Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Janvier 2024 - En cours
Depuis janvier 2024, AWS Control Tower a publié les mises à jour suivantes :
-
AWSControl Tower prend en charge jusqu'à 1 000 comptes par unité d'organisation
-
AWSControl Tower ajoute une sélection de versions pour les zones d'atterrissage
Contrôle descriptif API disponible, accès étendu aux régions et aux contrôles
AWSControl Tower soutient AFT et CfCT dans les régions optionnelles
-
AWSControl Tower prend en charge jusqu'à 100 opérations de contrôle simultanées
-
AWSControl Tower prend en charge les ajustements de quotas en libre-service
-
AWSControl Tower publie le guide de référence sur les contrôles
-
AWSControl Tower met à jour et renomme deux contrôles proactifs
-
AWSControl Tower prend en charge le balisage des EnabledControl ressources dans AWS CloudFormation
AWSControl Tower prend en charge jusqu'à 1 000 comptes par unité d'organisation
30 août 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower a augmenté le nombre maximum de comptes autorisés par unité organisationnelle (UO) de 300 à 1 000. Vous pouvez désormais inscrire jusqu'à 1 000 Comptes AWS dans la gouvernance AWS de la Control Tower en une seule fois, sans modifier la structure de votre unité d'organisation. Les processus d'enregistrement et de réenregistrement des unités d'organisation sont également plus efficaces et nécessitent beaucoup moins de temps pour déployer les ressources de base de AWS Control Tower sur vos comptes.
Certaines limites du compte s'appliquent toujours en raison de la limitation du nombre de AWS CloudFormation
ensembles de piles disponibles. Plus précisément, le nombre maximum de comptes que vous pouvez inscrire dans une unité d'organisation peut varier en fonction du nombre de régions que vous gérez. Pour en savoir plus, consultez Limitations basées sur le sous-jacent AWS services décrits dans le guide de l'utilisateur de AWS Control Tower. Pour une liste complète des Régions AWS où AWS Control Tower est disponible, consultez le Région AWS Tableau
AWSControl Tower ajoute une sélection de versions pour les zones d'atterrissage
15 août 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
Si vous utilisez la version 3.1 ou supérieure de AWS Control Tower landing zone, vous pouvez mettre à jour ou réparer votre zone d'atterrissage sur place dans la version actuelle, ou vous pouvez passer à la version de votre choix. Auparavant, toute mise à jour ou réparation de zone d'atterrissage nécessitait une mise à niveau vers la dernière version de la zone d'atterrissage.
Grâce à la sélection des versions dans la zone de landing zone, vous disposez d'une plus grande flexibilité pour planifier les mises à niveau des versions tout en évaluant les modifications potentielles de votre environnement. Vous n'avez pas à choisir entre réparer la dérive pour rester en conformité, mettre à jour les configurations de votre zone d'atterrissage ou passer à la dernière version de la zone d'atterrissage. Si vous utilisez la version 3.1 ou supérieure de la zone d'atterrissage, vous pouvez choisir de conserver la version actuelle ou de passer à une version plus récente lorsque vous mettez à jour ou réinitialisez les configurations de votre zone d'atterrissage.
Contrôle descriptif API disponible, accès étendu aux régions et aux contrôles
6 août 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower a ajouté deux nouvelles API opérations qui vous aident à trouver plus d'informations sur les commandes disponibles, par programmation. Cette fonctionnalité facilite le déploiement des contrôles grâce à l'automatisation.
-
GetControlAPIRenvoie des informations sur un contrôle activé, notamment l'identifiant de la cible, un résumé des informations de contrôle, une liste des régions cibles et l'état de dérive. -
ListControlsAPIRenvoie une liste paginée de tous les contrôles disponibles dans la bibliothèque de contrôles AWS Control Tower.
Ils APIs sont accessibles par le biais du AWS Espace de noms Control Catalog. Le AWS Control Catalog fait partie de AWS Control Tower, qui inclut des commandes qui vous aident à gérer les autres AWS des services, pas seulement AWS Control Tower. Ce catalogue étendu consolide les contrôles de plusieurs AWS services, afin que vous puissiez voir AWS contrôles en fonction de certains cas d'utilisation courants, tels que : la sécurité, le coût, la durabilité et les opérations. Pour plus d'informations, consultez la API référence du catalogue de contrôle.
Disponibilité régionale étendue
À partir de cette version, vous pouvez étendre la gouvernance AWS de la Control Tower à Régions AWS où certaines de vos commandes (déjà) activées ne sont pas disponibles. En outre, vous pouvez désormais activer certains contrôles dans un plus grand nombre de régions, même si le contrôle n'est pas pris en charge dans toutes les régions que vous gérez.
Auparavant, AWS Control Tower vous empêchait d'étendre la gouvernance aux régions ou d'activer les contrôles, alors qu'elle n'assurait pas la cohérence entre tous vos contrôles activés et régions gouvernées. Avec cette version, vous disposez d'une plus grande flexibilité et d'une plus grande responsabilité pour vous assurer que votre configuration est correcte pour tous les contrôles activés et toutes les régions gouvernées. La AWScommande Control Tower APIs et le catalogue de commandes APIs peuvent vous aider à obtenir des informations sur AWS Les régions dans lesquelles vous êtes protégé par des contrôles activés et les régions dans lesquelles des contrôles supplémentaires peuvent être déployés. Les informations de région et de contrôle sont également disponibles dans la console AWS Control Tower.
AWSControl Tower soutient AFT et CfCT dans les régions optionnelles
18 juillet 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
Aujourd'hui, les frameworks de personnalisation de AWS Control Tower Account Factory for Terraform (AFT) et Customizations for AWS Control Tower (CfCT) sont disponibles en cinq versions supplémentaires Régions AWS: Asie-Pacifique (Hyderabad, Jakarta et Osaka), Israël (Tel Aviv) et Moyen-Orient (UAE).
Account Factory for Terraform (AFT) met en place un pipeline Terraform pour vous aider à approvisionner et à personnaliser des comptes dans Control Tower. AWS Customizations for AWS Control Tower (CfCT) vous permet de personnaliser votre zone d'atterrissage et vos comptes AWS Control Tower avec AWS CloudFormation modèles et politiques de contrôle des services (SCPs).
Pour en savoir plus, consultez les pages Account Factory pour Terraform et Customizations for AWS Control Tower ; consultez le guide de l'utilisateur de AWS Control Tower. Vous pouvez également consulter les notes de publication sur les pages AFT Github et CfCT Github. AFTet CfCT sont pris en charge dans tous AWS Régions, à quelques exceptions près. Pour plus de détails, consultez la section Limitations régionales.
AWSControl Tower ajoute le ListLandingZoneOperations API
26 juin 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower a ajouté un API qui vous permet de récupérer une liste des opérations récemment appliquées à votre zone d'atterrissage et des opérations en cours. Ils API peuvent afficher l'historique des opérations de la zone d'atterrissage et leurs identifiants pendant une période maximale de 90 jours. Pour des exemples d'utilisation, voir Afficher le statut des opérations de votre zone d'atterrissage.
Pour plus d'informations à ce sujet ListLandingZoneOperationsAPI, consultez ListLandingZoneOperationsle AWSControl Tower API Reference.
AWSControl Tower prend en charge jusqu'à 100 opérations de contrôle simultanées
20 mai 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower prend désormais en charge plusieurs opérations de contrôle avec une plus grande simultanéité. Vous pouvez soumettre jusqu'à 100 AWS opérations de contrôle de la Control Tower, dans plusieurs unités organisationnelles (OUs), en même temps, depuis la console ou avecAPIs. Jusqu'à dix (10) opérations peuvent être exécutées simultanément, et les opérations supplémentaires sont mises en file d'attente. De cette façon, vous pouvez configurer une configuration plus standardisée sur plusieurs Comptes AWS, sans la charge opérationnelle liée aux opérations de contrôle répétitives.
Pour suivre l'état de vos opérations de contrôle en cours et en file d'attente, vous pouvez accéder à la nouvelle page des opérations récentes de la console AWS Control Tower, ou vous pouvez appeler la nouvelle. ListControlOperationsAPI
La bibliothèque AWS Control Tower contient plus de 500 contrôles, qui correspondent à différents objectifs, cadres et services de contrôle. Pour un objectif de contrôle spécifique, tel que le chiffrement des données au repos, vous pouvez activer plusieurs contrôles en une seule opération de contrôle, afin de vous aider à atteindre l'objectif. Cette fonctionnalité facilite le développement accéléré, permet une adoption plus rapide des meilleures pratiques de contrôle et atténue les complexités opérationnelles.
AWSControl Tower disponible en AWS Canada Ouest (Calgary)
3 mai 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
À compter d'aujourd'hui, vous pouvez activer AWS Control Tower dans la région du Canada Ouest (Calgary). Si vous avez déjà déployé AWS Control Tower et que vous souhaitez étendre ses fonctionnalités de gouvernance à cette région, vous pouvez le faire avec la zone d'atterrissage de AWS Control TowerAPIs. Ou depuis la console, rendez-vous sur la page des paramètres de votre tableau de bord AWS Control Tower, sélectionnez vos régions, puis mettez à jour votre zone de landing zone.
La région du Canada Ouest (Calgary) ne prend pas en charge AWS Service Catalog. C'est pourquoi certaines fonctionnalités de AWS Control Tower sont différentes. Le changement de fonctionnalité le plus notable est que Account Factory n'est pas disponible. Si vous choisissez Canada-Ouest (Calgary) comme région d'origine, les procédures de mise à jour des comptes, de configuration des automatisations des comptes et de tout autre processus impliquant Service Catalog sont différentes de celles des autres régions.
Comptes de provisionnement
Pour créer et approvisionner un nouveau compte dans la région du Canada Ouest (Calgary), nous vous recommandons de créer un compte en dehors de AWS Control Tower, puis de l'inscrire dans une unité d'organisation enregistrée. Pour plus d'informations, consultez les sections Inscription d'un compte existant et Étapes pour créer un compte.
Le Service Catalog APIs n'est pas disponible dans la région du Canada Ouest (Calgary). L'exemple de script présenté dans Automate Account Provisioning in AWS Control Tower by Service Catalog n'APIsest pas réalisable.
Account Factory Customizations (AFC), Account Factory for Terraform (AFT) et Customizations for AWS Control Tower (CfCT) ne sont pas disponibles dans le Canada-Ouest (Calgary) en raison de l'absence d'autres dépendances sous-jacentes pour Control Tower. AWS Si vous étendez la gouvernance à la région du Canada Ouest (Calgary), vous pouvez continuer à gérer les AFC plans dans toutes les régions prises en charge par AWS Control Tower, à condition que Service Catalog soit disponible dans votre région d'origine.
Contrôles
Contrôles proactifs et contrôles pour AWS Security Hub Service-Managed Standard : AWS Control Tower n'est pas disponible dans la région du Canada Ouest (Calgary). Le contrôle préventif n'CT.CLOUDFORMATION.PR.1est pas disponible dans le Canada-Ouest (Calgary) car il n'est nécessaire que pour activer les contrôles proactifs basés sur des crochets. Certains contrôles de détection basés sur AWS Config ne sont pas disponibles. Pour plus de détails, consultez Limites de contrôle.
Fournisseur d'identité
IAMIdentity Center n'est pas disponible dans le Canada-Ouest (Calgary). La meilleure pratique recommandée est de configurer votre zone de landing zone dans une région où IAM Identity Center est disponible. Vous avez également la possibilité de gérer vous-même la configuration de l'accès à votre compte si vous utilisez un fournisseur d'identité externe dans le Canada-Ouest (Calgary).
L'indisponibilité du Service Catalog dans la région du Canada Ouest (Calgary) n'a aucun effet sur les autres régions prises en charge par AWS Control Tower. Ces différences s'appliquent uniquement si votre région d'origine est le Canada-Ouest (Calgary).
Pour une liste complète des régions dans lesquelles AWS Control Tower est disponible, consultez le AWS Tableau des régions
AWSControl Tower prend en charge les ajustements de quotas en libre-service
25 avril 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower prend désormais en charge les ajustements de quotas en libre-service via la console Service Quotas. Pour de plus amples informations, veuillez consulter Demander une augmentation de quota.
AWSControl Tower publie le guide de référence sur les contrôles
21 avril 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower a publié le Controls Reference Guide, un nouveau document dans lequel vous pouvez trouver des informations détaillées sur les commandes spécifiques à l'environnement de la AWS Control Tower. Ce matériel figurait auparavant dans le guide de l'utilisateur AWS de la Control Tower. Le guide de référence sur les contrôles couvre les contrôles dans un format étendu. Pour plus d'informations, consultez le guide de référence de AWS Control Tower Controls.
AWSControl Tower met à jour et renomme deux contrôles proactifs
26 mars 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower a renommé deux contrôles proactifs afin de les aligner sur les mises à jour d'Amazon OpenSearch Service.
Nous avons mis à jour les noms de contrôle et les artefacts de ces deux contrôles afin de les aligner sur la récente version d'Amazon OpenSearch Service, qui prend désormais en charge la version 1.3 de Transport Layer Security (TLS)
Pour ajouter la prise en charge de la version TLSv1 .3 pour ces contrôles, nous avons mis à jour l'artefact et le nom des contrôles afin de refléter l'intention du contrôle. Ils évaluent désormais la TLS version minimale du domaine de service. Pour effectuer cette mise à jour dans votre environnement, vous devez désactiver et activer les commandes permettant de déployer le dernier artefact.
Aucun autre contrôle proactif n'est affecté par cette modification. Nous vous recommandons de passer en revue ces contrôles afin de vous assurer qu'ils répondent à vos objectifs de contrôle.
Pour toute question ou préoccupation, contactez AWS Support
Les contrôles obsolètes ne sont plus disponibles
12 mars 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
AWSControl Tower a rendu certains contrôles obsolètes. Ces commandes ne sont plus disponibles.
-
CT.ATHENA.PR.1
-
CT.CODEBUILD.PR.4
-
CT.AUTOSCALING.PR.3
-
SH.Athena.1
-
SH.Codebuild.5
-
SH.AutoScaling.4
-
SH.SNS.1
-
SH.SNS.2
AWSControl Tower prend en charge le balisage des EnabledControl ressources dans AWS CloudFormation
22 février 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
Cette version de AWS Control Tower met à jour le comportement de la EnabledControl ressource, afin de mieux l'aligner sur les commandes configurables et d'améliorer la capacité à gérer votre environnement AWS Control Tower grâce à l'automatisation. Avec cette version, vous pouvez ajouter des balises aux EnabledControl ressources configurables au moyen de AWS CloudFormation
modèles. Auparavant, vous pouviez ajouter des tags APIs uniquement via la console AWS Control Tower.
La AWS Control Tower et GetEnabledControl EnableControl les ListTagsforResource API opérations sont mises à jour avec cette version, car elles reposent sur les fonctionnalités EnabledControl des ressources.
Pour plus d'informations, consultez la section Marquage EnabledControl des ressources dans AWS Control Tower et EnabledControldans AWS CloudFormation Guide de l'utilisateur.
AWSControl Tower prend en charge APIs l'enregistrement et la configuration des unités d'organisation avec des lignes de base
14 février 2024
(Aucune mise à jour requise pour la zone d'atterrissage de AWS Control Tower.)
Ils APIs prennent en charge l'enregistrement programmatique de l'unité d'organisation lors de l'EnableBaselineappel. Lorsque vous activez une base de référence sur une unité d'organisation, les comptes des membres de l'unité d'organisation sont inscrits dans la gouvernance AWS de Control Tower. Certaines mises en garde peuvent s'appliquer. Par exemple, l'enregistrement de l'unité d'organisation via la console AWS Control Tower permet des commandes facultatives ainsi que des commandes obligatoires. Lorsque vous appelezAPIs, vous devrez peut-être effectuer une étape supplémentaire pour que les commandes facultatives soient activées.
Une base de référence AWS Control Tower intègre les meilleures pratiques en matière de gouvernance d'une unité d'organisation et des comptes des membres par la AWS Control Tower. Par exemple, lorsque vous activez une base de référence sur une unité d'organisation, les comptes membres de l'unité d'organisation reçoivent un groupe défini de ressources, notamment AWS CloudTrail, AWS Config, IAM Identity Center, et obligatoire AWS IAMrôles.
Des lignes de base spécifiques sont compatibles avec des versions spécifiques AWS de la zone d'atterrissage de Control Tower. AWSControl Tower peut appliquer la dernière ligne de base compatible à votre zone d'atterrissage lorsque vous modifiez les paramètres de votre zone d'atterrissage. Pour de plus amples informations, veuillez consulter Compatibilité des versions de base de l'UO et de la zone d'atterrissage.
Cette version inclut quatre éléments essentiels Types de lignes de base
-
AWSControlTowerBaseline -
AuditBaseline -
LogArchiveBaseline -
IdentityCenterBaseline
Grâce aux nouvelles APIs lignes de base définies, vous pouvez enregistrer OUs et automatiser votre flux de travail de provisionnement des unités d'organisation. Ils peuvent APIs également gérer ceux OUs qui sont déjà sous la gouvernance de la AWS Control Tower, afin que vous puissiez vous réinscrire OUs après les mises à jour de la zone d'atterrissage. Ils APIs incluent le support d'un AWS CloudFormation EnabledBaselineressource, qui vous permet de gérer votre infrastructure sous forme OUs de code (IaC).
Base de référence APIs
-
EnableBaseline, UpdateEnabledBaseline, DisableBaseline: Agissez sur une ligne de base pour une unité d'organisation.
-
GetEnabledBaseline, ListEnabledBaselines: Découvrez les configurations pour vos lignes de base activées.
-
GetBaselineOperation: permet d'afficher le statut d'une opération de référence spécifique.
-
ResetEnabledBaseline: Corrigez la dérive des ressources sur une unité d'organisation avec une ligne de base activée (y compris la dérive de contrôle imbriquée OUs et obligatoire). Corrige également la dérive pour la landing-zone-level Région, refuse le contrôle
-
GetBaseline, ListBaselines: Découvrez le contenu des lignes de base de AWS Control Tower.
Pour en savoir plus à ce sujetAPIs, consultez les lignes de base du guide de l'utilisateur de la AWS Control Tower et le manuel de APIréférence. Les nouveaux APIs sont disponibles en Régions AWS où AWS Control Tower est disponible, sauf dans les régions GovCloud (États-Unis). Pour une liste des Régions AWS où AWS Control Tower est disponible, consultez le Région AWS Tableau.
