Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Januari - Desember 2021
Pada tahun 2021, AWS Control Tower merilis pembaruan berikut:
Wilayah menolak kemampuan
November 30, 2021
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)
AWSControl Tower sekarang menyediakan kemampuan penolakan Wilayah, yang membantu Anda membatasi akses AWS layanan dan operasi untuk akun terdaftar di lingkungan AWS Control Tower Anda. Fitur Region deny melengkapi pemilihan Region dan fitur pembatalan Region yang ada di AWS Control Tower. Bersama-sama, fitur-fitur ini membantu Anda mengatasi masalah kepatuhan dan peraturan, sambil menyeimbangkan biaya yang terkait dengan perluasan ke Wilayah tambahan.
Misalnya, AWS pelanggan di Jerman dapat menolak akses ke AWS layanan di Wilayah di luar Wilayah Frankfurt. Anda dapat memilih Wilayah terbatas selama proses AWS penyiapan Control Tower, atau di halaman pengaturan zona pendaratan. Fitur penolakan Wilayah tersedia saat Anda memperbarui versi landing zone AWS Control Tower Anda. Pilih AWS Layanan dikecualikan dari kemampuan penolakan Wilayah. Untuk mempelajari lebih lanjut, lihat Mengonfigurasi wilayah tolak kontrol.
Fitur residensi data
November 30, 2021
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
AWSControl Tower sekarang menawarkan kontrol yang dibuat khusus untuk membantu memastikan bahwa setiap data pelanggan yang Anda unggah AWS Layanan hanya terletak di AWS Wilayah yang Anda tentukan. Anda dapat memilih AWS Wilayah atau Wilayah tempat data pelanggan Anda disimpan dan diproses. Untuk daftar lengkap AWS Daerah di mana AWS Control Tower tersedia, lihat AWS Tabel Wilayah
Untuk kontrol granular, Anda dapat menerapkan kontrol tambahan, seperti Larang koneksi Amazon Virtual Private Network (VPN), atau Larang akses internet untuk instans Amazon. VPC Anda dapat melihat status kepatuhan kontrol di konsol AWS Control Tower. Untuk daftar lengkap kontrol yang tersedia, lihat Pustaka AWS kontrol Control Tower.
AWSControl Tower memperkenalkan penyediaan dan penyesuaian akun Terraform
November 29, 2021
(Update opsional untuk AWS Control Tower landing zone)
Anda sekarang dapat menggunakan Terraform untuk menyediakan dan memperbarui akun yang disesuaikan melalui AWS Control Tower, dengan Control Tower Account Factory untuk Terraform (). AWS AFT
AFTmenyediakan infrastruktur Terraform tunggal sebagai pipa kode (IAc), yang menyediakan akun yang dikelola oleh Control TowerAWS. Penyesuaian selama penyediaan membantu memenuhi kebijakan bisnis dan keamanan Anda, sebelum Anda memberikan akun kepada pengguna akhir.
Pipeline pembuatan akun AFT otomatis memantau hingga penyediaan akun selesai, dan kemudian berlanjut, memicu modul Terraform tambahan yang meningkatkan akun dengan penyesuaian yang diperlukan. Sebagai bagian tambahan dari proses penyesuaian, Anda dapat mengonfigurasi pipeline untuk menginstal modul Terraform kustom Anda sendiri, dan Anda dapat memilih untuk menambahkan salah satu Opsi AFT Fitur, yang disediakan oleh AWS untuk kustomisasi umum.
Mulailah dengan AWS Control Tower Account Factory untuk Terraform dengan mengikuti langkah-langkah yang disediakan dalam Panduan Pengguna AWS Control Tower,Menyebarkan AWS Control Tower Account Factory untuk Terraform () AFT, dan dengan mengunduh AFT instans Terraform Anda. AFTmendukung distribusi Terraform Cloud, Terraform Enterprise, dan Terraform Open Source.
Acara siklus hidup baru tersedia
November 18, 2021
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
PrecheckOrganizationalUnitPeristiwa mencatat apakah sumber daya apa pun memblokir tugas Perluas tata kelola agar tidak berhasil, termasuk sumber daya di OUs nested. Untuk informasi selengkapnya, lihat PrecheckOrganizationalUnit.
AWSControl Tower memungkinkan bersarang OUs
November 16, 2021
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
AWSControl Tower sekarang memungkinkan Anda untuk memasukkan nested OUs sebagai bagian dari landing zone Anda.
AWSControl Tower menyediakan dukungan untuk unit organisasi bersarang (OUs), memungkinkan Anda untuk mengatur akun ke dalam beberapa tingkat hierarki, dan untuk menegakkan kontrol preventif secara hierarkis. Anda dapat mendaftar OUs berisi bersarangOUs, membuat dan mendaftar OUs di bawah indukOUs, dan mengaktifkan kontrol pada OU terdaftar apa pun, terlepas dari kedalamannya. Untuk mendukung fungsi ini, konsol menunjukkan jumlah akun yang diatur danOUs.
Dengan bersarangOUs, Anda dapat menyelaraskan AWS Control Tower OUs Anda ke AWS strategi multi-akun, dan Anda dapat mengurangi waktu yang diperlukan untuk mengaktifkan kontrol pada beberapaOUs, dengan menegakkan kontrol di tingkat OU induk.
Pertimbangan utama
-
Anda dapat mendaftarkan multi-level yang ada OUs dengan AWS Control Tower satu OU sekaligus, dimulai dengan OU tingkat atas dan kemudian melanjutkan ke bawah pohon. Untuk informasi selengkapnya, lihat Perluas dari struktur OU datar ke struktur OU bersarang.
-
Akun langsung di bawah OU terdaftar terdaftar secara otomatis. Akun lebih jauh ke bawah pohon dapat didaftarkan dengan mendaftarkan OU induk langsung mereka.
-
Kontrol preventif (SCPs) diwariskan ke bawah hierarki secara otomatis; SCPs diterapkan ke induk diwarisi oleh semua bersarang. OUs
-
Kontrol detektif (AWS Aturan Config) NOT diwarisi secara otomatis.
-
Kepatuhan terhadap kontrol detektif dilaporkan oleh masing-masing OU.
-
SCPdrift pada OU mempengaruhi semua akun dan OUs di bawahnya.
-
Anda tidak dapat membuat nested baru OUs di bawah Security OU (Core OU).
Konkurensi kontrol detektif
November 5, 2021
(Update opsional untuk AWS Control Tower landing zone)
AWSKontrol detektif Control Tower sekarang mendukung operasi bersamaan untuk kontrol detektif, meningkatkan kemudahan penggunaan dan kinerja. Anda dapat mengaktifkan beberapa kontrol detektif tanpa menunggu operasi kontrol individu selesai.
Fungsionalitas yang didukung:
-
Aktifkan kontrol detektif yang berbeda pada OU yang sama (misalnya, Deteksi Apakah MFA untuk Pengguna Root Diaktifkan dan Deteksi Apakah Akses Tulis Publik ke Bucket Amazon S3 Diizinkan).
-
Aktifkan kontrol detektif yang berbeda pada yang berbedaOUs, secara bersamaan.
-
Pesan kesalahan pagar pembatas telah diperbaiki untuk memberikan panduan tambahan untuk operasi konkurensi kontrol yang didukung.
Tidak didukung dalam rilis ini:
-
Mengaktifkan kontrol detektif yang sama pada beberapa secara OUs bersamaan tidak didukung.
-
Konkurensi kontrol preventif tidak didukung.
Anda dapat mengalami peningkatan konkurensi kontrol detektif di semua versi AWS Control Tower. Disarankan agar pelanggan yang saat ini tidak menggunakan versi 2.7 melakukan pembaruan landing zone untuk memanfaatkan fitur lain, seperti pemilihan Wilayah dan pembatalan pilihan, yang tersedia dalam versi terbaru.
Dua Wilayah baru tersedia
Juli 29, 2021
(Pembaruan diperlukan untuk landing zone AWS Control Tower)
AWSControl Tower sekarang tersedia dalam dua tambahan AWS Wilayah: Amerika Selatan (Sao Paulo), dan Eropa (Paris). Pembaruan ini memperluas ketersediaan AWS Control Tower menjadi 15 AWS Daerah.
Jika Anda baru mengenal AWS Control Tower, Anda dapat langsung meluncurkannya di salah satu Wilayah yang didukung. Selama peluncuran, Anda dapat memilih Wilayah di mana Anda ingin AWS Control Tower untuk membangun dan mengatur lingkungan multi-akun Anda.
Jika Anda sudah memiliki lingkungan AWS Control Tower dan ingin memperluas atau menghapus fitur tata kelola AWS Control Tower di satu atau beberapa Wilayah yang didukung, buka halaman Pengaturan Zona Landing di dasbor AWS Control Tower Anda, lalu pilih Wilayah. Setelah memperbarui landing zone Anda, Anda kemudian harus memperbarui semua akun yang diatur oleh AWS Control Tower.
Pembatalan seleksi wilayah
Juli 29, 2021
(Update opsional untuk AWS Control Tower landing zone)
AWSControl Tower Region deselection meningkatkan kemampuan Anda untuk mengelola jejak geografis sumber daya Control Tower AWS Anda. Anda dapat membatalkan pilihan Wilayah yang tidak lagi Anda inginkan AWS Control Tower untuk memerintah. Fitur ini memberi Anda kemampuan untuk mengatasi masalah kepatuhan dan peraturan sambil menyeimbangkan biaya yang terkait dengan perluasan ke Wilayah tambahan.
Pembatalan pilihan wilayah tersedia saat Anda memperbarui versi landing zone AWS Control Tower Anda.
Saat Anda menggunakan Account Factory untuk membuat akun baru atau mendaftarkan akun anggota yang sudah ada sebelumnya, atau saat Anda memilih Perluas Tata Kelola untuk mendaftarkan akun di unit organisasi yang sudah ada sebelumnya, AWS Control Tower akan menerapkan kemampuan tata kelolanya — yang mencakup pencatatan, pemantauan, dan kontrol terpusat — di Wilayah pilihan Anda di akun. Memilih untuk membatalkan pilihan Wilayah dan menghapus tata kelola AWS Control Tower dari Wilayah tersebut akan menghapus fungsionalitas tata kelola tersebut, tetapi tidak menghambat kemampuan pengguna Anda untuk menerapkan AWS sumber daya atau beban kerja ke Wilayah tersebut.
AWSControl Tower bekerja dengan AWS Sistem Manajemen Kunci
Juli 28, 2021
(Update opsional untuk AWS Control Tower landing zone)
AWSControl Tower memberi Anda pilihan untuk menggunakan AWS Layanan Manajemen Kunci (AWS KMS) kunci. Kunci disediakan dan dikelola oleh Anda, untuk mengamankan layanan yang digunakan AWS Control Tower, termasuk AWS CloudTrail, AWS Config, dan data Amazon S3 terkait. AWS KMSenkripsi adalah tingkat enkripsi yang ditingkatkan melalui enkripsi SSE -S3 yang digunakan AWS Control Tower secara default.
Integrasi AWS KMSdukungan ke AWS Control Tower sejajar dengan AWS Praktik Terbaik Keamanan Dasar, yang merekomendasikan lapisan keamanan tambahan untuk file log sensitif Anda. Anda harus menggunakan AWS KMS—kunci terkelola (SSE-KMS) untuk enkripsi saat istirahat. AWS KMSDukungan enkripsi tersedia saat Anda menyiapkan landing zone baru atau saat Anda memperbarui zona pendaratan AWS Control Tower yang ada.
Untuk mengonfigurasi fungsionalitas ini, Anda dapat memilih Konfigurasi KMS Kunci selama pengaturan landing zone awal Anda. Anda dapat memilih KMS kunci yang ada, atau Anda dapat memilih tombol yang mengarahkan Anda ke AWS KMSkonsol untuk membuat yang baru. Anda juga memiliki fleksibilitas untuk mengubah dari enkripsi default ke SSE -KMS, atau ke KMS kunci yang berbedaSSE.
Untuk landing zone AWS Control Tower yang ada, Anda dapat melakukan pembaruan untuk mulai menggunakan AWS KMSkunci.
Kontrol berganti nama, fungsionalitas tidak berubah
Juli 26, 2021
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
AWSControl Tower merevisi nama dan deskripsi kontrol tertentu untuk lebih mencerminkan niat kebijakan kontrol. Nama dan deskripsi yang direvisi membantu Anda memahami secara lebih intuitif cara-cara kontrol mewujudkan kebijakan akun Anda. Misalnya, kami mengubah bagian dari nama kontrol detektif dari “Larang” menjadi “Deteksi” karena kontrol detektif itu sendiri tidak menghentikan tindakan tertentu, hanya mendeteksi pelanggaran kebijakan dan memberikan peringatan melalui dasbor.
Fungsionalitas kontrol, panduan, dan implementasi tetap tidak berubah. Hanya nama dan deskripsi kontrol yang telah direvisi.
AWSControl Tower memindai SCPs setiap hari untuk memeriksa drift
Mei 11, 2021
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
AWSControl Tower sekarang melakukan pemindaian otomatis harian yang Anda kelola SCPs untuk memverifikasi bahwa kontrol yang sesuai diterapkan dengan benar dan bahwa mereka belum hanyut. Jika pemindaian menemukan penyimpangan, Anda akan menerima pemberitahuan. AWSControl Tower hanya mengirimkan satu notifikasi per masalah drift, jadi jika landing zone Anda sudah dalam keadaan drift, Anda tidak akan menerima pemberitahuan tambahan kecuali item drift baru ditemukan.
Nama yang disesuaikan untuk OUs dan akun
April 16, 2021
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
AWSControl Tower sekarang memungkinkan Anda untuk menyesuaikan penamaan landing zone Anda. Anda dapat menyimpan nama yang direkomendasikan AWS Control Tower untuk unit organisasi (OUs) dan akun inti, atau Anda dapat memodifikasi nama-nama ini selama proses penyiapan landing zone awal.
Nama default yang disediakan AWS Control Tower untuk akun OUs dan inti cocok dengan AWS panduan praktik terbaik multi-akun. Namun, jika perusahaan Anda memiliki kebijakan penamaan tertentu, atau jika Anda sudah memiliki OU atau akun yang sudah ada dengan nama yang direkomendasikan yang sama, fungsi OU dan penamaan akun yang baru memberi Anda fleksibilitas untuk mengatasi kendala tersebut.
Terpisah dari perubahan alur kerja selama pengaturan, OU sebelumnya dikenal sebagai Core OU sekarang disebut Security OU, dan OU sebelumnya dikenal sebagai Custom OU sekarang disebut Sandbox OU. Kami membuat perubahan ini untuk meningkatkan keselarasan kami dengan keseluruhan AWS panduan praktik terbaik untuk penamaan.
Pelanggan baru akan melihat nama-nama OU baru ini. Pelanggan yang sudah ada akan terus melihat nama asli iniOUs. Anda mungkin mengalami beberapa ketidakkonsistenan dalam penamaan OU saat kami memperbarui dokumentasi kami ke nama baru.
Untuk memulai dengan AWS Control Tower dari AWS Management Console, buka konsol AWS Control Tower, dan pilih Siapkan landing zone di kanan atas. Untuk informasi lebih lanjut, Anda dapat membaca tentang perencanaan landing zone AWS Control Tower Anda.
AWSControl Tower landing zone versi 2.7
April 8, 2021
(Update diperlukan untuk AWS Control Tower landing zone ke versi 2.7. Untuk informasi, lihatPerbarui landing zone)
Dengan AWS Control Tower versi 2.7, AWS Control Tower memperkenalkan empat kontrol Log Archive preventif wajib baru yang menerapkan kebijakan semata-mata pada sumber daya Control TowerAWS. Kami telah menyesuaikan panduan tentang empat kontrol Arsip Log yang ada dari wajib ke elektif, karena mereka menetapkan kebijakan untuk sumber daya di luar AWS Control Tower. Perubahan kontrol dan ekspansi ini memberikan kemampuan untuk memisahkan tata kelola Arsip Log untuk sumber daya di dalam AWS Control Tower dari tata kelola sumber daya di luar AWS Control Tower.
Keempat kontrol yang diubah dapat digunakan bersama dengan kontrol wajib baru untuk menyediakan tata kelola ke rangkaian yang lebih luas AWS Arsip Log. Lingkungan AWS Control Tower yang ada akan menjaga keempat kontrol yang diubah ini diaktifkan secara otomatis, untuk konsistensi lingkungan; namun, kontrol elektif ini sekarang dapat dinonaktifkan. Lingkungan AWS Control Tower baru harus mengaktifkan semua kontrol elektif. Lingkungan yang ada harus menonaktifkan kontrol yang sebelumnya wajib sebelum menambahkan enkripsi ke bucket Amazon S3 yang tidak digunakan oleh Control Tower. AWS
Kontrol wajib baru:
-
Larang Perubahan Konfigurasi Enkripsi untuk AWS Control Tower Membuat Bucket S3 di Arsip Log
-
Larang Perubahan Konfigurasi Logging untuk AWS Control Tower Membuat Bucket S3 di Arsip Log
-
Larang Perubahan Kebijakan Bucket untuk AWS Control Tower Membuat Bucket S3 di Arsip Log
-
Larang Perubahan Konfigurasi Siklus Hidup untuk AWS Control Tower Membuat Bucket S3 di Arsip Log
Panduan berubah dari Wajib menjadi Pilihan:
-
Larang Perubahan Konfigurasi Enkripsi untuk semua Bucket Amazon S3 [Sebelumnya: Aktifkan Enkripsi saat Istirahat untuk Arsip Log]
-
Larang Perubahan pada Konfigurasi Logging untuk semua Bucket Amazon S3 [Sebelumnya: Aktifkan Pencatatan Akses untuk Arsip Log]
-
Larang Perubahan Kebijakan Bucket untuk semua Bucket Amazon S3 [Sebelumnya: Larang Perubahan Kebijakan pada Arsip Log]
-
Larang Perubahan Konfigurasi Siklus Hidup untuk semua Bucket Amazon S3 [Sebelumnya: Tetapkan Kebijakan Retensi untuk Arsip Log]
AWSControl Tower versi 2.7 mencakup perubahan pada cetak biru zona pendaratan AWS Control Tower yang dapat menyebabkan ketidakcocokan dengan versi sebelumnya setelah Anda meningkatkan ke 2.7.
-
Secara khusus, AWS Control Tower versi 2.7 memungkinkan
BlockPublicAccesssecara otomatis pada bucket S3 yang digunakan oleh Control Tower. AWS Anda dapat menonaktifkan default ini jika beban kerja Anda memerlukan akses di seluruh akun. Untuk informasi selengkapnya tentang apa yang terjadi denganBlockPublicaccessdiaktifkan, lihat Memblokir akses publik ke penyimpanan Amazon S3 Anda. -
AWSControl Tower versi 2.7 mencakup persyaratan untukHTTPS. Semua permintaan yang dikirim ke bucket S3 yang digunakan oleh AWS Control Tower harus menggunakan secure socket layer (). SSL Hanya HTTPS permintaan yang diizinkan untuk lulus. Jika Anda menggunakan HTTP (tanpaSSL) sebagai titik akhir untuk mengirim permintaan, perubahan ini memberi Anda kesalahan akses ditolak, yang berpotensi merusak alur kerja Anda. Perubahan ini tidak dapat dikembalikan setelah pembaruan 2.7 ke landing zone Anda.
Kami menyarankan Anda mengubah permintaan Anda untuk digunakan, TLS bukanHTTP.
Tiga baru AWS Wilayah yang tersedia
April 8, 2021
(Pembaruan diperlukan untuk landing zone AWS Control Tower)
AWSControl Tower tersedia dalam tiga tambahan AWS Wilayah: Wilayah Asia Pasifik (Tokyo), Wilayah Asia Pasifik (Seoul), dan Wilayah Asia Pasifik (Mumbai). Pembaruan landing zone ke versi 2.7 diperlukan untuk memperluas tata kelola ke Wilayah ini.
Landing zone Anda tidak diperluas secara otomatis ke Wilayah ini ketika Anda melakukan pembaruan ke versi 2.7, Anda harus melihat dan memilihnya di tabel Wilayah untuk dimasukkan.
Mengatur Wilayah yang dipilih saja
Februari 19, 2021
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
AWSPemilihan Wilayah Control Tower memberikan kemampuan yang lebih baik untuk mengelola jejak geografis sumber daya AWS Control Tower Anda. Untuk memperluas jumlah Wilayah tempat Anda menjadi tuan rumah AWS sumber daya atau beban kerja — untuk kepatuhan, peraturan, biaya, atau alasan lainnya — kini Anda dapat memilih Wilayah tambahan yang akan diatur.
Pemilihan wilayah tersedia saat Anda menyiapkan landing zone baru atau memperbarui versi landing zone AWS Control Tower Anda. Saat Anda menggunakan Account Factory untuk membuat akun baru atau mendaftarkan akun anggota yang sudah ada sebelumnya, atau saat Anda menggunakan Perluas Tata Kelola untuk mendaftarkan akun di unit organisasi yang sudah ada sebelumnya, AWS Control Tower akan menerapkan kemampuan tata kelola pencatatan, pemantauan, dan kontrol terpusat di Wilayah pilihan Anda di akun. Untuk informasi selengkapnya tentang memilih Wilayah, lihatKonfigurasikan Wilayah AWS Control Tower.
AWSControl Tower sekarang memperluas tata kelola ke yang ada OUs di AWS organisasi
Januari 28, 2021
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
Memperluas tata kelola ke unit organisasi yang ada (OUs) (yang tidak ada di AWS Control Tower) dari dalam konsol AWS Control Tower. Dengan fitur ini, Anda dapat membawa akun tingkat atas OUs dan termasuk di bawah tata kelola AWS Control Tower. Untuk informasi tentang memperluas tata kelola ke seluruh OU, lihat. Daftarkan unit organisasi yang ada dengan AWS Control Tower
Saat Anda mendaftarkan OU, AWS Control Tower melakukan serangkaian pemeriksaan untuk memastikan perpanjangan tata kelola dan pendaftaran akun yang berhasil dalam OU. Untuk informasi lebih lanjut tentang masalah umum yang terkait dengan pendaftaran awal OU, lihatPenyebab umum kegagalan saat pendaftaran atau pendaftaran ulang.
Anda juga dapat mengunjungi halaman web produk AWS
AWSControl Tower menyediakan pembaruan akun massal
Januari 28, 2021
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
Dengan fitur pembaruan massal, Anda sekarang dapat memperbarui semua akun yang terdaftar AWS Organizations Unit organisasi (OU) berisi hingga 300 akun, dengan satu klik, dari dashboard AWS Control Tower. Ini sangat berguna dalam kasus di mana Anda memperbarui zona landing AWS Control Tower dan juga harus memperbarui akun terdaftar Anda untuk menyelaraskannya ke versi landing zone saat ini.
Fitur ini juga membantu Anda menjaga akun tetap up to date ketika Anda memperbarui landing zone AWS Control Tower untuk memperluas ke wilayah baru, atau ketika Anda ingin mendaftarkan ulang OU untuk memastikan bahwa semua akun di OU tersebut memiliki kontrol terbaru yang diterapkan. Pembaruan akun massal menghilangkan kebutuhan untuk memperbarui satu akun pada satu waktu atau menggunakan skrip eksternal untuk melakukan pembaruan pada beberapa akun.
Untuk informasi tentang memperbarui landing zone, lihatPerbarui landing zone.
Untuk informasi tentang mendaftar atau mendaftarkan ulang OU, lihatDaftarkan unit organisasi yang ada dengan AWS Control Tower.
