Januari - Desember 2023

• Transisi ke jenis produk AWS Service Catalog eksternal baru (fase 3)

• AWS Control Tower landing zone versi 3.3

• Transisi ke jenis produk AWS Service Catalog eksternal baru (fase 2)

• AWS Control Tower mengumumkan kontrol untuk membantu kedaulatan digital

• AWS Control Tower mendukung landing zone APIs

• AWS Control Tower mendukung penandaan untuk kontrol yang diaktifkan

• AWS Control Tower tersedia di Wilayah Asia Pasifik (Melbourne)

• Transisi ke jenis produk AWS Service Catalog eksternal baru (fase 1)

• API kontrol baru tersedia

• AWS Control Tower menambahkan kontrol tambahan

• Jenis drift baru dilaporkan: akses tepercaya dinonaktifkan

• Empat tambahan Wilayah AWS

• AWS Control Tower tersedia di Wilayah Tel Aviv

• AWS Control Tower meluncurkan 28 kontrol proaktif baru

• AWS Control Tower menghentikan dua kontrol

• AWS Control Tower landing zone versi 3.2

• AWS Control Tower menangani akun berdasarkan ID

• Kontrol detektif Security Hub tambahan tersedia di pustaka kontrol AWS Control Tower

• AWS Control Tower menerbitkan tabel metadata kontrol

• Dukungan Terraform untuk Kustomisasi Account Factory

• AWS Manajemen mandiri IAM Identity Center tersedia untuk landing zone

• AWS Control Tower menangani tata kelola campuran untuk OUs

• Tersedia kontrol proaktif tambahan

• Kontrol EC2 proaktif Amazon yang diperbarui

• Tujuh tambahan Wilayah AWS tersedia

• Account Factory untuk penelusuran permintaan kustomisasi akun Terraform (AFT)

• AWS Control Tower landing zone versi 3.1

• Kontrol proaktif umumnya tersedia

Pembaruan untuk kontrol wilayah Deny landing zone

• Dihapusdiscovery-marketplace:. Tindakan ini dicakup oleh aws-marketplace:* pengecualian.

• Ditambahkan quicksight:DescribeAccountSubscription

Kontrol proaktif baru

• CT.APIGATEWAY.PR.6: Memerlukan domain Amazon API Gateway REST untuk menggunakan kebijakan keamanan yang menentukan versi protokol TLS minimum .2 TLSv1

• CT.APPSYNC.PR.2: Memerlukan AWS AppSync GraphQL API untuk dikonfigurasi dengan visibilitas pribadi

• CT.APPSYNC.PR.3: Mengharuskan AWS AppSync GraphQL API tidak diautentikasi dengan kunci API

• CT.APPSYNC.PR.4: Memerlukan cache AWS AppSync GraphQL API agar enkripsi saat transit diaktifkan.

• CT.APPSYNC.PR.5: Memerlukan cache AWS AppSync GraphQL API agar enkripsi saat istirahat diaktifkan.

• CT.AUTOSCALING.PR.9: Memerlukan volume Amazon EBS yang dikonfigurasi melalui konfigurasi peluncuran Amazon EC2 Auto Scaling untuk mengenkripsi data saat istirahat

• CT.AUTOSCALING.PR.10: Memerlukan grup EC2 Auto Scaling Amazon untuk hanya menggunakan jenis instans AWS Nitro saat mengganti template peluncuran

• CT.AUTOSCALING.PR.11: Hanya memerlukan jenis instans AWS Nitro yang mendukung enkripsi lalu lintas jaringan antar instans untuk ditambahkan ke grup Auto EC2 Scaling Amazon, saat mengganti template peluncuran

• CT.DAX.PR.3: Memerlukan cluster DynamoDB Accelerator untuk mengenkripsi data dalam perjalanan dengan Transport Layer Security (TLS)

• CT.DMS.PR.2: Memerlukan Endpoint AWS Database Migration Service (DMS) untuk mengenkripsi koneksi untuk titik akhir sumber dan target

• CT.EC2.PR.15: Memerlukan EC2 instans Amazon untuk menggunakan jenis instans AWS Nitro saat membuat dari jenis AWS::EC2::LaunchTemplate sumber daya

• CT.EC2.PR.16: Memerlukan EC2 instans Amazon untuk menggunakan jenis instans AWS Nitro saat dibuat menggunakan tipe AWS::EC2::Instance sumber daya

• CT.EC2.PR.17: Memerlukan host EC2 khusus Amazon untuk menggunakan jenis instans AWS Nitro

• CT.EC2.PR.18: Memerlukan EC2 armada Amazon untuk mengganti hanya template peluncuran dengan tipe instans AWS Nitro

• CT.EC2.PR.19: Memerlukan EC2 instans Amazon untuk menggunakan jenis instans nitro yang mendukung enkripsi dalam transit antar instance saat dibuat menggunakan tipe sumber daya AWS::EC2::Instance

• CT.EC2.PR.20: Memerlukan EC2 armada Amazon untuk mengganti hanya template peluncuran tersebut dengan tipe instans AWS Nitro yang mendukung enkripsi saat transit antar instance

• CT.ELASTICACHE.PR.8: Memerlukan grup ElastiCache replikasi Amazon dari versi Redis yang lebih baru agar otentikasi RBAC diaktifkan

• CT.MQ.PR.1: Memerlukan broker Amazon MQ ActiveMQ untuk menggunakan mode penerapan aktif/siaga untuk ketersediaan tinggi

• CT.MQ.PR.2: Memerlukan broker MQ Amazon MQ Rabbit untuk menggunakan mode cluster multi-AZ untuk ketersediaan tinggi

• CT.MSK.PR.1: Memerlukan klaster Amazon Managed Streaming for Apache Kafka (MSK) untuk menerapkan enkripsi saat transit antar node broker cluster

• CT.MSK.PR.2: Memerlukan cluster Amazon Managed Streaming for Apache Kafka (MSK) untuk dikonfigurasi dengan dinonaktifkan PublicAccess

• CT.NETWORK-FIREWALL.PR.5: Memerlukan firewall AWS Network Firewall untuk digunakan di beberapa Availability Zone

• CT.RDS.PR.26: Memerlukan Proxy Amazon RDS DB untuk meminta koneksi Transport Layer Security (TLS)

• CT.RDS.PR.27: Memerlukan grup parameter cluster Amazon RDS DB untuk meminta koneksi Transport Layer Security (TLS) untuk tipe engine yang didukung

• CT.RDS.PR.28: Memerlukan grup parameter Amazon RDS DB untuk meminta koneksi Transport Layer Security (TLS) untuk jenis engine yang didukung

• CT.RDS.PR.29: Memerlukan klaster Amazon RDS yang tidak dikonfigurasi agar dapat diakses publik melalui properti '' PubliclyAccessible

• CT.RDS.PR.30: Mengharuskan instans database Amazon RDS memiliki enkripsi saat istirahat yang dikonfigurasi untuk menggunakan kunci KMS yang Anda tentukan untuk jenis engine yang didukung

• CT.S3.PR.12: Memerlukan jalur akses Amazon S3 untuk memiliki konfigurasi Block Public Access (BPA) dengan semua opsi disetel ke true

Kontrol pencegahan baru

• CT.APPSYNC.PV.1 Mengharuskan AWS AppSync GraphQL API dikonfigurasi dengan visibilitas pribadi

• CT.EC2.PV.1 Memerlukan snapshot Amazon EBS dibuat dari volume terenkripsi EC2

• CT.EC2.PV.2 Mengharuskan volume Amazon EBS terlampir dikonfigurasi untuk mengenkripsi data saat istirahat

• CT.EC2.PV.3 Mengharuskan snapshot Amazon EBS tidak dapat dipulihkan secara publik

• CT.EC2.PV.4 Mengharuskan Amazon EBS langsung APIs tidak dipanggil

• CT.EC2.PV.5 Larang penggunaan impor dan ekspor Amazon EC2 VM

• CT.EC2.PV.6 Larang penggunaan tindakan Amazon EC2 RequestSpotFleet dan API yang tidak digunakan lagi RequestSpotInstances

• CT.KMS.PV.1 Memerlukan kebijakan AWS KMS kunci untuk memiliki pernyataan yang membatasi pembuatan AWS KMS hibah untuk layanan AWS

• CT.KMS.PV.2 Mengharuskan kunci AWS KMS asimetris dengan bahan kunci RSA yang digunakan untuk enkripsi tidak memiliki panjang kunci 2048 bit

• CT.KMS.PV.3 Mengharuskan AWS KMS kunci dikonfigurasi dengan pemeriksaan keamanan penguncian kebijakan bypass diaktifkan

• CT.KMS.PV.4 Mengharuskan kunci yang AWS KMS dikelola pelanggan (CMK) dikonfigurasi dengan materi utama yang berasal dari CloudHSM AWS

• CT.KMS.PV.5 Mengharuskan kunci yang AWS KMS dikelola pelanggan (CMK) dikonfigurasi dengan materi kunci yang diimpor

• CT.KMS.PV.6 Mengharuskan kunci yang AWS KMS dikelola pelanggan (CMK) dikonfigurasi dengan materi kunci yang berasal dari penyimpanan kunci eksternal (XKS)

• CT.LAMBDA.PV.1 Memerlukan URL AWS Lambda fungsi untuk menggunakan otentikasi AWS berbasis IAM

• CT.LAMBDA.PV.2 Memerlukan URL AWS Lambda fungsi untuk dikonfigurasi untuk akses hanya oleh prinsipal di dalam Akun AWS

• CT.MULTISERVICE.PV.1: Tolak akses berdasarkan permintaan untuk unit organisasi AWS Wilayah AWS

Kontrol detektif baru

• SH.ACM.2: Sertifikat RSA yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit

• SH.AppSync.5: AWS AppSync APIs GraphQL tidak boleh diautentikasi dengan kunci API

• SH.CloudTrail.6: Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik:

• SH.DMS.9: Titik akhir DMS harus menggunakan SSL

• SH.DocumentDB.3: Snapshot cluster manual Amazon DocumentDB tidak boleh bersifat publik

• SH.DynamoDB.3: Cluster DynamoDB Accelerator (DAX) harus dienkripsi saat istirahat

• SH.EC2.23: EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC

• SH.EKS.1: Titik akhir klaster EKS tidak boleh diakses publik

• SH.ElastiCache.3: grup ElastiCache replikasi harus mengaktifkan failover otomatis

• SH.ElastiCache.4: grup ElastiCache replikasi seharusnya diaktifkan encryption-at-rest

• SH.ElastiCache.5: grup ElastiCache replikasi seharusnya diaktifkan encryption-in-transit

• SH.ElastiCache.6: grup ElastiCache replikasi versi Redis sebelumnya harus mengaktifkan Redis AUTH

• SH.EventBridge.3: bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir

• SH.KMS.4: rotasi AWS KMS kunci harus diaktifkan

• SH.Lambda.3: Fungsi Lambda harus dalam VPC

• SH.MQ.5: Pialang ActiveMQ harus menggunakan mode penerapan aktif/siaga

• SH.MQ.6: Broker RabbitMQ harus menggunakan mode penerapan cluster

• SH.MSK.1: Cluster MSK harus dienkripsi dalam perjalanan di antara node broker

• SH.RDS.12: Autentikasi IAM harus dikonfigurasi untuk cluster RDS

• SH.RDS.15: Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone

• SH.S3.17: Ember S3 harus dienkripsi saat istirahat dengan kunci AWS KMS

• EnableControlAPI yang diperbarui dapat mengonfigurasi kontrol yang dapat dikonfigurasi.

• GetEnabledControlAPI yang diperbarui menunjukkan parameter yang dikonfigurasi pada kontrol yang diaktifkan.

• UpdateEnabledControlAPI baru dapat mengubah parameter pada kontrol yang diaktifkan.

• CreateLandingZone—Panggilan API ini membuat landing zone menggunakan versi landing zone dan file manifes.

• GetLandingZoneOperation—Panggilan API ini mengembalikan status operasi landing zone tertentu.

• GetLandingZone—Panggilan API ini menampilkan detail tentang landing zone yang ditentukan, termasuk versi, file manifes, dan status.

• UpdateLandingZone—Panggilan API ini memperbarui versi landing zone atau file manifes.

• ListLandingZone—Panggilan API ini mengembalikan satu pengenal landing zone (ARN) untuk pengaturan landing zone di akun manajemen.

• ResetLandingZone—Panggilan API ini me-reset landing zone ke parameter yang ditentukan pada pembaruan terbaru, yang dapat memperbaiki drift. Jika landing zone belum diperbarui, panggilan ini mengatur ulang landing zone ke parameter yang ditentukan saat pembuatan.

• DeleteLandingZone—Panggilan API ini menonaktifkan landing zone.

• TagResource—Panggilan API ini menambahkan tag ke kontrol yang diaktifkan di AWS Control Tower.

• UntagResource—Panggilan API ini menghapus tag dari kontrol yang diaktifkan di AWS Control Tower.

• ListTagsForResource—Panggilan API ini mengembalikan tag untuk kontrol yang diaktifkan di AWS Control Tower.

• GetEnabledControl—Panggilan API memberikan detail tentang kontrol yang diaktifkan.

• Dapatkan daftar semua kontrol yang telah Anda aktifkan dari pustaka kontrol AWS Control Tower.

• Untuk kontrol apa pun yang diaktifkan, Anda bisa mendapatkan informasi tentang Wilayah di mana kontrol didukung, pengenal kontrol (ARN), status drift kontrol, dan ringkasan status kontrol.

Kontrol proaktif baru

• [CT.ATHENA.PR.1] Memerlukan workgroup Amazon Athena untuk mengenkripsi hasil kueri Athena saat istirahat

• [CT.ATHENA.PR.2] Memerlukan workgroup Amazon Athena untuk mengenkripsi hasil kueri Athena saat istirahat dengan kunci (KMS) AWS Key Management Service

• [CT.CLOUDTRAIL.PR.4] Memerlukan penyimpanan data acara AWS CloudTrail Lake untuk mengaktifkan enkripsi saat istirahat dengan AWS KMS kunci

• [CT.DAX.PR.2] Memerlukan klaster Amazon DAX untuk menyebarkan node ke setidaknya tiga Availability Zone

• [CT.EC2.PR.14] Memerlukan volume Amazon EBS yang dikonfigurasi melalui template EC2 peluncuran Amazon untuk mengenkripsi data saat istirahat

• [CT.EKS.PR.2] Memerlukan klaster Amazon EKS untuk dikonfigurasi dengan enkripsi rahasia menggunakan AWS kunci Layanan Manajemen Kunci (KMS)

• [CT.ELASTICLOADBALANCING.PR.14] Memerlukan Network Load Balancer agar penyeimbangan beban lintas zona diaktifkan

• [CT.ELASTICLOADBALANCING.PR.15] Mengharuskan grup target Elastic Load Balancing v2 tidak secara eksplisit menonaktifkan penyeimbangan beban lintas zona

• [CT.EMR.PR.1] Mengharuskan konfigurasi keamanan Amazon EMR (EMR) dikonfigurasi untuk mengenkripsi data saat istirahat di Amazon S3

• [CT.EMR.PR.2] Mengharuskan konfigurasi keamanan Amazon EMR (EMR) dikonfigurasi untuk mengenkripsi data saat istirahat di Amazon S3 dengan kunci AWS KMS

• [CT.EMR.PR.3] Mengharuskan konfigurasi keamanan Amazon EMR (EMR) dikonfigurasi dengan enkripsi disk lokal volume EBS menggunakan kunci AWS KMS

• [CT.EMR.PR.4] Mengharuskan konfigurasi keamanan Amazon EMR (EMR) dikonfigurasi untuk mengenkripsi data dalam perjalanan

• [CT.GLUE.PR.1] Memerlukan pekerjaan AWS Glue untuk memiliki konfigurasi keamanan terkait

• [CT.GLUE.PR.2] Memerlukan konfigurasi keamanan AWS Glue untuk mengenkripsi data di target AWS Amazon S3 menggunakan kunci KMS

• [CT.KMS.PR.2] Mengharuskan kunci AWS KMS asimetris dengan bahan kunci RSA yang digunakan untuk enkripsi memiliki panjang kunci lebih besar dari 2048 bit

• [CT.KMS.PR.3] Memerlukan kebijakan AWS KMS utama untuk memiliki pernyataan yang membatasi pembuatan AWS KMS hibah untuk layanan AWS

• [CT.LAMBDA.PR.4] Memerlukan izin AWS Lambda lapisan untuk memberikan akses ke AWS organisasi atau AWS akun tertentu

• [CT.LAMBDA.PR.5] Memerlukan URL AWS Lambda fungsi untuk menggunakan otentikasi AWS berbasis IAM

• [CT.LAMBDA.PR.6] Memerlukan kebijakan CORS URL AWS Lambda fungsi untuk membatasi akses ke asal tertentu

• [CT.NEPTUNE.PR.4] Memerlukan cluster DB Amazon Neptunus untuk mengaktifkan ekspor log CloudWatch Amazon untuk log audit

• [CT.NEPTUNE.PR.5] Memerlukan cluster DB Amazon Neptunus untuk mengatur periode retensi cadangan lebih besar dari atau sama dengan tujuh hari

• [CT.REDSHIFT.PR.9] Mengharuskan grup parameter cluster Amazon Redshift dikonfigurasi untuk menggunakan Secure Sockets Layer (SSL) untuk enkripsi data dalam perjalanan

• [SH.Athena.1] Kelompok kerja Athena harus dienkripsi saat istirahat

• [SH.Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat

• [SH.Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch

• [SH.Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak bersifat publik

• [SH.Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan

• [SH.Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis

• [SH.Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat

• [SH.Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi basis data IAM

• [SH.Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot

• [SH.RDS.27] Cluster RDS DB harus dienkripsi saat istirahat

Berikut adalah daftar lengkap kontrol baru:

• [CT.APPSYNC.PR.1] Memerlukan GraphQL API agar logging diaktifkan AWS AppSync

• [CT.CLOUDWATCH.PR.1] Memerlukan alarm CloudWatch Amazon agar tindakan dikonfigurasi untuk status alarm

• [CT.CLOUDWATCH.PR.2] Memerlukan grup log CloudWatch Amazon untuk dipertahankan setidaknya selama satu tahun

• [CT.CLOUDWATCH.PR.3] Memerlukan grup log CloudWatch Amazon untuk dienkripsi saat istirahat dengan kunci KMS AWS

• [CT.CLOUDWATCH.PR.4] Memerlukan tindakan alarm Amazon untuk diaktifkan CloudWatch

• [CT.DOCUMENTDB.PR.1] Memerlukan cluster Amazon DocumentDB untuk dienkripsi saat istirahat

• [CT.DOCUMENTDB.PR.2] Memerlukan cluster Amazon DocumentDB agar pencadangan otomatis diaktifkan

• [CT.DYNAMODB.PR.2] Memerlukan tabel Amazon DynamoDB untuk dienkripsi saat istirahat menggunakan kunci AWS KMS

• [CT. EC2.PR.13] Memerlukan EC2 instans Amazon agar pemantauan terperinci diaktifkan

• [CT.EKS.PR.1] Memerlukan klaster Amazon EKS untuk dikonfigurasi dengan akses publik yang dinonaktifkan ke titik akhir server API Kubernetes cluster

• [CT.ELASTICACHE.PR.1] Memerlukan Amazon untuk cluster Redis agar cadangan otomatis diaktifkan ElastiCache

• [CT.ELASTICACHE.PR.2] Memerlukan ElastiCache Amazon untuk cluster Redis agar upgrade versi minor otomatis diaktifkan

• [CT.ELASTICACHE.PR.3] Memerlukan ElastiCache Amazon untuk grup replikasi Redis agar failover otomatis diaktifkan

• [CT.ELASTICACHE.PR.4] Memerlukan grup replikasi Amazon ElastiCache agar enkripsi diaktifkan saat istirahat

• [CT.ELASTICACHE.PR.5] Memerlukan ElastiCache Amazon untuk grup replikasi Redis agar enkripsi saat transit diaktifkan

• [CT.ELASTICACHE.PR.6] Memerlukan cluster cache Amazon ElastiCache untuk menggunakan grup subnet khusus

• [CT.ELASTICACHE.PR.7] Memerlukan grup replikasi ElastiCache Amazon dari versi Redis sebelumnya untuk memiliki otentikasi Redis AUTH

• [CT.ELASTICBEANSTALK.PR.3] Memerlukan lingkungan Elastic Beanstalk untuk memiliki konfigurasi logging AWS

• [CT.LAMBDA.PR.3] Memerlukan AWS Lambda fungsi untuk berada di Amazon Virtual Private Cloud (VPC) yang dikelola pelanggan

• [CT.NEPTUNE.PR.1] Memerlukan cluster DB Amazon Neptunus untuk memiliki otentikasi basis data (IAM) AWS Identity and Access Management

• [CT.NEPTUNE.PR.2] Memerlukan cluster DB Amazon Neptunus agar perlindungan penghapusan diaktifkan

• [CT.NEPTUNE.PR.3] Memerlukan cluster DB Amazon Neptunus agar enkripsi penyimpanan diaktifkan

• [CT.REDSHIFT.PR.8] Memerlukan cluster Amazon Redshift untuk dienkripsi

• [CT.S3.PR.9] Mengharuskan bucket Amazon S3 mengaktifkan Kunci Objek S3

• [CT.S3.PR.10] Memerlukan bucket Amazon S3 agar enkripsi sisi server dikonfigurasi menggunakan kunci AWS KMS

• [CT.S3.PR.11] Memerlukan bucket Amazon S3 agar versi diaktifkan

• [CT.STEPFUNCTIONS.PR.1] Memerlukan mesin status agar logging diaktifkan AWS Step Functions

• [CT.STEPFUNCTIONS.PR.2] Memerlukan mesin status agar penelusuran diaktifkan AWS Step Functions AWS X-Ray

• [SH.S3.4] Bucket S3 harus mengaktifkan enkripsi sisi server

• [CT.S3.PR.7] Memerlukan bucket Amazon S3 agar enkripsi sisi server dikonfigurasi

Layanan global dan APIs ditambahkan

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail (cloudtrail:LookupEvents) untuk memungkinkan visibilitas peristiwa global di akun anggota.

• AWS Penagihan Konsolidasi () consolidatedbilling:*

• AWS Aplikasi Mobile Console Manajemen (consoleapp:*)

• AWS Tingkat Gratis (freetier:*)

• AWS Invoicing (invoicing:*)

• AWS IQ () iq:*

• AWS Pemberitahuan Pengguna (notifications:*)

• AWS Kontak Pemberitahuan Pengguna (notifications-contacts:*)

• Amazon Payments (payments:*)

• AWS Pengaturan Pajak (tax:*)

Layanan global dan APIs dihapus

• Dihapus s3:GetAccountPublic karena ini bukan tindakan yang valid.

• Dihapus s3:PutAccountPublic karena ini bukan tindakan yang valid.

• [SH.Account.1] Informasi kontak keamanan harus disediakan untuk Akun AWS

• [SH. APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi

• [SH. APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2

• [SH. CodeBuild.3] CodeBuild Log S3 harus dienkripsi

• [SH. EC2.25] template EC2 peluncuran tidak boleh menetapkan publik IPs ke antarmuka jaringan

• [SH.ELB.1] Application Load Balancer harus dikonfigurasi untuk mengalihkan semua permintaan HTTP ke HTTPS

• [Sh.Redshift.10] Cluster Redshift harus dienkripsi saat istirahat

• [SH. SageMaker.2] Instans notebook SageMaker AI harus diluncurkan dalam VPC khusus

• [SH. SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance notebook SageMaker AI

• [SH.WAF.10] ACL WAFV2 web harus memiliki setidaknya satu aturan atau kelompok aturan

• Anda dapat menerima default dan mengizinkan AWS Control Tower menyiapkan dan mengelola Pusat Identitas AWS IAM untuk Anda.

• Anda dapat memilih untuk mengelola sendiri Pusat AWS Identitas IAM, untuk mencerminkan kebutuhan bisnis spesifik Anda.

• Anda dapat secara opsional membawa dan mengelola sendiri penyedia identitas pihak ketiga, dengan menghubungkannya melalui IAM Identity Center, jika diperlukan. Anda harus menggunakan opsionalitas penyedia identitas jika lingkungan peraturan Anda mengharuskan Anda untuk menggunakan penyedia tertentu, atau jika Anda beroperasi di Wilayah AWS tempat Pusat Identitas AWS IAM tidak tersedia.

OpenSearch Layanan Amazon

• [CT.OPENSEARCH.PR.1] Memerlukan domain Elasticsearch untuk mengenkripsi data saat istirahat

• [CT.OPENSEARCH.PR.2] Memerlukan domain Elasticsearch untuk dibuat di VPC Amazon yang ditentukan pengguna

• [CT.OPENSEARCH.PR.3] Memerlukan domain Elasticsearch untuk mengenkripsi data yang dikirim antar node

• [CT.OPENSEARCH.PR.4] Memerlukan domain Elasticsearch untuk mengirim log kesalahan ke Amazon Logs CloudWatch

• [CT.OPENSEARCH.PR.5] Memerlukan domain Elasticsearch untuk mengirim log audit ke Amazon Logs CloudWatch

• [CT.OPENSEARCH.PR.6] Memerlukan domain Elasticsearch untuk memiliki kesadaran zona dan setidaknya tiga node data

• [CT.OPENSEARCH.PR.7] Memerlukan domain Elasticsearch untuk memiliki setidaknya tiga node master khusus

• [CT.OPENSEARCH.PR.8] Memerlukan domain Layanan Elasticsearch untuk menggunakan .2 TLSv1

• [CT.OPENSEARCH.PR.9] Memerlukan domain Layanan Amazon OpenSearch untuk mengenkripsi data saat istirahat

• [CT.OPENSEARCH.PR.10] Memerlukan domain Layanan Amazon untuk dibuat di OpenSearch VPC Amazon yang ditentukan pengguna

• [CT.OPENSEARCH.PR.11] Memerlukan domain Layanan OpenSearch Amazon untuk mengenkripsi data yang dikirim antar node

• [CT.OPENSEARCH.PR.12] Memerlukan domain Layanan Amazon untuk mengirim log kesalahan ke OpenSearch Amazon Logs CloudWatch

• [CT.OPENSEARCH.PR.13] Memerlukan domain Layanan Amazon untuk mengirim log audit ke OpenSearch Amazon Logs CloudWatch

• [CT.OPENSEARCH.PR.14] Memerlukan domain Layanan OpenSearch Amazon untuk memiliki kesadaran zona dan setidaknya tiga node data

• [CT.OPENSEARCH.PR.15] Memerlukan domain Layanan Amazon OpenSearch untuk menggunakan kontrol akses berbutir halus

• [CT.OPENSEARCH.PR.16] Memerlukan domain Layanan Amazon untuk menggunakan .2 OpenSearch TLSv1

EC2 Auto Scaling Amazon

• [CT.AUTOSCALING.PR.1] Memerlukan grup Auto EC2 Scaling Amazon untuk memiliki beberapa Availability Zone

• [CT.AUTOSCALING.PR.2] Memerlukan konfigurasi peluncuran grup EC2 Auto Scaling Amazon untuk mengonfigurasi instans Amazon EC2 IMDSv2

• [CT.AUTOSCALING.PR.3] Memerlukan konfigurasi peluncuran Amazon Auto EC2 Scaling untuk memiliki batas respons metadata single-hop

• [CT.AUTOSCALING.PR.4] Memerlukan grup Amazon Auto EC2 Scaling yang terkait dengan Amazon Elastic Load Balancing (ELB) agar pemeriksaan kesehatan ELB diaktifkan

• [CT.AUTOSCALING.PR.5] Mengharuskan konfigurasi peluncuran grup Auto EC2 Scaling Amazon tidak memiliki instans Amazon dengan alamat IP publik EC2

• [CT.AUTOSCALING.PR.6] Memerlukan grup Amazon Auto EC2 Scaling untuk menggunakan beberapa jenis instans

• [CT.AUTOSCALING.PR.8] Memerlukan grup Amazon Auto EC2 Scaling agar templat peluncuran dikonfigurasi EC2

Amazon SageMaker AI

• [CT.SAGEMAKER.PR.1] Memerlukan instance notebook Amazon AI untuk mencegah akses internet langsung SageMaker

• [CT.SAGEMAKER.PR.2] Memerlukan instance notebook Amazon AI untuk digunakan dalam SageMaker VPC Amazon khusus

• [CT.SAGEMAKER.PR.3] Memerlukan instance notebook Amazon SageMaker AI agar akses root tidak diizinkan

Amazon API Gateway

• [CT.APIGATEWAY.PR.5] Memerlukan Amazon API Gateway V2 Websocket dan rute HTTP untuk menentukan jenis otorisasi

Amazon Relational Database Service (RDS)

• [CT.RDS.PR.25] Memerlukan kluster basis data Amazon RDS agar logging dikonfigurasi

• Apa itu Amazon CloudWatch Logs? di Panduan Pengguna CloudWatch Log Amazon

• Apa itu AWS Step Functions? di Panduan AWS Step Functions Pengembang

• Dengan rilis ini, AWS Control Tower menonaktifkan pencatatan akses yang tidak perlu untuk bucket logging akses Anda, yang merupakan bucket Amazon S3 tempat log akses disimpan di akun Arsip Log, sambil terus mengaktifkan pencatatan akses server untuk bucket S3. Rilis ini juga mencakup pembaruan pada kontrol Region Deny yang memungkinkan tindakan tambahan untuk layanan global, seperti Dukungan Paket dan AWS Artifact.

• Penonaktifan pencatatan akses server untuk bucket logging akses AWS Control Tower menyebabkan Security Hub membuat temuan untuk bucket logging akses akun Arsip Log, karena AWS Security Hub aturan, pencatatan akses server bucket [S3.9] S3 harus diaktifkan. Sejalan dengan Security Hub, sebaiknya Anda menekan temuan khusus ini, seperti yang dinyatakan dalam deskripsi Security Hub dari aturan ini. Untuk informasi tambahan, lihat informasi tentang temuan yang ditekan.

• Pencatatan akses untuk bucket logging (reguler) di akun Arsip Log tidak berubah di versi 3.1. Sejalan dengan praktik terbaik, peristiwa akses untuk bucket tersebut direkam sebagai entri log di bucket logging akses. Untuk informasi selengkapnya tentang pencatatan akses, lihat Permintaan logging menggunakan pencatatan akses server di dokumentasi Amazon S3.

• Kami membuat pembaruan kontrol Region Deny. Pembaruan ini memungkinkan tindakan oleh lebih banyak layanan global. Untuk detail SCP ini, lihat Tolak akses AWS berdasarkan permintaan Wilayah AWS dan Kontrol yang meningkatkan perlindungan residensi data.

  Layanan global menambahkan:

  • AWS Account Management (account:*)

  • AWS Aktifkan (activate:*)

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • Amazon ECR () ecr-public:*

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS Lightsail () lightsail:Get*

  • Penjelajah Sumber Daya AWS (resource-explorer-2:*)

  • Amazon S3 (s3:CreateMultiRegionAccessPoint,,s3:GetBucketPolicyStatus) s3:PutMultiRegionAccessPointPolicy

  • AWS Savings Plans (savingsplans:*)

  • Pusat Identitas IAM () sso:*

  • AWS Support App (supportapp:*)

  • Dukungan Rencana (supportplans:*)

  • AWS Keberlanjutan () sustainability:*

  • AWS Resource Groups Tagging API (tag:GetResources)

  • AWS Marketplace Wawasan Vendor () vendor-insights:ListEntitledSecurityProfiles