Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Januari - Desember 2022
Pada tahun 2022, AWS Control Tower merilis pembaruan berikut:
-
Kontrol komprehensif membantu dalam AWS penyediaan dan manajemen sumber daya
-
Status kepatuhan dapat dilihat untuk semua AWS Config aturan
-
APIuntuk kontrol dan yang baru AWS CloudFormation sumber daya
-
Mendaftar dan memperbarui akun anggota individu yang lebih mudah
-
AFTmendukung kustomisasi otomatis untuk akun AWS Control Tower bersama
Operasi akun bersamaan
Desember 16, 2022
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)
AWSControl Tower sekarang mendukung tindakan bersamaan di pabrik akun. Anda dapat membuat, memperbarui, atau mendaftarkan hingga lima (5) akun sekaligus. Kirim hingga lima tindakan berturut-turut dan lihat status penyelesaian setiap permintaan, sementara akun Anda selesai dibangun di latar belakang. Misalnya, Anda tidak lagi harus menunggu setiap proses selesai sebelum memperbarui akun lain, atau sebelum Anda mendaftarkan ulang seluruh unit organisasi (OU).
Kustomisasi Account Factory (AFC)
November 28, 2022
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)
Kustomisasi akun pabrik memungkinkan Anda untuk menyesuaikan akun baru dan yang sudah ada dari dalam konsol AWS Control Tower. Kemampuan penyesuaian baru ini memberi Anda fleksibilitas untuk menentukan cetak biru akun, yaitu AWS CloudFormation template yang terkandung dalam produk Service Catalog khusus. Cetak biru menyediakan sumber daya dan konfigurasi yang sepenuhnya disesuaikan. Anda juga dapat memilih menggunakan cetak biru yang telah ditentukan sebelumnya, dibangun dan dikelola oleh AWS mitra, yang membantu Anda menyesuaikan akun untuk kasus penggunaan tertentu.
Sebelumnya, pabrik akun AWS Control Tower tidak mendukung kustomisasi akun di konsol. Dengan pembaruan pabrik akun ini, Anda dapat menentukan persyaratan akun sebelumnya dan menerapkannya sebagai bagian dari alur kerja yang terdefinisi dengan baik. Anda dapat menerapkan cetak biru untuk membuat akun baru, untuk mendaftarkan akun lain AWS akun ke AWS Control Tower, dan untuk memperbarui akun AWS Control Tower yang ada.
Saat Anda menyediakan, mendaftarkan, atau memperbarui akun di pabrik akun, Anda akan memilih cetak biru yang akan digunakan. Sumber daya yang ditentukan dalam cetak biru disediakan di akun Anda. Ketika akun Anda telah selesai dibangun, semua konfigurasi kustom tersedia untuk digunakan segera.
Untuk memulai dengan menyesuaikan akun, Anda dapat menentukan sumber daya untuk kasus penggunaan yang dimaksudkan dalam produk Service Catalog. Anda juga dapat memilih solusi yang dikelola mitra dari AWS Memulai Perpustakaan. Untuk informasi selengkapnya, lihat Kustomisasi akun dengan Kustomisasi Account Factory (AFC).
Kontrol komprehensif membantu dalam AWS penyediaan dan manajemen sumber daya
November 28, 2022
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)
AWSControl Tower sekarang mendukung manajemen kontrol yang komprehensif, termasuk kontrol proaktif opsional baru, yang diimplementasikan melalui AWS CloudFormation kait. Kontrol ini disebut sebagai proaktif karena mereka memeriksa sumber daya Anda — sebelum sumber daya digunakan — untuk menentukan apakah sumber daya baru akan mematuhi kontrol yang diaktifkan di lingkungan Anda.
Lebih dari 130 kontrol proaktif baru membantu Anda memenuhi tujuan kebijakan spesifik untuk lingkungan AWS Control Tower Anda; dengan memenuhi persyaratan kerangka kerja kepatuhan standar industri; dan dengan mengatur interaksi Control AWS Tower di lebih dari dua puluh lainnya AWS layanan.
Pustaka kontrol AWS Control Tower mengklasifikasikan kontrol ini menurut yang terkait AWS layanan dan sumber daya. Untuk detail selengkapnya, lihat Kontrol proaktif.
Dengan rilis ini, AWS Control Tower juga terintegrasi dengan AWS Security Hub, melalui Security Hub Service-Managed Standard baru: AWS Control Tower, yang mendukung AWS Standar Praktik Terbaik Keamanan Dasar (FSBP). Anda dapat melihat lebih dari 160 kontrol Security Hub bersama AWS kontrol Control Tower di konsol, dan Anda dapat memperoleh skor keamanan Security Hub untuk lingkungan AWS Control Tower Anda. Untuk informasi selengkapnya, lihat Kontrol Security Hub.
Status kepatuhan dapat dilihat untuk semua AWS Config aturan
November 18, 2022
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)
AWSControl Tower sekarang menampilkan status kepatuhan semua AWS Config aturan dikerahkan ke unit organisasi yang terdaftar di AWS Control Tower. Anda dapat melihat status kepatuhan semua AWS Config aturan yang memengaruhi akun Anda di AWS Control Tower, terdaftar atau tidak terdaftar, tanpa menavigasi di luar konsol Control Tower. AWS Pelanggan dapat memilih untuk mengatur aturan Config, yang disebut kontrol detektif, di AWS Control Tower, atau mengaturnya langsung melalui AWS Config layanan. Aturan yang dikerahkan oleh AWS Config ditampilkan, bersama dengan aturan yang diterapkan oleh AWS Control Tower.
Sebelumnya, AWS Config aturan yang diterapkan melalui AWS Config layanan tidak terlihat di konsol AWS Control Tower. Pelanggan harus menavigasi ke AWS Config layanan untuk mengidentifikasi yang tidak patuh AWS Config aturan. Sekarang Anda dapat mengidentifikasi yang tidak sesuai AWS Config aturan dalam konsol AWS Control Tower. Untuk melihat status kepatuhan semua aturan Config Anda, buka halaman Detail akun di konsol AWS Control Tower. Anda akan melihat daftar yang menunjukkan status kepatuhan kontrol yang dikelola oleh AWS Control Tower dan aturan Config yang diterapkan di luar Control TowerAWS.
APIuntuk kontrol dan yang baru AWS CloudFormation sumber daya
September 1, 2022
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)
AWSControl Tower sekarang mendukung manajemen kontrol terprogram, juga dikenal sebagai pagar pembatas, melalui serangkaian panggilan. API Yang baru AWS CloudFormation sumber daya mendukung API fungsionalitas untuk kontrol. Untuk lebih jelasnya, lihat Mengotomatiskan tugas di AWS Control Tower dan Menciptakan AWS Control Tower sumber daya dengan AWS CloudFormation.
Ini APIs memungkinkan Anda untuk mengaktifkan, menonaktifkan, dan melihat status aplikasi kontrol di perpustakaan AWS Control Tower. APIsTermasuk dukungan untuk AWS CloudFormation, sehingga Anda dapat mengelola AWS sumber daya sebagai infrastructure-as-code (IAc). AWSControl Tower menyediakan kontrol preventif dan detektif opsional yang mengungkapkan niat kebijakan Anda mengenai seluruh unit organisasi (OU), dan setiap AWS akun dalam OU. Aturan ini tetap berlaku saat Anda membuat akun baru atau membuat perubahan pada akun yang ada.
APIstermasuk dalam rilis ini
-
EnableControl— API Panggilan ini mengaktifkan kontrol. Ini memulai operasi asinkron yang menciptakan AWS sumber daya pada unit organisasi yang ditentukan dan akun yang dikandungnya.
-
DisableControl— API Panggilan ini mematikan kontrol. Ini memulai operasi asinkron yang menghapus AWS sumber daya pada unit organisasi yang ditentukan dan akun yang dikandungnya.
-
GetControlOperation— Mengembalikan status tertentu EnableControlatau DisableControloperasi.
-
ListEnabledControls— Daftar kontrol yang diaktifkan oleh AWS Control Tower pada unit organisasi yang ditentukan dan akun yang dikandungnya.
Untuk melihat daftar nama kontrol untuk kontrol opsional, lihat Pengidentifikasi sumber daya untuk APIs dan kontrol, di Panduan Pengguna AWS Control Tower.
CfCT mendukung penghapusan set tumpukan
Agustus 26, 2022
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)
Kustomisasi untuk AWS Control Tower (CFCT) sekarang mendukung penghapusan set tumpukan, dengan menetapkan parameter dalam file. manifest.yaml Untuk informasi selengkapnya, lihat Hapus set tumpukan.
penting
Saat Anda awalnya menetapkan nilai enable_stack_set_deletion totrue, saat berikutnya Anda memanggil CFCT, ALLsumber daya yang dimulai dengan awalan, yang memiliki tag kunci terkaitCustomControlTower-, dan yang tidak dideklarasikan dalam file manifesKey:AWS_Solutions, Value: CustomControlTowerStackSet, akan dipentaskan untuk dihapus.
Retensi log yang disesuaikan
Agustus 15, 2022
(Pembaruan diperlukan untuk landing zone AWS Control Tower. Untuk informasi, lihatPerbarui landing zone)
AWSControl Tower sekarang menyediakan kemampuan untuk menyesuaikan kebijakan retensi untuk bucket Amazon S3 yang menyimpan log AWS Control Tower Anda. CloudTrail Anda dapat menyesuaikan kebijakan penyimpanan log Amazon S3 Anda, dalam beberapa hari atau tahun, hingga maksimal 15 tahun.
Jika Anda memilih untuk tidak menyesuaikan penyimpanan log Anda, pengaturan default adalah 1 tahun untuk pencatatan akun standar, dan 10 tahun untuk pencatatan akses.
Fitur ini tersedia untuk pelanggan lama melalui AWS Control Tower ketika Anda memperbarui atau memperbaiki landing zone Anda, dan untuk pelanggan baru melalui proses setup AWS Control Tower.
Perbaikan drift peran tersedia
Agustus 11, 2022
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)
AWSControl Tower sekarang mendukung perbaikan untuk role drift. Anda dapat mengembalikan peran yang diperlukan tanpa perbaikan penuh dari landing zone Anda. Jika jenis perbaikan drift ini diperlukan, halaman kesalahan konsol menyediakan langkah-langkah untuk memulihkan peran, sehingga landing zone Anda sekali lagi tersedia.
AWSControl Tower landing zone versi 3.0
Juli 29, 2022
(Pembaruan diperlukan untuk AWS Control Tower landing zone ke versi 3.0. Untuk informasi, lihatPerbarui landing zone)
AWSControl Tower landing zone versi 3.0 mencakup pembaruan berikut:
-
Pilihan untuk memilih tingkat organisasi AWS CloudTrail jalur, atau untuk memilih keluar dari CloudTrail jalur yang dikelola oleh AWS Control Tower.
-
Dua kontrol detektif baru untuk menentukan apakah AWS CloudTrail adalah aktivitas pencatatan di akun Anda.
-
Opsi untuk agregat AWS Config informasi tentang sumber daya global di wilayah asal Anda saja.
-
Pembaruan ke Wilayah menolak kontrol.
-
Pembaruan untuk kebijakan terkelola, AWSControlTowerServiceRolePolicy.
-
Kami tidak lagi membuat IAM peran
aws-controltower-CloudWatchLogsRoledan grup CloudWatch logaws-controltower/CloudTrailLogsdi setiap akun yang terdaftar. Sebelumnya, kami membuat ini di setiap akun untuk jejak akunnya. Dengan jejak organisasi, kami hanya membuat satu di akun manajemen.
Bagian berikut memberikan rincian lebih lanjut tentang setiap kemampuan baru.
CloudTrail Jalur tingkat organisasi di Control Tower AWS
Dengan landing zone versi 3.0, AWS Control Tower sekarang mendukung tingkat organisasi AWS CloudTrail jalan setapak.
Saat memperbarui landing zone AWS Control Tower ke versi 3.0, Anda memiliki opsi untuk memilih tingkat organisasi AWS CloudTrail jalur sebagai preferensi logging Anda, atau untuk memilih keluar dari CloudTrail jalur yang dikelola oleh AWS Control Tower. Saat Anda memperbarui ke versi 3.0, AWS Control Tower menghapus jejak tingkat akun yang ada untuk akun terdaftar setelah masa tunggu 24 jam. AWSControl Tower tidak menghapus jejak tingkat akun untuk akun yang tidak terdaftar. Jika pembaruan landing zone Anda tidak berhasil, tetapi kegagalan terjadi setelah AWS Control Tower membuat jejak tingkat organisasi, Anda mungkin dikenakan biaya duplikat untuk jalur tingkat organisasi dan tingkat akun, hingga operasi pembaruan Anda berhasil diselesaikan.
Melangkah ke depan dari landing zone 3.0, AWS Control Tower tidak lagi mendukung jalur tingkat akun AWS mengelola. Sebagai gantinya, AWS Control Tower membuat jejak tingkat organisasi, yang aktif atau tidak aktif, sesuai dengan pilihan Anda.
catatan
Setelah Anda memperbarui ke versi 3.0 atau yang lebih baru, Anda tidak memiliki opsi untuk melanjutkan CloudTrail jalur tingkat akun yang dikelola oleh Control TowerAWS.
Tidak ada data logging yang hilang dari log akun agregat Anda, karena log tetap berada di bucket Amazon S3 yang ada di mana mereka disimpan. Hanya jejak yang dihapus, bukan log yang ada. Jika Anda memilih opsi untuk menambahkan jejak tingkat organisasi, AWS Control Tower membuka jalur baru ke folder baru di dalam bucket Amazon S3 Anda dan terus mengirimkan informasi pencatatan ke lokasi tersebut. Jika Anda memilih untuk memilih keluar dari jalur yang dikelola oleh AWS Control Tower, log yang ada tetap ada di bucket, tidak berubah.
Konvensi penamaan jalur untuk penyimpanan log
-
Log jejak akun disimpan dengan jalur formulir ini:
/org id/AWSLogs/… -
Log jejak organisasi disimpan dengan jalur formulir ini:
/org id/AWSLogs/org id/…
Jalur yang dibuat AWS Control Tower untuk jalur tingkat organisasi CloudTrail Anda berbeda dari jalur default untuk jejak tingkat organisasi yang dibuat secara manual, yang akan memiliki bentuk berikut:
-
/AWSLogs/org id/…
Untuk informasi selengkapnya tentang penamaan CloudTrail jalur, lihat Menemukan file CloudTrail log Anda.
Tip
Jika Anda berencana untuk membuat dan mengelola jejak tingkat akun Anda sendiri, kami sarankan Anda membuat jalur baru sebelum Anda menyelesaikan pembaruan ke Control Tower AWS landing zone versi 3.0, untuk segera memulai pencatatan.
Kapan saja, Anda dapat memilih untuk membuat CloudTrail jalur tingkat akun atau tingkat organisasi baru dan mengelolanya sendiri. Opsi untuk memilih CloudTrail jalur tingkat organisasi yang dikelola oleh AWS Control Tower tersedia selama pembaruan landing zone ke versi 3.0 atau yang lebih baru. Anda dapat memilih dan memilih keluar dari jalur tingkat organisasi, setiap kali Anda memperbarui landing zone Anda.
Jika log Anda dikelola oleh layanan pihak ketiga, pastikan untuk memberikan nama jalur baru ke layanan Anda.
catatan
Untuk zona pendaratan pada versi 3.0 atau yang lebih baru, tingkat akun AWS CloudTrail Trails tidak didukung oleh AWS Control Tower. Anda dapat membuat dan memelihara jalur tingkat akun Anda sendiri kapan saja, atau Anda dapat memilih jalur tingkat organisasi yang dikelola oleh Control Tower. AWS
Rekam AWS Config sumber daya di wilayah asal saja
Di landing zone versi 3.0, AWS Control Tower telah memperbarui konfigurasi dasar untuk AWS Config sehingga mencatat sumber daya global di wilayah asal saja. Setelah Anda memperbarui ke versi 3.0, perekaman sumber daya untuk sumber daya global hanya diaktifkan di Wilayah asal Anda.
Konfigurasi ini dianggap sebagai praktik terbaik. Hal ini direkomendasikan oleh AWS Security Hub and AWS Config, dan itu menciptakan penghematan biaya dengan mengurangi jumlah item konfigurasi yang dibuat ketika sumber daya global dibuat, dimodifikasi, atau dihapus. Sebelumnya, setiap kali sumber daya global dibuat, diperbarui, atau dihapus, baik oleh pelanggan atau oleh AWS layanan, item konfigurasi dibuat untuk setiap item di setiap Wilayah yang diatur.
Dua kontrol detektif baru untuk AWS CloudTrail penebangan
Sebagai bagian dari perubahan ke tingkat organisasi AWS CloudTrail Trails, AWS Control Tower memperkenalkan dua kontrol detektif baru yang memeriksa apakah CloudTrail diaktifkan. Kontrol pertama memiliki panduan Wajib, dan diaktifkan pada OU Keamanan selama pengaturan atau pembaruan landing zone 3.0 dan yang lebih baru. Kontrol kedua memiliki Panduan yang sangat direkomendasikan, dan secara opsional diterapkan pada yang OUs lain selain OU Keamanan, yang sudah memiliki perlindungan kontrol wajib diberlakukan.
Kontrol wajib: Mendeteksi apakah akun bersama di bawah unit organisasi Keamanan memiliki AWS CloudTrail atau CloudTrail Danau diaktifkan
Kontrol yang sangat disarankan: Deteksi apakah akun memiliki AWS CloudTrail atau CloudTrail Danau diaktifkan
Untuk informasi selengkapnya tentang kontrol baru, lihat pustaka AWS kontrol Control Tower.
Pembaruan untuk Wilayah menolak kontrol
Kami memperbarui NotActiondaftar di Wilayah menolak kontrol untuk menyertakan tindakan oleh beberapa layanan tambahan, yang tercantum di bawah ini:
“chatbot:*”, "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", “s3:GetStorageLensDashboard", “s3:ListStorageLensConfigurations” “s3:GetAccountPublicAccessBlock“,, “s3:PutAccountPublic", “s3:PutAccountPublicAccessBlock“,
Panduan Video
Video ini (3:07) menjelaskan cara memperbarui zona pendaratan AWS Control Tower yang ada ke versi 3. Untuk tampilan yang lebih baik, pilih ikon di sudut kanan bawah video untuk memperbesarnya ke layar penuh. Captioning tersedia.
Halaman Organisasi menggabungkan tampilan OUs dan akun
Juli 18, 2022
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
Halaman Organisasi baru di AWS Control Tower menampilkan tampilan hierarkis dari semua unit organisasi (OUs) dan akun. Ini menggabungkan informasi dari halaman OUsdan Akun, yang ada sebelumnya.
Pada halaman baru, Anda dapat melihat hubungan antara induk OUs dan bersarang OUs dan akun mereka, Anda dapat mengambil tindakan pada pengelompokan sumber daya. Anda dapat mengkonfigurasi tampilan halaman. Misalnya, Anda dapat memperluas atau menciutkan tampilan hierarkis, memfilter tampilan untuk melihat akun atau OUs hanya, memilih untuk hanya melihat akun terdaftar dan terdaftarOUs, atau Anda dapat melihat grup sumber daya terkait. Lebih mudah untuk memastikan bahwa seluruh organisasi Anda diperbarui dengan benar.
Mendaftar dan memperbarui akun anggota individu yang lebih mudah
31 Mei 2022
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
AWSControl Tower sekarang memberi Anda kemampuan yang lebih baik untuk memperbarui dan mendaftarkan akun anggota secara individual. Setiap akun menunjukkan kapan tersedia untuk pembaruan, sehingga Anda dapat lebih mudah memastikan bahwa akun anggota Anda menyertakan konfigurasi terbaru. Anda dapat memperbarui landing zone Anda, memulihkan penyimpangan akun, atau mendaftarkan akun ke OU terdaftar, dalam beberapa langkah efisien.
Saat Anda memperbarui akun, Anda tidak perlu menyertakan seluruh unit organisasi (OU) akun di setiap tindakan pembaruan. Akibatnya, waktu yang diperlukan untuk memperbarui akun individu sangat berkurang.
Anda dapat mendaftarkan akun ke AWS Control Tower OUs dengan bantuan lebih lanjut dari konsol AWS Control Tower. Akun yang sudah ada yang Anda daftarkan di AWS Control Tower harus tetap memenuhi prasyarat akun, dan Anda harus menambahkan peran tersebut. AWSControlTowerExecution Kemudian, Anda dapat memilih OU terdaftar dan mendaftarkan akun ke dalamnya dengan memilih tombol Daftar.
Kami telah memisahkan fungsionalitas akun Daftarkan dari alur kerja Buat akun di pabrik akun, untuk membuat lebih banyak perbedaan antara proses serupa ini, dan membantu menghindari kesalahan penyiapan saat Anda memasukkan informasi akun.
AFTmendukung kustomisasi otomatis untuk akun AWS Control Tower bersama
Mei 27, 2022
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
Account Factory for Terraform (AFT) sekarang dapat secara terprogram menyesuaikan dan memperbarui akun Anda yang dikelola oleh AWS Control Tower, termasuk akun manajemen, akun audit, dan akun arsip log, bersama dengan akun terdaftar Anda. Anda dapat memusatkan kustomisasi akun dan memperbarui manajemen, sekaligus melindungi keamanan konfigurasi akun Anda, karena Anda mencakup peran yang melakukan pekerjaan.
AWSAFTExecutionPeran yang ada sekarang menyebarkan penyesuaian di semua akun. Anda dapat mengatur IAM izin dengan batasan yang membatasi akses AWSAFTExecutionperan sesuai dengan persyaratan bisnis dan keamanan Anda. Anda juga dapat secara terprogram mendelegasikan izin penyesuaian yang disetujui dalam peran tersebut, untuk pengguna tepercaya. Sebagai praktik terbaik, kami menyarankan Anda membatasi izin untuk izin yang diperlukan untuk menerapkan penyesuaian yang diperlukan.
AFTsekarang membuat AWSAFTServiceperan baru untuk menyebarkan AFT sumber daya di semua akun terkelola, termasuk akun bersama dan akun manajemen. Sumber daya sebelumnya dikerahkan oleh peran tersebut. AWSAFTExecution
Akun bersama dan manajemen AWS Control Tower tidak disediakan melalui pabrik akun, sehingga mereka tidak memiliki produk yang disediakan sesuai AWS Service Catalog. Oleh karena itu, Anda tidak dapat memperbarui akun bersama dan manajemen di Service Catalog.
Operasi bersamaan untuk semua kontrol opsional
Mei 18, 2022
(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower)
AWSControl Tower sekarang mendukung operasi bersamaan untuk kontrol preventif, serta untuk kontrol detektif.
Dengan fitur baru ini, kontrol opsional apa pun sekarang dapat diterapkan atau dihapus secara bersamaan, sehingga meningkatkan kemudahan penggunaan dan kinerja untuk semua kontrol opsional. Anda dapat mengaktifkan beberapa kontrol opsional tanpa menunggu operasi kontrol individu selesai. Satu-satunya waktu terbatas adalah ketika AWS Control Tower sedang dalam proses pengaturan landing zone, atau saat memperluas tata kelola ke organisasi baru.
Fungsionalitas yang didukung untuk kontrol pencegahan:
-
Terapkan dan hapus kontrol pencegahan yang berbeda pada OU yang sama.
-
Terapkan dan hapus kontrol pencegahan yang berbeda pada yang berbedaOUs, secara bersamaan.
-
Terapkan dan hapus kontrol pencegahan yang sama pada beberapaOUs, secara bersamaan.
-
Anda dapat menerapkan dan menghapus kontrol preventif dan detektif, secara bersamaan.
Anda dapat mengalami peningkatan konkurensi kontrol ini di semua versi AWS Control Tower yang dirilis.
Ketika Anda menerapkan kontrol preventif ke nestedOUs, kontrol preventif memengaruhi semua akun dan OUs bersarang di bawah target OU, bahkan jika akun tersebut dan tidak OUs terdaftar di AWS Control Tower. Kontrol preventif diimplementasikan menggunakan Kebijakan Kontrol Layanan (SCPs), yang merupakan bagian dari AWS Organizations. Detective control diimplementasikan dengan menggunakan AWS Config aturan. Guardrails tetap berlaku saat Anda membuat akun baru atau membuat perubahan pada akun yang ada, dan AWS Control Tower menyediakan laporan ringkasan tentang bagaimana setiap akun sesuai dengan kebijakan yang Anda aktifkan. Untuk daftar lengkap kontrol yang tersedia, lihat Pustaka AWS kontrol Control Tower.
Akun keamanan dan pencatatan yang ada
Mei 16, 2022
(Tersedia selama pengaturan awal.)
AWSControl Tower sekarang menyediakan opsi bagi Anda untuk menentukan yang sudah ada AWS akun sebagai keamanan AWS Control Tower atau akun logging, selama proses penyiapan landing zone awal. Opsi ini menghilangkan kebutuhan AWS Control Tower untuk membuat akun baru yang dibagikan. Akun keamanan, yang disebut akun Audit secara default, adalah akun terbatas yang memberi tim keamanan dan kepatuhan Anda akses ke semua akun di landing zone Anda. Akun logging, yang disebut akun Log Archive secara default, berfungsi sebagai repositori. Ini menyimpan log API aktivitas dan konfigurasi sumber daya dari semua akun di landing zone Anda.
Dengan membawa akun keamanan dan pencatatan yang ada, lebih mudah untuk memperluas tata kelola AWS Control Tower ke organisasi Anda yang ada, atau pindah ke AWS Control Tower dari landing zone alternatif. Opsi bagi Anda untuk menggunakan akun yang ada ditampilkan selama pengaturan landing zone awal. Ini termasuk pemeriksaan selama proses penyiapan, yang memastikan penerapan berhasil. AWSControl Tower mengimplementasikan peran dan kontrol yang diperlukan pada akun Anda yang ada. Itu tidak menghapus atau menggabungkan sumber daya atau data yang ada di akun ini.
Batasan: Jika Anda berencana untuk membawa yang ada AWS akun ke AWS Control Tower sebagai akun audit dan arsip log, dan jika akun tersebut sudah ada AWS Config sumber daya, Anda harus menghapus yang ada AWS Config sumber daya sebelum Anda dapat mendaftarkan akun ke AWS Control Tower.
AWSControl Tower landing zone versi 2.9
April 22, 2022
(Update diperlukan untuk AWS Control Tower landing zone ke versi 2.9. Untuk informasi, lihatPerbarui landing zone)
AWSControl Tower landing zone versi 2.9 memperbarui notifikasi forwarder Lambda untuk menggunakan runtime Python versi 3.9. Pembaruan ini membahas penghentian Python versi 3.6, yang direncanakan untuk Juli 2022. Untuk informasi terbaru, lihat halaman penghentian Python.
AWSControl Tower landing zone versi 2.8
Februari 10, 2022
(Update diperlukan untuk AWS Control Tower landing zone ke versi 2.8. Untuk informasi, lihatPerbarui landing zone)
AWSControl Tower landing zone versi 2.8 menambahkan fungsionalitas yang selaras dengan pembaruan terbaru AWS Praktik Terbaik Keamanan Dasar.
Dalam rilis ini:
-
Pencatatan akses dikonfigurasi untuk bucket log akses di akun Arsip Log, untuk melacak akses ke bucket log akses S3 yang ada.
-
Support untuk kebijakan siklus hidup ditambahkan. Log akses untuk bucket log akses S3 yang ada disetel ke waktu retensi default 10 tahun.
-
Selain itu, rilis ini memperbarui AWS Control Tower untuk menggunakan AWS Peran Tertaut Layanan (SLR) disediakan oleh AWS Config, di semua akun terkelola (tidak termasuk akun manajemen), sehingga Anda dapat mengatur dan mengelola aturan Config agar sesuai AWS Config praktik terbaik. Pelanggan yang tidak melakukan upgrade akan terus menggunakan peran mereka yang ada.
-
Rilis ini merampingkan proses KMS konfigurasi AWS Control Tower untuk mengenkripsi AWS Config data, dan itu meningkatkan pesan status terkait di CloudTrail.
-
Rilis ini mencakup pembaruan ke kontrol penolakan Wilayah, untuk memungkinkan
route53-application-recoveryfitur masukus-west-2. -
Pembaruan: Pada 15 Februari 2022, kami menghapus antrian surat mati untuk AWS Fungsi Lambda.
Detail tambahan:
-
Jika Anda menonaktifkan landing zone Anda, AWS Control Tower tidak menghapus AWS Config peran terkait layanan.
-
Jika Anda membatalkan penyediaan akun Account Factory, AWS Control Tower tidak menghapus AWS Config peran terkait layanan.
Untuk memperbarui landing zone Anda ke 2.8, navigasikan ke halaman pengaturan zona pendaratan, pilih versi 2.8, lalu pilih Perbarui. Setelah memperbarui landing zone, Anda harus memperbarui semua akun yang diatur oleh AWS Control Tower, seperti yang diberikan. Manajemen pembaruan konfigurasi di AWS Control Tower
