disponible dans l'ouest AWS du Canada (Calgary)

3 mai 2024

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

À compter d'aujourd'hui, vous pouvez activer AWS Control Tower dans la région du Canada Ouest (Calgary). Si vous avez déjà déployé AWS Control Tower et que vous souhaitez étendre ses fonctionnalités de gouvernance à cette région, vous pouvez le faire avec la zone d'atterrissage de AWS Control TowerAPIs. Ou depuis la console, rendez-vous sur la page des paramètres de votre tableau de bord AWS Control Tower, sélectionnez vos régions, puis mettez à jour votre zone de landing zone.

La région du Canada Ouest (Calgary) ne soutient pas AWS Service Catalog. C'est pourquoi certaines fonctionnalités de AWS Control Tower sont différentes. Le changement de fonctionnalité le plus notable est que Account Factory n'est pas disponible. Si vous choisissez Canada-Ouest (Calgary) comme région d'origine, les procédures de mise à jour des comptes, de configuration des automatisations des comptes et de tout autre processus impliquant Service Catalog sont différentes de celles des autres régions.

Comptes de provisionnement

Pour créer et approvisionner un nouveau compte dans la région du Canada Ouest (Calgary), nous vous recommandons de créer un compte en dehors de AWS Control Tower, puis de l'inscrire dans une unité d'organisation enregistrée. Pour plus d'informations, consultez les sections Inscription d'un compte existant et Étapes pour créer un compte.

Le Service Catalog APIs n'est pas disponible dans la région du Canada Ouest (Calgary). L'exemple de script présenté dans Automate Account Provisioning in AWS Control Tower by Service Catalog n'APIsest pas réalisable.

Account Factory Customizations (AFC), Account Factory for Terraform (AFT) et Customizations for AWS Control Tower (CfCT) ne sont pas disponibles dans le Canada-Ouest (Calgary) en raison de l'absence d'autres dépendances sous-jacentes pour Control Tower. AWS Si vous étendez la gouvernance à la région du Canada Ouest (Calgary), vous pouvez continuer à gérer les AFC plans dans toutes les régions prises en charge par AWS Control Tower, à condition que Service Catalog soit disponible dans votre région d'origine.

Contrôles

Les contrôles proactifs et les contrôles pour le AWS Security Hub Service-Managed Standard : AWS Control Tower ne sont pas disponibles dans la région du Canada Ouest (Calgary). Le contrôle préventif n'CT.CLOUDFORMATION.PR.1est pas disponible dans le Canada-Ouest (Calgary) car il n'est nécessaire que pour activer les contrôles proactifs basés sur des crochets. Certaines commandes de détection basées sur ne AWS Config sont pas disponibles. Pour plus de détails, consultez Limites de contrôle.

Fournisseur d'identité

IAMIdentity Center n'est pas disponible dans le Canada-Ouest (Calgary). La meilleure pratique recommandée est de configurer votre zone de landing zone dans une région où IAM Identity Center est disponible. Vous avez également la possibilité de gérer vous-même la configuration de l'accès à votre compte si vous utilisez un fournisseur d'identité externe dans le Canada-Ouest (Calgary).

L'indisponibilité du Service Catalog dans la région du Canada Ouest (Calgary) n'a aucun effet sur les autres régions prises en charge par AWS Control Tower. Ces différences s'appliquent uniquement si votre région d'origine est le Canada-Ouest (Calgary).

Pour une liste complète des régions dans lesquelles AWS Control Tower est disponible, consultez le tableau des AWS régions.

AWSControl Tower prend en charge les ajustements de quotas en libre-service

25 avril 2024

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower prend désormais en charge les ajustements de quotas en libre-service via la console Service Quotas. Pour de plus amples informations, veuillez consulter Demander une augmentation de quota.

AWSControl Tower publie le guide de référence sur les contrôles

21 avril 2024

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower a publié le Controls Reference Guide, un nouveau document dans lequel vous pouvez trouver des informations détaillées sur les commandes spécifiques à l'environnement de la AWS Control Tower. Ce matériel figurait auparavant dans le guide de l'utilisateur AWS de la Control Tower. Le guide de référence sur les contrôles couvre les contrôles dans un format étendu. Pour plus d'informations, consultez le guide de référence de AWS Control Tower Controls.

AWSControl Tower met à jour et renomme deux contrôles proactifs

26 mars 2024

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower a renommé deux contrôles proactifs afin de les aligner sur les mises à jour d'Amazon OpenSearch Service.

Nous avons mis à jour les noms de contrôle et les artefacts de ces deux contrôles afin de les aligner sur la récente version d'Amazon OpenSearch Service, qui prend désormais en charge la version 1.3 de Transport Layer Security (TLS) parmi ses options de sécurité du transport pour la sécurité des points de terminaison de domaine.

Pour ajouter la prise en charge de la version TLSv1 .3 pour ces contrôles, nous avons mis à jour l'artefact et le nom des contrôles afin de refléter l'intention du contrôle. Ils évaluent désormais la TLS version minimale du domaine de service. Pour effectuer cette mise à jour dans votre environnement, vous devez désactiver et activer les commandes permettant de déployer le dernier artefact.

Aucun autre contrôle proactif n'est affecté par cette modification. Nous vous recommandons de passer en revue ces contrôles afin de vous assurer qu'ils répondent à vos objectifs de contrôle.

Pour toute question ou préoccupation, contactez AWS le Support.

Les contrôles obsolètes ne sont plus disponibles

12 mars 2024

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

AWSControl Tower a rendu certains contrôles obsolètes. Ces commandes ne sont plus disponibles.

  • CT.ATHENA.PR.1

  • CT.CODEBUILD.PR.4

  • CT.AUTOSCALING.PR.3

  • SH.Athena.1

  • SH.Codebuild.5

  • SH.AutoScaling.4

  • SH.SNS.1

  • SH.SNS.2

AWSControl Tower prend en charge le balisage des EnabledControl ressources dans AWS CloudFormation

22 février 2024

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

Cette version de AWS Control Tower met à jour le comportement de la EnabledControl ressource, afin de mieux l'aligner sur les commandes configurables et d'améliorer la capacité à gérer votre environnement AWS Control Tower grâce à l'automatisation. Avec cette version, vous pouvez ajouter des balises aux EnabledControl ressources configurables au moyen de AWS CloudFormation modèles. Auparavant, vous pouviez ajouter des tags APIs uniquement via la console AWS Control Tower.

La AWS Control Tower et GetEnabledControl EnableControl les ListTagsforResource API opérations sont mises à jour avec cette version, car elles reposent sur les fonctionnalités EnabledControl des ressources.

Pour plus d'informations, consultez les EnabledControlressources de balisage dans AWS Control Tower et EnabledControldans le guide de l'AWS CloudFormation utilisateur.

AWSControl Tower prend en charge APIs l'enregistrement et la configuration des unités d'organisation avec des lignes de base

14 février 2024

(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)

Ils APIs prennent en charge l'enregistrement programmatique de l'unité d'organisation lors de l'EnableBaselineappel. Lorsque vous activez une base de référence sur une unité d'organisation, les comptes des membres de l'unité d'organisation sont inscrits dans la gouvernance AWS de Control Tower. Certaines mises en garde peuvent s'appliquer. Par exemple, l'enregistrement de l'unité d'organisation via la console AWS Control Tower permet des commandes facultatives ainsi que des commandes obligatoires. Lorsque vous appelezAPIs, il se peut que vous deviez effectuer une étape supplémentaire pour que les commandes facultatives soient activées.

Une base de référence AWS Control Tower intègre les meilleures pratiques en matière de gouvernance d'une unité d'organisation et des comptes des membres par la AWS Control Tower. Par exemple, lorsque vous activez une base de référence sur une unité d'organisation, les comptes membres de l'unité d'organisation reçoivent un groupe défini de ressources AWS CloudTrail AWS Config, notamment IAM Identity Center et AWS IAM les rôles requis.

Des lignes de base spécifiques sont compatibles avec des versions spécifiques AWS de la zone d'atterrissage de Control Tower. AWSControl Tower peut appliquer la dernière ligne de base compatible à votre zone d'atterrissage lorsque vous modifiez les paramètres de votre zone d'atterrissage. Pour de plus amples informations, veuillez consulter Compatibilité des versions de base de l'UO et de la zone d'atterrissage.

Cette version inclut quatre éléments essentiels Types de lignes de base

  • AWSControlTowerBaseline

  • AuditBaseline

  • LogArchiveBaseline

  • IdentityCenterBaseline

Grâce aux nouvelles APIs lignes de base définies, vous pouvez enregistrer OUs et automatiser votre flux de travail de provisionnement des unités d'organisation. Ils peuvent APIs également gérer ceux OUs qui sont déjà sous la gouvernance de la AWS Control Tower, afin que vous puissiez vous réinscrire OUs après les mises à jour de la zone d'atterrissage. Ils APIs incluent le support d'une AWS CloudFormation EnabledBaseline ressource, qui vous permet de gérer votre infrastructure OUs en tant que code (IaC).

Base de référence APIs

  • EnableBaseline, UpdateEnabledBaselineDisableBaseline: Agissez sur une ligne de base pour une unité d'organisation.

  • GetEnabledBaselineListEnabledBaselines: Découvrez les configurations pour vos lignes de base activées.

  • GetBaselineOperation: permet d'afficher le statut d'une opération de référence spécifique.

  • ResetEnabledBaseline: Corrigez la dérive des ressources sur une unité d'organisation avec une ligne de base activée (y compris la dérive de contrôle imbriquée OUs et obligatoire). Corrige également la dérive pour la landing-zone-level Région, refuse le contrôle

  • GetBaselineListBaselines: Découvrez le contenu des lignes de base de AWS Control Tower.

Pour en savoir plus à ce sujetAPIs, consultez les lignes de base du guide de l'utilisateur de la AWS Control Tower et le manuel de APIréférence. Les nouveaux modèles APIs sont disponibles Régions AWS là où AWS Control Tower est disponible, à l'exception des régions GovCloud (États-Unis). Pour une liste des Régions AWS endroits où AWS Control Tower est disponible, consultez le Région AWS tableau.