Januari - Desember 2023 - AWSControl Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Januari - Desember 2023

Pada tahun 2023, AWS Control Tower merilis pembaruan berikut:

Transisi ke yang baru AWS Service Catalog Jenis produk eksternal (fase 3)

Desember 14, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower tidak lagi mendukung Terraform Open Source sebagai jenis produk (cetak biru) saat membuat yang baru Akun AWS. Untuk informasi selengkapnya dan untuk petunjuk tentang memperbarui cetak biru akun Anda, tinjau Transisi ke AWS Service Catalog Jenis produk eksternal.

Jika Anda tidak memperbarui cetak biru akun untuk menggunakan jenis produk Eksternal, Anda hanya dapat memperbarui atau menghentikan akun yang Anda sediakan menggunakan cetak biru Sumber Terraform Open Source.

AWSControl Tower landing zone versi 3.3

Desember 14, 2023

(Update diperlukan untuk AWS Control Tower landing zone ke versi 3.3. Untuk informasi, lihatPerbarui landing zone).

Pembaruan kebijakan bucket S3 di akun Audit AWS Control Tower

Kami telah memodifikasi kebijakan bucket Amazon S3 Audit yang diterapkan AWS Control Tower di akun, sehingga aws:SourceOrgID kondisi harus dipenuhi untuk izin menulis apa pun. Dengan rilis ini, AWS Layanan memiliki akses ke sumber daya Anda hanya ketika permintaan berasal dari organisasi atau unit organisasi (OU) Anda.

Anda dapat menggunakan kunci aws:SourceOrgID kondisi dan menyetel nilainya ke ID organisasi di elemen kondisi kebijakan bucket S3 Anda. Kondisi ini memastikan bahwa CloudTrail hanya dapat menulis log atas nama akun dalam organisasi Anda ke bucket S3 Anda; ini mencegah CloudTrail log di luar organisasi Anda menulis ke bucket AWS Control Tower S3 Anda.

Kami membuat perubahan ini untuk memulihkan potensi kerentanan keamanan, tanpa memengaruhi fungsionalitas beban kerja Anda yang ada. Untuk melihat kebijakan yang diperbarui, lihatKebijakan bucket Amazon S3 di akun audit.

Untuk informasi selengkapnya tentang kunci kondisi baru, lihat IAM dokumentasi dan posting IAM blog berjudul "Gunakan kontrol yang dapat diskalakan untuk AWS layanan mengakses sumber daya Anda.”

Pembaruan kebijakan di AWS Config SNStopik

Kami menambahkan kunci aws:SourceOrgID kondisi baru ke kebijakan untuk AWS Config SNSTopic.Untuk melihat kebijakan yang diperbarui, lihat AWS Config SNSkebijakan topik.

Pembaruan untuk kontrol wilayah Deny landing zone
  • Dihapusdiscovery-marketplace:. Tindakan ini dicakup oleh aws-marketplace:* pengecualian.

  • Ditambahkan quicksight:DescribeAccountSubscription

Diperbarui AWS CloudFormation Template

Kami memperbarui AWS CloudFormation template untuk tumpukan bernama BASELINE-CLOUDTRAIL-MASTER sehingga tidak menunjukkan penyimpangan saat AWS KMS Enkripsi tidak digunakan.

Transisi ke yang baru AWS Service Catalog Jenis produk eksternal (fase 2)

Desember 7, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

HashiCorp memperbarui lisensi Terraform mereka. Akibatnya, AWS Service Catalog mengubah dukungan untuk produk Terraform Open Source dan menyediakan produk ke jenis produk baru, yang disebut Eksternal.

Untuk menghindari gangguan pada beban kerja yang ada dan AWS sumber daya di akun Anda, ikuti langkah transisi AWS Control Tower di Transisi ke AWS Service Catalog Jenis produk eksternal paling lambat 14 Desember 2023.

AWSControl Tower mengumumkan kontrol untuk membantu kedaulatan digital

November 27, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower mengumumkan 65 baru AWS-kontrol terkelola, untuk membantu Anda memenuhi persyaratan kedaulatan digital Anda. Dengan rilis ini, Anda dapat menemukan kontrol ini di bawah grup kedaulatan digital baru di konsol Control TowerAWS. Anda dapat menggunakan kontrol ini untuk membantu mencegah tindakan dan mendeteksi perubahan sumber daya terkait residensi data, pembatasan akses granular, enkripsi, dan kemampuan ketahanan. Kontrol ini dirancang untuk memudahkan Anda menangani persyaratan dalam skala besar. Untuk informasi lebih lanjut tentang kontrol kedaulatan digital, lihat Kontrol yang meningkatkan perlindungan kedaulatan digital.

Misalnya, Anda dapat memilih untuk mengaktifkan kontrol yang membantu menegakkan strategi enkripsi dan ketahanan Anda, seperti Memerlukan AWS AppSync APIcache agar enkripsi saat transit diaktifkan atau Memerlukan AWS Network Firewall akan digunakan di beberapa Availability Zone. Anda juga dapat menyesuaikan AWS kontrol penolakan Wilayah Control Tower untuk menerapkan batasan regional yang paling sesuai dengan kebutuhan bisnis unik Anda.

Rilis ini menghadirkan kemampuan penolakan Wilayah AWS Control Tower yang ditingkatkan dengan baik. Anda dapat menerapkan kontrol penolakan Wilayah berparameter baru di tingkat OU, untuk meningkatkan perincian tata kelola, sambil mempertahankan tata kelola Wilayah tambahan di tingkat landing zone. Kontrol penolakan Wilayah yang dapat disesuaikan ini membantu Anda menerapkan batasan regional yang paling sesuai dengan kebutuhan bisnis unik Anda. Untuk informasi selengkapnya tentang kontrol penolakan Wilayah baru yang dapat dikonfigurasi, lihat Kontrol penolakan Wilayah yang diterapkan ke OU.

Sebagai alat baru untuk peningkatan penolakan Wilayah baru, rilis ini menyertakan yang baru APIUpdateEnabledControl, yang memungkinkan Anda mengatur ulang kontrol yang diaktifkan ke pengaturan default. Ini API sangat membantu dalam kasus penggunaan di mana Anda perlu menyelesaikan drift dengan cepat, atau untuk menjamin secara terprogram bahwa kontrol tidak dalam keadaan drift. Untuk informasi lebih lanjut tentang yang baruAPI, lihat APIReferensi AWS Control Tower

Kontrol proaktif baru
  • CT.APIGATEWAY.PR.6: Memerlukan REST domain Amazon API Gateway untuk menggunakan kebijakan keamanan yang menentukan versi TLS protokol minimum.2 TLSv1

  • CT.APPSYNC.PR.2: Membutuhkan AWS AppSync APIGraphQL akan dikonfigurasi dengan visibilitas pribadi

  • CT.APPSYNC.PR.3: Memerlukan itu AWS AppSync APIGraphQL tidak diautentikasi dengan kunci API

  • CT.APPSYNC.PR.4: Membutuhkan AWS AppSync Cache API GraphQL untuk mengaktifkan enkripsi saat transit.

  • CT.APPSYNC.PR.5: Membutuhkan AWS AppSync Cache API GraphQL untuk mengaktifkan enkripsi saat istirahat.

  • CT.AUTOSCALING.PR.9: Memerlukan EBS volume Amazon yang dikonfigurasi melalui konfigurasi peluncuran EC2 Auto Scaling Amazon untuk mengenkripsi data saat istirahat

  • CT.AUTOSCALING.PR.10: Memerlukan grup EC2 Auto Scaling Amazon untuk hanya menggunakan AWS Jenis instans Nitro saat mengganti template peluncuran

  • CT.AUTOSCALING.PR.11: Hanya membutuhkan AWS Jenis instans Nitro yang mendukung enkripsi lalu lintas jaringan antar instans yang akan ditambahkan ke grup Auto EC2 Scaling Amazon, saat mengganti template peluncuran

  • CT.DAX.PR.3: Memerlukan klaster DynamoDB Accelerator untuk mengenkripsi data dalam perjalanan dengan Transport Layer Security () TLS

  • CT.DMS.PR.2: Membutuhkan AWS Database Migration Service (DMS) Endpoint untuk mengenkripsi koneksi untuk titik akhir sumber dan target

  • CT.EC2.PR.15: Memerlukan EC2 instans Amazon untuk menggunakan AWS Jenis instans Nitro saat membuat dari tipe AWS::EC2::LaunchTemplate sumber daya

  • CT.EC2.PR.16: Memerlukan EC2 instans Amazon untuk menggunakan AWS Jenis instans Nitro saat dibuat menggunakan tipe AWS::EC2::Instance sumber daya

  • CT.EC2.PR.17: Memerlukan host EC2 khusus Amazon untuk menggunakan jenis instans AWS Nitro

  • CT.EC2.PR.18: Memerlukan EC2 armada Amazon untuk mengganti hanya templat peluncuran tersebut AWS Jenis instans Nitro

  • CT.EC2.PR.19: Memerlukan EC2 instans Amazon untuk menggunakan jenis instans nitro yang mendukung enkripsi dalam transit antar instance saat dibuat menggunakan tipe sumber daya AWS::EC2::Instance

  • CT.EC2.PR.20: Memerlukan EC2 armada Amazon untuk mengganti hanya templat peluncuran tersebut AWS Jenis instans Nitro yang mendukung enkripsi dalam perjalanan antar instance

  • CT.ELASTICACHE.PR.8: Memerlukan grup ElastiCache replikasi Amazon dari versi Redis yang lebih baru agar otentikasi diaktifkan RBAC

  • CT.MQ.PR.1: Memerlukan broker Amazon MQ ActiveMQ untuk menggunakan mode penerapan aktif/siaga untuk ketersediaan tinggi

  • CT.MQ.PR.2: Memerlukan broker MQ Amazon MQ Rabbit untuk menggunakan mode cluster multi-AZ untuk ketersediaan tinggi

  • CT.MSK.PR.1: Memerlukan klaster Amazon Managed Streaming for Apache Kafka MSK () untuk menerapkan enkripsi saat transit antar node broker cluster

  • CT.MSK.PR.2: Memerlukan cluster Amazon Managed Streaming for Apache Kafka MSK () untuk dikonfigurasi dengan dinonaktifkan PublicAccess

  • CT.NETWORK-FIREWALL.PR.5: Membutuhkan AWS Firewall Network Firewall akan digunakan di beberapa Availability Zone

  • CT.RDS.PR.26: Memerlukan Proxy Amazon RDS DB untuk memerlukan koneksi Transport Layer Security (TLS)

  • CT.RDS.PR.27: Memerlukan grup parameter cluster Amazon RDS DB untuk mewajibkan koneksi Transport Layer Security (TLS) untuk tipe engine yang didukung

  • CT.RDS.PR.28: Memerlukan grup parameter Amazon RDS DB untuk mewajibkan koneksi Transport Layer Security (TLS) untuk jenis engine yang didukung

  • CT.RDS.PR.29: Memerlukan RDS klaster Amazon yang tidak dikonfigurasi agar dapat diakses publik melalui properti 'PubliclyAccessible'

  • CT.RDS.PR.30: Mengharuskan instance RDS database Amazon memiliki enkripsi saat istirahat yang dikonfigurasi untuk menggunakan KMS kunci yang Anda tentukan untuk jenis engine yang didukung

  • CT.S3.PR.12: Memerlukan jalur akses Amazon S3 untuk memiliki konfigurasi Blokir Akses Publik (BPA) dengan semua opsi disetel ke true

Kontrol pencegahan baru
  • CT.APPSYNC.PV.1 Memerlukan bahwa sebuah AWS AppSync APIGraphQL dikonfigurasi dengan visibilitas pribadi

  • CT.EC2.PV.1 Memerlukan EBS snapshot Amazon untuk dibuat dari volume terenkripsi EC2

  • CT.EC2.PV.2 Mengharuskan EBS volume Amazon terlampir dikonfigurasi untuk mengenkripsi data saat istirahat

  • CT.EC2.PV.3 Mengharuskan EBS snapshot Amazon tidak dapat dipulihkan secara publik

  • CT.EC2.PV.4 Mengharuskan Amazon EBS langsung APIs tidak dipanggil

  • CT.EC2.PV.5 Larang penggunaan impor dan ekspor Amazon EC2 VM

  • CT.EC2.PV.6 Larang penggunaan Amazon dan tindakan yang tidak digunakan lagi EC2 RequestSpotFleet RequestSpotInstances API

  • CT.KMS.PV.1 Membutuhkan AWS KMS kebijakan utama untuk memiliki pernyataan yang membatasi pembuatan AWS KMS hibah untuk AWS layanan

  • CT.KMS.PV.2 Memerlukan bahwa sebuah AWS KMS kunci asimetris dengan bahan RSA kunci yang digunakan untuk enkripsi tidak memiliki panjang kunci 2048 bit

  • CT.KMS.PV.3 Memerlukan bahwa sebuah AWS KMS kunci dikonfigurasi dengan pemeriksaan keamanan penguncian kebijakan bypass diaktifkan

  • CT.KMS.PV.4 Memerlukan bahwa AWS KMS kunci yang dikelola pelanggan (CMK) dikonfigurasi dengan materi utama yang berasal dari AWS Awan HSM

  • CT.KMS.PV.5 Memerlukan bahwa AWS KMS kunci yang dikelola pelanggan (CMK) dikonfigurasi dengan bahan kunci yang diimpor

  • CT.KMS.PV.6 Memerlukan bahwa AWS KMS kunci yang dikelola pelanggan (CMK) dikonfigurasi dengan materi kunci yang berasal dari penyimpanan kunci eksternal () XKS

  • CT.LAMBDA.PV.1 Membutuhkan AWS Lambda fungsi URL untuk digunakan AWS IAMotentikasi berbasis

  • CT.LAMBDA.PV.2 Membutuhkan AWS Lambda fungsi URL yang akan dikonfigurasi untuk akses hanya oleh prinsipal dalam Akun AWS

  • CT. MULTISERVICE.PV.1: Tolak akses ke AWS Berdasarkan yang diminta Wilayah AWS untuk unit organisasi

Kontrol detecive baru yang meningkatkan postur tata kelola kedaulatan digital Anda adalah bagian dari AWS Security Hub Menara AWS Kontrol Standar yang Dikelola Layanan.

Kontrol detektif baru
  • SH.ACM.2: RSA sertifikat yang dikelola oleh ACM harus menggunakan panjang kunci minimal 2.048 bit

  • SH.AppSync.5: AWS AppSync APIsGraphQL tidak boleh diautentikasi dengan kunci API

  • SH.CloudTrail.6: Pastikan bucket S3 yang digunakan untuk menyimpan CloudTrail log tidak dapat diakses publik:

  • SH.DMS.9: DMS titik akhir harus digunakan SSL

  • SH.DocumentDB.3: Cuplikan cluster manual Amazon DocumentDB tidak boleh bersifat publik

  • SH.DynamoDB.3: DynamoDB Accelerator DAX () cluster harus dienkripsi saat istirahat

  • SH.EC2.23: EC2 Transit Gateways seharusnya tidak secara otomatis menerima permintaan lampiran VPC

  • SH.EKS.1: titik akhir EKS cluster tidak boleh diakses oleh publik

  • SH.ElastiCache.3: grup ElastiCache replikasi harus mengaktifkan failover otomatis

  • SH.ElastiCache.4: grup ElastiCache replikasi seharusnya diaktifkan encryption-at-rest

  • SH.ElastiCache.5: grup ElastiCache replikasi seharusnya diaktifkan encryption-in-transit

  • SH.ElastiCache.6: grup ElastiCache replikasi versi Redis sebelumnya seharusnya mengaktifkan Redis AUTH

  • SH.EventBridge.3: bus acara EventBridge khusus harus memiliki kebijakan berbasis sumber daya terlampir

  • SH.KMS.4: AWS KMS rotasi kunci harus diaktifkan

  • SH.Lambda.3: Fungsi Lambda harus dalam a VPC

  • SH.MQ.5: Pialang ActiveMQ harus menggunakan mode penerapan aktif/siaga

  • SH.MQ.6: Broker RabbitMQ harus menggunakan mode penerapan cluster

  • SH.MSK.1: MSK cluster harus dienkripsi dalam perjalanan di antara node broker

  • SH.RDS.12: IAM otentikasi harus dikonfigurasi untuk cluster RDS

  • SH.RDS.15: Cluster RDS DB harus dikonfigurasi untuk beberapa Availability Zone

  • SH.S3.17: Ember S3 harus dienkripsi saat istirahat dengan AWS KMS keys

Untuk informasi selengkapnya tentang kontrol yang ditambahkan ke AWS Security Hub AWSControl Tower Standar yang Dikelola Layanan lihat Kontrol yang berlaku untuk Standar yang Dikelola Layanan: Control Tower AWS di AWS Security Hub dokumentasi.

Untuk daftar Wilayah AWS yang tidak mendukung kontrol tertentu yang merupakan bagian dari AWS Security Hub Menara AWS Kontrol Standar yang Dikelola Layanan, lihat Wilayah Tidak Didukung.

Kontrol baru yang dapat dikonfigurasi untuk penolakan Wilayah di tingkat OU

CT. MULTISERVICE.PV.1: Kontrol ini menerima parameter untuk menentukan Wilayah, IAM prinsipal, dan Tindakan yang dikecualikan yang diizinkan, pada tingkat OU, bukan untuk seluruh zona landing Control Tower. AWS Ini adalah kontrol preventif, yang diterapkan oleh kebijakan kontrol Layanan (SCP).

Untuk informasi selengkapnya, lihat Kontrol penolakan wilayah yang diterapkan pada OU.

The UpdateEnabledControl API

Rilis AWS Control Tower ini menambahkan API dukungan berikut untuk kontrol:

  • Yang diperbarui EnableControl API dapat mengonfigurasi kontrol yang dapat dikonfigurasi.

  • Yang diperbarui GetEnabledControl API menunjukkan parameter yang dikonfigurasi pada kontrol yang diaktifkan.

  • Yang baru UpdateEnabledControl API dapat mengubah parameter pada kontrol yang diaktifkan.

Untuk informasi selengkapnya, lihat APIReferensi AWS Control Tower.

AWSControl Tower mendukung landing zone APIs

November 26, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower sekarang mendukung konfigurasi landing zone dan peluncuran menggunakanAPIs. Anda dapat membuat, memperbarui, mendapatkan, membuat daftar, mengatur ulang, dan menghapus zona pendaratan menggunakanAPIs.

Berikut ini APIs memungkinkan Anda untuk mengatur dan mengelola landing zone Anda secara terprogram menggunakan AWS CloudFormation atau AWS CLI.

AWSControl Tower mendukung hal berikut APIs untuk zona pendaratan:

  • CreateLandingZoneAPI—Panggilan ini membuat landing zone menggunakan versi landing zone dan file manifes.

  • GetLandingZoneOperationAPI—Panggilan ini mengembalikan status operasi landing zone tertentu.

  • GetLandingZoneAPI—Panggilan ini menampilkan detail tentang landing zone yang ditentukan, termasuk versi, file manifes, dan status.

  • UpdateLandingZoneAPI—Panggilan ini memperbarui versi landing zone atau file manifes.

  • ListLandingZoneAPI—Panggilan ini mengembalikan satu pengenal landing zone (ARN) untuk pengaturan landing zone di akun manajemen.

  • ResetLandingZoneAPI—Panggilan ini mengatur ulang landing zone ke parameter yang ditentukan pada pembaruan terbaru, yang dapat memperbaiki drift. Jika landing zone belum diperbarui, panggilan ini mengatur ulang landing zone ke parameter yang ditentukan saat pembuatan.

  • DeleteLandingZoneAPI—Panggilan ini menonaktifkan landing zone.

Untuk memulai dengan landing zoneAPIs, lihatMemulai AWS Control Tower menggunakan APIs.

AWSControl Tower mendukung penandaan untuk kontrol yang diaktifkan

November 10, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower sekarang mendukung penandaan sumber daya untuk kontrol yang diaktifkan, dari konsol AWS Control Tower atau dengan cara. APIs Anda dapat menambahkan, menghapus, atau mencantumkan tag untuk kontrol yang diaktifkan.

Dengan rilis berikut iniAPIs, Anda dapat mengonfigurasi tag untuk kontrol yang Anda aktifkan di AWS Control Tower. Tag membantu Anda mengelola, mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya.

AWSControl Tower mendukung hal berikut APIs untuk penandaan kontrol:

  • TagResourceAPI—Panggilan ini menambahkan tag ke kontrol yang diaktifkan di AWS Control Tower.

  • UntagResourceAPI—Panggilan ini menghapus tag dari kontrol yang diaktifkan di AWS Control Tower.

  • ListTagsForResourceAPI—Panggilan ini mengembalikan tag untuk kontrol yang diaktifkan di AWS Control Tower.

AWSKontrol Control Tower APIs tersedia di Wilayah AWS di mana AWS Control Tower tersedia. Untuk daftar lengkap Wilayah AWS di mana AWS Control Tower tersedia, lihat AWS Tabel Wilayah. Untuk daftar lengkap AWS Control TowerAPIs, lihat APIReferensi.

AWSControl Tower tersedia di Wilayah Asia Pasifik (Melbourne)

November 3, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower tersedia di Asia Pacific (Melbourne) Region.

Jika Anda sudah menggunakan AWS Control Tower dan ingin memperluas fitur tata kelola ke Wilayah ini di akun Anda, buka halaman Pengaturan di dasbor AWS Control Tower Anda, pilih Wilayah, lalu perbarui landing zone Anda. Setelah pembaruan landing zone, Anda harus memperbarui semua akun yang diatur oleh AWS Control Tower, untuk membawa akun Anda dan OUs di bawah tata kelola di Wilayah baru. Untuk informasi selengkapnya, lihat Tentang Pembaruan.

Untuk daftar lengkap Wilayah di mana AWS Control Tower tersedia, lihat bagian Wilayah AWS Tabel.

Transisi ke yang baru AWS Service Catalog Jenis produk eksternal (fase 1)

Oktober 31, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

HashiCorp memperbarui lisensi Terraform mereka. Akibatnya, AWS Service Catalog dukungan terbaru untuk produk Terraform Open Source dan menyediakan produk ke jenis produk baru, yang disebut Eksternal.

AWSControl Tower tidak mendukung kustomisasi Account Factory yang bergantung pada AWS Service Catalog Jenis produk eksternal. Untuk menghindari gangguan pada beban kerja yang ada dan AWS sumber daya di akun Anda, ikuti langkah transisi AWS Control Tower dalam urutan yang disarankan ini, sebelum 14 Desember 2023:

  1. Tingkatkan Mesin Referensi Terraform Anda yang ada untuk AWS Service Catalog untuk menyertakan dukungan untuk jenis produk Sumber Terbuka Eksternal dan Terraform. Untuk petunjuk tentang memperbarui Mesin Referensi Terraform Anda, tinjau AWS Service Catalog GitHub Repositori.

  2. Pergi ke AWS Service Catalog dan duplikat cetak biru Terraform Open Source yang ada untuk menggunakan jenis produk Eksternal yang baru. Jangan hentikan cetak biru Terraform Open Source yang ada.

  3. Lanjutkan menggunakan cetak biru Terraform Open Source yang ada untuk membuat atau memperbarui akun di Control Tower. AWS

Kontrol baru API tersedia

Oktober 14, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower sekarang mendukung tambahan API yang dapat Anda gunakan untuk menyebarkan dan mengelola AWS kontrol Control Tower Anda, dalam skala besar. Untuk informasi selengkapnya tentang AWS kontrol Control TowerAPIs, lihat APIReferensi.

AWSControl Tower menambahkan kontrol baruAPI.

  • GetEnabledControlAPI—Panggilan memberikan detail tentang kontrol yang diaktifkan.

Kami juga memperbarui iniAPI:

ListEnabledControlsAPI—Panggilan ini mencantumkan kontrol yang diaktifkan oleh AWS Control Tower pada unit organisasi yang ditentukan dan akun yang dikandungnya. Sekarang mengembalikan informasi tambahan dalam suatu EnabledControlSummary objek.

Dengan iniAPIs, Anda dapat melakukan beberapa operasi umum secara terprogram. Sebagai contoh:

  • Dapatkan daftar semua kontrol yang telah Anda aktifkan dari pustaka AWS kontrol Control Tower.

  • Untuk kontrol apa pun yang diaktifkan, Anda bisa mendapatkan informasi tentang Wilayah di mana kontrol didukung, pengenal kontrol (ARN), status drift kontrol, dan ringkasan status kontrol.

AWSKontrol Control Tower APIs tersedia di Wilayah AWS di mana AWS Control Tower tersedia. Untuk daftar lengkap Wilayah AWS di mana AWS Control Tower tersedia, lihat AWS Tabel Wilayah. Untuk daftar lengkap AWS Control TowerAPIs, lihat APIReferensi.

AWSControl Tower menambahkan kontrol tambahan

Oktober 5, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower mengumumkan kontrol proaktif dan detektif baru.

Kontrol proaktif di AWS Control Tower diimplementasikan dengan cara AWS CloudFormation Hooks, yang mengidentifikasi dan memblokir sumber daya yang tidak sesuai sebelumnya AWS CloudFormation ketentuan mereka. Kontrol proaktif melengkapi kemampuan kontrol preventif dan detektif yang ada di AWS Control Tower.

Kontrol proaktif baru
  • [CT.ATHENA.PR.1] Memerlukan workgroup Amazon Athena untuk mengenkripsi hasil kueri Athena saat istirahat

  • [CT.ATHENA.PR.2] Memerlukan workgroup Amazon Athena untuk mengenkripsi hasil kueri Athena saat istirahat dengan AWS Key Management Service (KMS) kunci

  • [CT.CLOUDTRAIL.PR.4] Membutuhkan AWS CloudTrail Penyimpanan data acara Lake untuk mengaktifkan enkripsi saat istirahat dengan AWS KMS kunci

  • [CT.DAX.PR.2] Memerlukan DAX klaster Amazon untuk menyebarkan node ke setidaknya tiga Availability Zone

  • [CT.EC2.PR.14] Memerlukan EBS volume Amazon yang dikonfigurasi melalui template EC2 peluncuran Amazon untuk mengenkripsi data saat istirahat

  • [CT.EKS.PR.2] Memerlukan EKS cluster Amazon untuk dikonfigurasi dengan enkripsi rahasia menggunakan AWS Kunci Layanan Manajemen Kunci (KMS) kunci

  • [CT.ELASTICLOADBALANCING.PR.14] Memerlukan Network Load Balancer agar penyeimbangan beban lintas zona diaktifkan

  • [CT.ELASTICLOADBALANCING.PR.15] Mengharuskan grup target Elastic Load Balancing v2 tidak secara eksplisit menonaktifkan penyeimbangan beban lintas zona

  • [CT.EMR.PR.1] Mengharuskan konfigurasi keamanan Amazon EMR (EMR) dikonfigurasi untuk mengenkripsi data saat istirahat di Amazon S3

  • [CT.EMR.PR.2] Mengharuskan konfigurasi keamanan Amazon EMR (EMR) dikonfigurasi untuk mengenkripsi data saat istirahat di Amazon S3 dengan AWS KMS kunci

  • [CT.EMR.PR.3] Mengharuskan konfigurasi keamanan Amazon EMR (EMR) dikonfigurasi dengan enkripsi disk lokal EBS volume menggunakan AWS KMS kunci

  • [CT.EMR.PR.4] Mengharuskan konfigurasi keamanan Amazon EMR (EMR) dikonfigurasi untuk mengenkripsi data dalam perjalanan

  • [CT.GLUE.PR.1] Membutuhkan AWS Glue job untuk memiliki konfigurasi keamanan terkait

  • [CT.GLUE.PR.2] Membutuhkan AWS Glue konfigurasi keamanan untuk mengenkripsi data di target Amazon S3 menggunakan AWS KMSkunci

  • [CT.KMS.PR.2] Membutuhkan bahwa sebuah AWS KMS kunci asimetris dengan bahan RSA kunci yang digunakan untuk enkripsi memiliki panjang kunci lebih besar dari 2048 bit

  • [CT.KMS.PR.3] Membutuhkan AWS KMS kebijakan utama untuk memiliki pernyataan yang membatasi pembuatan AWS KMS hibah untuk AWS layanan

  • [CT.LAMBDA.PR.4] Membutuhkan AWS Lambda izin lapisan untuk memberikan akses ke AWS organisasi atau spesifik AWS akun

  • [CT.LAMBDA.PR.5] Membutuhkan AWS Lambda fungsi URL untuk digunakan AWS IAMotentikasi berbasis

  • [CT.LAMBDA.PR.6] Membutuhkan AWS Lambda URLCORSkebijakan fungsi untuk membatasi akses ke asal tertentu

  • [CT.NEPTUNE.PR.4] Memerlukan cluster DB Amazon Neptunus untuk mengaktifkan ekspor log CloudWatch Amazon untuk log audit

  • [CT.NEPTUNE.PR.5] Memerlukan cluster DB Amazon Neptunus untuk mengatur periode retensi cadangan lebih besar dari atau sama dengan tujuh hari

  • [CT.REDSHIFT.PR.9] Mengharuskan grup parameter cluster Amazon Redshift dikonfigurasi untuk menggunakan Secure Sockets Layer (SSL) untuk enkripsi data dalam perjalanan

Kontrol proaktif baru ini tersedia dalam komersial Wilayah AWS di mana AWS Control Tower tersedia. Untuk detail selengkapnya tentang kontrol ini, lihat Kontrol proaktif. Untuk detail selengkapnya tentang tempat kontrol tersedia, lihat Batasan kontrol.

Kontrol detektif baru

Kontrol baru ditambahkan ke Security Hub Service-Managed Standard: AWS Control Tower. Kontrol ini membantu Anda meningkatkan postur tata kelola Anda. Mereka bertindak sebagai bagian dari Security Hub Service-Managed Standard: AWS Control Tower, setelah Anda mengaktifkannya pada OU tertentu.

  • [SH.Athena.1] Kelompok kerja Athena harus dienkripsi saat istirahat

  • [SH.Neptune.1] Cluster DB Neptunus harus dienkripsi saat istirahat

  • [SH.Neptune.2] Cluster DB Neptunus harus menerbitkan log audit ke Log CloudWatch

  • [SH.Neptune.3] Snapshot cluster Neptunus DB seharusnya tidak bersifat publik

  • [SH.Neptune.4] Cluster DB Neptunus harus mengaktifkan perlindungan penghapusan

  • [SH.Neptune.5] Cluster DB Neptunus harus mengaktifkan cadangan otomatis

  • [SH.Neptune.6] Snapshot cluster DB Neptunus harus dienkripsi saat istirahat

  • [SH.Neptune.7] Cluster DB Neptunus harus mengaktifkan otentikasi database IAM

  • [SH.Neptune.8] Cluster DB Neptunus harus dikonfigurasi untuk menyalin tag ke snapshot

  • [SH.RDS.27] Cluster RDS DB harus dienkripsi saat istirahat

Yang baru AWS Security Hub kontrol detektif tersedia di sebagian besar Wilayah AWS di mana AWS Control Tower tersedia. Untuk detail selengkapnya tentang kontrol ini, lihat Kontrol yang berlaku untuk Service-Managed Standard: AWS Control Tower. Untuk detail selengkapnya tentang di mana kontrol tersedia, lihatKeterbatasan kontrol.

Jenis drift baru dilaporkan: akses tepercaya dinonaktifkan

September 21, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

Setelah Anda mengatur zona landing AWS Control Tower, Anda dapat menonaktifkan akses tepercaya ke AWS Control Tower AWS Organizations. Namun, hal itu menyebabkan penyimpangan.

Dengan tipe drift yang dinonaktifkan akses tepercaya, AWS Control Tower memberi tahu Anda ketika jenis drift ini terjadi, sehingga Anda dapat memperbaiki zona landing AWS Control Tower Anda. Untuk informasi selengkapnya, lihat Jenis penyimpangan tata kelola.

Empat tambahan Wilayah AWS

September 13, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower sekarang tersedia di Asia Pasifik (Hyderabad), Eropa (Spanyol dan Zurich), dan Timur Tengah (). UAE

Jika Anda sudah menggunakan AWS Control Tower dan ingin memperluas fitur tata kelola ke Wilayah ini di akun Anda, buka halaman Pengaturan di dasbor AWS Control Tower Anda, pilih Wilayah, lalu perbarui landing zone Anda. Setelah pembaruan landing zone, Anda harus memperbarui semua akun yang diatur oleh AWS Control Tower, untuk membawa akun Anda dan OUs di bawah tata kelola di Wilayah baru. Untuk informasi selengkapnya, lihat Tentang Pembaruan.

Untuk daftar lengkap Wilayah di mana AWS Control Tower tersedia, lihat bagian Wilayah AWS Tabel.

AWSControl Tower tersedia di Wilayah Tel Aviv

Agustus 28, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower mengumumkan ketersediaan di Wilayah Israel (Tel Aviv).

Jika Anda sudah menggunakan AWS Control Tower dan ingin memperluas fitur tata kelola ke Wilayah ini di akun Anda, buka halaman Pengaturan di dasbor AWS Control Tower Anda, pilih Wilayah, lalu perbarui landing zone Anda. Setelah pembaruan landing zone, Anda harus memperbarui semua akun yang diatur oleh AWS Control Tower, untuk membawa akun Anda dan OUs di bawah tata kelola di Wilayah baru. Untuk informasi selengkapnya, lihat Tentang Pembaruan.

Untuk daftar lengkap Wilayah di mana AWS Control Tower tersedia, lihat bagian Wilayah AWS Tabel.

AWSControl Tower meluncurkan 28 kontrol proaktif baru

Juli 24, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower menambahkan 28 kontrol proaktif baru, untuk membantu Anda dalam mengelola AWS lingkungan.

Kontrol proaktif meningkatkan kemampuan tata kelola AWS Control Tower di multi-akun Anda AWS lingkungan, dengan memblokir sumber daya yang tidak sesuai sebelum disediakan. Kontrol ini membantu mengelola AWS layanan seperti Amazon CloudWatch, Amazon Neptunus, Amazon, ElastiCache AWS Step Functions, dan Amazon DocumentDB. Kontrol baru membantu Anda memenuhi tujuan kontrol seperti membuat pencatatan dan pemantauan, mengenkripsi data saat istirahat, atau meningkatkan ketahanan.

Berikut adalah daftar lengkap kontrol baru:
  • [CT. APPSYNC.PR.1] Membutuhkan AWS AppSync APIGraphQL untuk mengaktifkan logging

  • [CT. CLOUDWATCH.PR.1] Memerlukan CloudWatch alarm Amazon agar tindakan dikonfigurasi untuk status alarm

  • [CT. CLOUDWATCH.PR.2] Memerlukan grup CloudWatch log Amazon untuk dipertahankan setidaknya selama satu tahun

  • [CT. CLOUDWATCH.PR.3] Memerlukan grup CloudWatch log Amazon untuk dienkripsi saat istirahat dengan AWS KMSkunci

  • [CT. CLOUDWATCH.PR.4] Memerlukan tindakan CloudWatch alarm Amazon untuk diaktifkan

  • [CT. DOCUMENTDB.PR.1] Memerlukan cluster Amazon DocumentDB untuk dienkripsi saat istirahat

  • [CT. DOCUMENTDB.PR.2] Memerlukan cluster Amazon DocumentDB agar pencadangan otomatis diaktifkan

  • [CT. DYNAMODB.PR.2] Memerlukan tabel Amazon DynamoDB untuk dienkripsi saat istirahat menggunakan AWS KMS keys

  • [CT. EC2.PR.13] Memerlukan EC2 instans Amazon agar pemantauan terperinci diaktifkan

  • [CT. EKS.PR.1] Memerlukan EKS klaster Amazon untuk dikonfigurasi dengan akses publik yang dinonaktifkan ke titik akhir server Kubernetes cluster API

  • [CT. ELASTICACHE.PR.1] Memerlukan Amazon ElastiCache untuk cluster Redis agar cadangan otomatis diaktifkan

  • [CT. ELASTICACHE.PR.2] Memerlukan Amazon ElastiCache untuk kluster Redis agar upgrade versi minor otomatis diaktifkan

  • [CT. ELASTICACHEPR.3] Memerlukan grup replikasi Amazon ElastiCache untuk Redis agar failover otomatis diaktifkan

  • [CT. ELASTICACHE.PR.4] Memerlukan grup ElastiCache replikasi Amazon untuk mengaktifkan enkripsi saat istirahat

  • [CT. ELASTICACHEPR.5] Memerlukan grup replikasi Amazon ElastiCache untuk Redis agar enkripsi saat transit diaktifkan

  • [CT. ELASTICACHE.PR.6] Memerlukan cluster ElastiCache cache Amazon untuk menggunakan grup subnet khusus

  • [CT. ELASTICACHE.PR.7] Memerlukan grup ElastiCache replikasi Amazon dari versi Redis sebelumnya untuk memiliki otentikasi Redis AUTH

  • [CT. ELASTICBEANSTALK.PR.3] Membutuhkan AWS Lingkungan Elastic Beanstalk memiliki konfigurasi logging

  • [CT. LAMBDA.PR.3] Membutuhkan AWS Lambda berfungsi untuk berada di Amazon Virtual Private Cloud yang dikelola pelanggan () VPC

  • [CT. NEPTUNE.PR.1] Memerlukan cluster DB Amazon Neptunus untuk memilikinya AWS Identity and Access Management (IAM) otentikasi basis data

  • [CT. NEPTUNE.PR.2] Memerlukan cluster DB Amazon Neptunus agar perlindungan penghapusan diaktifkan

  • [CT. NEPTUNE.PR.3] Memerlukan cluster DB Amazon Neptunus agar enkripsi penyimpanan diaktifkan

  • [CT. REDSHIFT.PR.8] Memerlukan cluster Amazon Redshift untuk dienkripsi

  • [CT.S3.PR.9] Mengharuskan bucket Amazon S3 mengaktifkan Kunci Objek S3

  • [CT.S3.PR.10] Memerlukan bucket Amazon S3 agar enkripsi sisi server dikonfigurasi menggunakan AWS KMS keys

  • [CT.S3.PR.11] Memerlukan bucket Amazon S3 agar versi diaktifkan

  • [CT. STEPFUNCTIONS.PR.1] Membutuhkan AWS Step Functions mesin negara bagian untuk mengaktifkan logging

  • [CT. STEPFUNCTIONS.PR.2] Membutuhkan AWS Step Functions mesin negara untuk memiliki AWS X-Ray penelusuran diaktifkan

Kontrol proaktif di AWS Control Tower diimplementasikan dengan cara AWS CloudFormation Hooks, yang mengidentifikasi dan memblokir sumber daya yang tidak sesuai sebelumnya AWS CloudFormation ketentuan mereka. Kontrol proaktif melengkapi kemampuan kontrol preventif dan detektif yang ada di AWS Control Tower.

Kontrol proaktif baru ini tersedia di semua Wilayah AWS di mana AWS Control Tower tersedia. Untuk detail selengkapnya tentang kontrol ini, lihat Kontrol proaktif.

AWSControl Tower menghentikan dua kontrol

Juli 18, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower melakukan tinjauan rutin terhadap kontrol keamanannya untuk memastikan bahwa mereka mutakhir dan masih dianggap sebagai praktik terbaik. Dua kontrol berikut telah usang, efektif 18 Juli 2023, dan mereka akan dihapus dari pustaka kontrol, efektif 18 Agustus 2023. Anda tidak dapat lagi mengaktifkan kontrol ini pada unit organisasi mana pun. Anda dapat memilih untuk menonaktifkan kontrol ini sebelum tanggal penghapusan.

  • [SH.S3.4] Bucket S3 harus mengaktifkan enkripsi sisi server

  • [CT.S3.PR.7] Memerlukan bucket Amazon S3 agar enkripsi sisi server dikonfigurasi

Alasan penghentian

Mulai Januari 2023, Amazon S3 mengonfigurasi enkripsi default pada semua bucket tidak terenkripsi baru dan yang sudah ada untuk menerapkan enkripsi sisi server dengan kunci terkelola S3 SSE (-S3) sebagai tingkat dasar enkripsi untuk objek baru yang diunggah ke bucket ini. Tidak ada perubahan yang dilakukan pada konfigurasi enkripsi default untuk bucket yang sudah ada yang sudah memiliki enkripsi SSE -S3 atau sisi server AWS Layanan Manajemen Kunci (AWS KMS) kunci (SSE-KMS) dikonfigurasi.

AWSControl Tower landing zone versi 3.2

Juni 16, 2023

(Pembaruan diperlukan untuk AWS Control Tower landing zone ke versi 3.2. Untuk informasi, lihatPerbarui landing zone).

AWSControl Tower landing zone versi 3.2 membawa kontrol yang merupakan bagian dari AWS Security Hub Standar yang Dikelola Layanan: AWS Control Tower untuk ketersediaan umum. Ini memperkenalkan kemampuan untuk melihat status drift kontrol yang merupakan bagian dari standar ini di konsol AWS Control Tower.

Pemutakhiran ini menyertakan peran terkait layanan (SLR) baru, yang disebut. AWSServiceRoleForAWSControlTower Peran ini membantu AWS Control Tower dengan membuat Aturan EventBridge Terkelola, yang disebut AWSControlTowerManagedRuledi setiap akun anggota. Aturan terkelola ini mengumpulkan AWS Security Hub Menemukan peristiwa, dari dengan AWS Control Tower dapat menentukan drift kontrol.

Aturan ini adalah aturan terkelola pertama yang dibuat oleh AWS Control Tower. Aturan tidak digunakan oleh tumpukan; itu diterapkan langsung dari file. EventBridge APIs Anda dapat melihat aturan di EventBridge konsol, atau dengan cara EventBridge APIs. Jika managed-by lapangan diisi, itu akan menunjukkan kepala layanan AWS Control Tower.

Sebelumnya, AWS Control Tower AWSControlTowerExecutionberperan untuk melakukan operasi di akun anggota. Peran dan aturan baru ini lebih selaras dengan prinsip praktik terbaik yang memungkinkan hak istimewa paling sedikit saat melakukan operasi di multi-akun AWS lingkungan. Peran baru ini memberikan izin cakupan ke bawah yang secara khusus memungkinkan: membuat aturan terkelola di akun anggota, mempertahankan aturan terkelola, menerbitkan pemberitahuan keamanan melaluiSNS, dan memverifikasi penyimpangan. Untuk informasi selengkapnya, lihat AWSServiceRoleForAWSControlTower.

Pembaruan landing zone 3.2 juga menyertakan StackSet sumber daya baru di akun manajemenBP_BASELINE_SERVICE_LINKED_ROLE, yang awalnya menyebarkan peran terkait layanan.

Saat melaporkan drift kontrol Security Hub (di landing zone 3.2 dan yang lebih baru), AWS Control Tower menerima pembaruan status harian dari Security Hub. Meskipun kontrol aktif di setiap Wilayah yang diatur, AWS Control Tower mengirimkan AWS Security Hub Menemukan acara ke Wilayah rumah AWS Control Tower saja. Untuk informasi selengkapnya, lihat Security Hub mengontrol pelaporan drift.

Perbarui ke kontrol Tolak Wilayah

Versi landing zone ini juga menyertakan pembaruan ke kontrol Region Deny.

Layanan global dan APIs ditambahkan
  • AWS Billing and Cost Management (billing:*)

  • AWS CloudTrail (cloudtrail:LookupEvents) untuk memungkinkan visibilitas peristiwa global di akun anggota.

  • AWS Penagihan Konsolidasi () consolidatedbilling:*

  • AWS Manajemen Console Mobile Application (consoleapp:*)

  • AWS Tingkat Gratis (freetier:*)

  • AWS Invoicing (invoicing:*)

  • AWS IQ () iq:*

  • AWS Pemberitahuan Pengguna (notifications:*)

  • AWS Kontak Pemberitahuan Pengguna (notifications-contacts:*)

  • Amazon Payments (payments:*)

  • AWS Pengaturan Pajak (tax:*)

Layanan global dan APIs dihapus
  • Dihapus s3:GetAccountPublic karena ini bukan tindakan yang valid.

  • Dihapus s3:PutAccountPublic karena ini bukan tindakan yang valid.

AWSControl Tower menangani akun berdasarkan ID

Juni 14, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower sekarang membuat dan mengelola akun yang Anda buat di Account Factory dengan melacak AWS ID akun, bukan alamat email akun.

Saat menyediakan akun, pemohon akun selalu harus memiliki CreateAccount dan izin. DescribeCreateAccountStatus Set izin ini adalah bagian dari peran Admin, dan diberikan secara otomatis ketika pemohon mengasumsikan peran Admin. Jika Anda mendelegasikan izin ke akun penyediaan, Anda mungkin perlu menambahkan izin ini secara langsung untuk pemohon akun.

Kontrol detektif Security Hub tambahan tersedia di perpustakaan AWS kontrol Control Tower

12 Juni 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower telah menambahkan sepuluh baru AWS Security Hub kontrol detektif ke perpustakaan kontrol AWS Control Tower. Kontrol baru ini menargetkan layanan seperti API Gateway, AWS CodeBuild, Amazon Elastic Compute Cloud (EC2), Amazon Elastic Load Balancer, Amazon Redshift, Amazon, dan SageMaker AWS WAF. Kontrol baru ini membantu Anda meningkatkan postur tata kelola dengan memenuhi tujuan kontrol, seperti Menetapkan pencatatan dan pemantauan, Batasi akses jaringan, dan Enkripsi data saat istirahat.

Kontrol ini bertindak sebagai bagian dari Security Hub Service-Managed Standard: AWS Control Tower, setelah Anda mengaktifkannya pada OU tertentu.

  • [SH.Account.1] Informasi kontak keamanan harus disediakan untuk Akun AWS

  • [SH. APIGateway.8] Rute API gateway harus menentukan jenis otorisasi

  • [SH. APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2

  • [SH. CodeBuild.3] CodeBuild Log S3 harus dienkripsi

  • [SH. EC2.25] template EC2 peluncuran tidak boleh menetapkan publik IPs ke antarmuka jaringan

  • [SH. ELB.1] Application Load Balancer harus dikonfigurasi untuk mengarahkan HTTP semua permintaan ke HTTPS

  • [Sh.Redshift.10] Cluster Redshift harus dienkripsi saat istirahat

  • [SH. SageMaker.2] instance SageMaker notebook harus diluncurkan dalam kustom VPC

  • [SH. SageMaker.3] Pengguna seharusnya tidak memiliki akses root ke instance SageMaker notebook

  • [SH. WAF.10] Sebuah WAFV2 web ACL harus memiliki setidaknya satu aturan atau kelompok aturan

Yang baru AWS Security Hub kontrol detektif tersedia di semua Wilayah AWS di mana AWS Control Tower tersedia. Untuk detail selengkapnya tentang kontrol ini, lihat Kontrol yang berlaku untuk Service-Managed Standard: AWS Control Tower.

AWSControl Tower menerbitkan tabel metadata kontrol

Juni 7, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower sekarang menyediakan tabel lengkap metadata kontrol sebagai bagian dari dokumentasi yang diterbitkan. Saat bekerja dengan kontrolAPIs, Anda dapat mencari setiap kontrol APIcontrolIdentifier, yang unik ARN terkait dengan masing-masing Wilayah AWS. Tabel mencakup kerangka kerja dan tujuan kontrol yang dicakup oleh setiap kontrol. Sebelumnya, informasi ini hanya tersedia di konsol.

Tabel juga menyertakan metadata untuk kontrol Security Hub yang merupakan bagian dari AWS Security Hub Standar yang Dikelola Layanan: AWS Control Tower. Untuk detail selengkapnya, lihat Tabel metadata kontrol.

Untuk daftar singkat pengidentifikasi kontrol, dan beberapa contoh penggunaan, lihat Pengenal sumber daya untuk APIs dan kontrol.

Dukungan Terraform untuk Kustomisasi Account Factory

Juni 6, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower menawarkan dukungan Single-region untuk Terraform melalui Kustomisasi Account Factory (). AFC Dimulai dengan rilis ini, Anda dapat menggunakan AWS Control Tower dan Service Catalog bersama-sama, untuk menentukan cetak biru AFC akun, di Terraform open source. Anda dapat menyesuaikan yang baru dan yang sudah ada Akun AWS, sebelum Anda menyediakan sumber daya di AWS Control Tower. Secara default, fitur ini memungkinkan Anda untuk menyebarkan dan memperbarui akun, dengan Terraform, di Wilayah rumah AWS Control Tower Anda.

Cetak biru akun menjelaskan sumber daya dan konfigurasi spesifik yang diperlukan saat Akun AWS disediakan. Anda dapat menggunakan cetak biru sebagai template untuk membuat beberapa Akun AWS pada skala.

Untuk memulai, gunakan Mesin Referensi Terraform aktif. GitHub Mesin Referensi mengonfigurasi kode dan infrastruktur yang diperlukan agar mesin open source Terraform dapat bekerja dengan Service Catalog. Proses penyiapan satu kali ini membutuhkan waktu beberapa menit. Setelah itu, Anda dapat menentukan persyaratan akun khusus Anda di Terraform, lalu menerapkan akun Anda dengan alur kerja pabrik akun Control AWS Tower yang terdefinisi dengan baik. Pelanggan yang lebih suka bekerja dengan Terraform dapat menggunakan kustomisasi akun AWS Control Tower dalam skala besarAFC, dan mendapatkan akses langsung ke setiap akun setelah disediakan.

Untuk mempelajari cara membuat penyesuaian ini, lihat Membuat Produk dan Memulai Terraform open source di dokumentasi Service Catalog. Fitur ini tersedia di semua Wilayah AWS di mana AWS Control Tower tersedia.

AWS IAMManajemen mandiri Pusat Identitas tersedia untuk landing zone

Juni 6, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower sekarang mendukung pilihan penyedia identitas opsional untuk landing zone AWS Control Tower, yang dapat Anda konfigurasikan selama pengaturan atau pembaruan. Secara default, landing zone dipilih untuk menggunakan AWS IAMPusat Identitas, sejalan dengan panduan praktik terbaik yang didefinisikan dalam Mengatur AWS Lingkungan Menggunakan Beberapa Akun. Anda sekarang memiliki tiga alternatif:

  • Anda dapat menerima default dan mengizinkan AWS Control Tower untuk mengatur dan mengelola AWS IAMPusat Identitas untuk Anda.

  • Anda dapat memilih untuk mengelola sendiri AWS IAMPusat Identitas, untuk mencerminkan kebutuhan bisnis spesifik Anda.

  • Anda dapat secara opsional membawa dan mengelola sendiri penyedia identitas pihak ketiga, dengan menghubungkannya melalui Pusat IAM Identitas, jika diperlukan. Anda harus menggunakan opsionalitas penyedia identitas jika lingkungan peraturan Anda mengharuskan Anda untuk menggunakan penyedia tertentu, atau jika Anda beroperasi di Wilayah AWS di mana AWS IAMPusat Identitas tidak tersedia.

Untuk informasi selengkapnya, lihat IAMPanduan Pusat Identitas.

Pemilihan penyedia identitas di tingkat akun tidak didukung. Fitur ini hanya berlaku untuk landing zone secara keseluruhan. AWSOpsionalitas penyedia identitas Control Tower tersedia di semua Wilayah AWS di mana AWS Control Tower tersedia.

AWSControl Tower membahas tata kelola campuran untuk OUs

Juni 1, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

Dengan rilis ini, AWS Control Tower mencegah kontrol dikerahkan ke unit organisasi (OU), jika OU tersebut berada dalam keadaan tata kelola campuran. Tata kelola campuran terjadi di OU jika akun tidak diperbarui setelah AWS Control Tower memperluas tata kelola ke yang baru Wilayah AWS, atau menghapus tata kelola. Rilis ini membantu Anda menjaga akun anggota OU tersebut dalam kepatuhan yang seragam. Untuk informasi selengkapnya, lihat Hindari tata kelola campuran saat mengonfigurasi Wilayah.

Tersedia kontrol proaktif tambahan

19 Mei 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower menambahkan 28 kontrol proaktif baru untuk membantu Anda mengatur lingkungan multi-akun Anda dan memenuhi tujuan kontrol tertentu, seperti enkripsi data saat istirahat, atau membatasi akses jaringan. Kontrol proaktif diimplementasikan dengan AWS CloudFormation kait yang memeriksa sumber daya Anda sebelum disediakan. Kontrol baru dapat membantu mengatur AWS layanan seperti Amazon OpenSearch Service, Amazon EC2 Auto Scaling, Amazon, Amazon API Gateway, dan SageMaker Amazon Relational Database Service (). RDS

Kontrol proaktif didukung di semua komersial Wilayah AWS di mana AWS Control Tower tersedia.

OpenSearch Layanan Amazon
  • [CT. OPENSEARCH.PR.1] Memerlukan domain Elasticsearch untuk mengenkripsi data saat istirahat

  • [CT. OPENSEARCH.PR.2] Memerlukan domain Elasticsearch untuk dibuat di Amazon yang ditentukan pengguna VPC

  • [CT. OPENSEARCH.PR.3] Memerlukan domain Elasticsearch untuk mengenkripsi data yang dikirim antar node

  • [CT. OPENSEARCH.PR.4] Memerlukan domain Elasticsearch untuk mengirim log kesalahan ke Amazon Logs CloudWatch

  • [CT. OPENSEARCH.PR.5] Memerlukan domain Elasticsearch untuk mengirim log audit ke Amazon Logs CloudWatch

  • [CT. OPENSEARCH.PR.6] Memerlukan domain Elasticsearch untuk memiliki kesadaran zona dan setidaknya tiga node data

  • [CT. OPENSEARCH.PR.7] Memerlukan domain Elasticsearch untuk memiliki setidaknya tiga node master khusus

  • [CT. OPENSEARCH.PR.8] Memerlukan domain Layanan Elasticsearch untuk menggunakan .2 TLSv1

  • [CT. OPENSEARCH.PR.9] Memerlukan domain OpenSearch Layanan Amazon untuk mengenkripsi data saat istirahat

  • [CT. OPENSEARCH.PR.10] Memerlukan domain OpenSearch Layanan Amazon untuk dibuat di Amazon yang ditentukan pengguna VPC

  • [CT. OPENSEARCH.PR.11] Memerlukan domain OpenSearch Layanan Amazon untuk mengenkripsi data yang dikirim antar node

  • [CT. OPENSEARCH.PR.12] Memerlukan domain OpenSearch Layanan Amazon untuk mengirim log kesalahan ke Amazon Logs CloudWatch

  • [CT. OPENSEARCH.PR.13] Memerlukan domain OpenSearch Layanan Amazon untuk mengirim log audit ke Amazon Logs CloudWatch

  • [CT. OPENSEARCH.PR.14] Memerlukan domain OpenSearch Layanan Amazon untuk memiliki kesadaran zona dan setidaknya tiga node data

  • [CT. OPENSEARCH.PR.15] Memerlukan domain OpenSearch Layanan Amazon untuk menggunakan kontrol akses berbutir halus

  • [CT. OPENSEARCH.PR.16] Memerlukan domain OpenSearch Layanan Amazon untuk menggunakan .2 TLSv1

EC2Auto Scaling Amazon
  • [CT. AUTOSCALING.PR.1] Memerlukan grup EC2 Auto Scaling Amazon untuk memiliki beberapa Availability Zone

  • [CT. AUTOSCALING.PR.2] Memerlukan konfigurasi peluncuran grup EC2 Auto Scaling Amazon untuk mengonfigurasi instans Amazon EC2 IMDSv2

  • [CT. AUTOSCALING.PR.3] Memerlukan konfigurasi peluncuran Amazon EC2 Auto Scaling untuk memiliki batas respons metadata single-hop

  • [CT. AUTOSCALING.PR.4] Memerlukan grup Amazon EC2 Auto Scaling yang terkait dengan Amazon Elastic Load Balancing () agar pemeriksaan kesehatan diaktifkan ELB ELB

  • [CT. AUTOSCALING.PR.5] Mengharuskan konfigurasi peluncuran grup EC2 Auto Scaling Amazon tidak memiliki instans Amazon EC2 dengan alamat IP publik

  • [CT. AUTOSCALING.PR.6] Memerlukan grup Amazon EC2 Auto Scaling untuk menggunakan beberapa jenis instans

  • [CT. AUTOSCALINGPR.8] Memerlukan grup EC2 Auto Scaling Amazon agar templat peluncuran dikonfigurasi EC2

Amazon SageMaker
  • [CT. SAGEMAKER.PR.1] Memerlukan instance SageMaker notebook Amazon untuk mencegah akses internet langsung

  • [CT. SAGEMAKER.PR.2] Memerlukan instans SageMaker notebook Amazon untuk digunakan dalam Amazon khusus VPC

  • [CT. SAGEMAKER.PR.3] Mengharuskan instance SageMaker notebook Amazon agar akses root tidak diizinkan

APIGerbang Amazon
  • [CT. APIGATEWAY.PR.5] Memerlukan Websocket Amazon API Gateway V2 dan HTTP rute untuk menentukan jenis otorisasi

Amazon Relational Database Service RDS ()
  • [CT. RDS.PR.25] Memerlukan kluster RDS basis data Amazon agar logging dikonfigurasi

Untuk informasi selengkapnya, lihat Kontrol proaktif.

Kontrol EC2 proaktif Amazon yang diperbarui

2 Mei 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower telah memperbarui dua kontrol proaktif: CT.EC2.PR.3 and CT.EC2.PR.4.

Untuk yang diperbarui CT.EC2.PR.3 kontrol, apapun AWS CloudFormation penyebaran yang mereferensikan daftar awalan untuk sumber daya grup keamanan diblokir dari penerapan, kecuali untuk port 80 atau 443.

Untuk yang diperbarui CT.EC2.PR.4 kontrol, apapun AWS CloudFormation penyebaran yang mereferensikan daftar awalan untuk sumber daya grup keamanan diblokir jika port 3389, 20, 23, 110, 143, 3306, 8080, 1433, 9200, 9300, 25, 445, 135, 21, 1434, 4333, 5432, 5500, 5601, 22, 3000, 5000, 8088, 8888.

Tujuh tambahan Wilayah AWS tersedia

April 19, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

AWSControl Tower sekarang tersedia dalam tujuh tambahan Wilayah AWS: California Utara (San Francisco), Asia Pasifik (Hong Kong, Jakarta, dan Osaka), Eropa (Milan), Timur Tengah (Bahrain), dan Afrika (Cape Town). Wilayah tambahan untuk AWS Control Tower ini, yang disebut Wilayah opt-in, tidak aktif secara default, kecuali Wilayah AS Barat (California Utara), yang aktif secara default.

Beberapa kontrol di AWS Control Tower tidak beroperasi di beberapa tambahan ini Wilayah AWS di mana AWS Control Tower tersedia, karena Wilayah tersebut tidak mendukung fungsionalitas dasar yang diperlukan. Untuk detailnya, lihat Keterbatasan kontrol.

Di antara wilayah-wilayah baru ini, CFCT tidak tersedia di Asia Pasifik (Jakarta dan Osaka). Ketersediaan di lainnya Wilayah AWS tidak berubah.

Untuk informasi selengkapnya tentang cara AWS Control Tower mengelola batasan Wilayah dan kontrol, lihatPertimbangan untuk mengaktifkan AWS Wilayah keikutsertaan.

VPCeTitik akhir yang diperlukan oleh tidak AFT tersedia di Wilayah Timur Tengah (Bahrain). Pelanggan yang menerapkan AFT di Wilayah ini diharuskan untuk menerapkan dengan parameter. aft_vpc_endpoints=false Untuk informasi selengkapnya, lihat parameter dalam README file.

AWSControl Tower VPCs memiliki dua Availability Zone di Wilayah AS Barat (California N.)us-west-1, karena keterbatasan di AmazonEC2. Di AS Barat (California Utara), enam subnet dibagi menjadi dua Availability Zone. Untuk informasi selengkapnya, lihat Ikhtisar AWS Control Tower dan VPC.

AWSControl Tower menambahkan izin baru AWSControlTowerServiceRolePolicy yang memungkinkan AWS Control Tower melakukan panggilan keEnableRegion,ListRegions, dan GetRegionOptStatus APIs diimplementasikan oleh AWS Layanan Manajemen Akun, untuk membuat ini tambahan Wilayah AWS tersedia untuk akun bersama Anda di landing zone (Akun manajemen, akun arsip log, akun Audit) dan akun anggota OU Anda. Untuk informasi selengkapnya, lihat Kebijakan terkelola untuk AWS Control Tower.

Account Factory untuk penelusuran permintaan kustomisasi akun Terraform (AFT)

Februari 16, 2023

AFTmendukung penelusuran permintaan kustomisasi akun. Setiap kali Anda mengirimkan permintaan kustomisasi akun, AFT buat token penelusuran unik yang melewati kustomisasi AFT AWS Step Functions state machine, yang mencatat token sebagai bagian dari pelaksanaannya. Anda dapat menggunakan kueri wawasan Amazon CloudWatch Logs untuk mencari rentang stempel waktu dan mengambil token permintaan. Akibatnya, Anda dapat melihat muatan yang menyertai token, sehingga Anda dapat melacak permintaan penyesuaian akun Anda di seluruh AFT alur kerja. Untuk informasi selengkapnyaAFT, lihat Ikhtisar AWS Control Tower Account Factory untuk Terraform. Untuk informasi tentang CloudWatch Log dan Step Functions, lihat berikut ini:

AWSControl Tower landing zone versi 3.1

9 Februari 2023

(Pembaruan diperlukan untuk AWS Control Tower landing zone ke versi 3.1. Untuk informasi, lihatPerbarui landing zone)

AWSControl Tower landing zone versi 3.1 mencakup pembaruan berikut:

  • Dengan rilis ini, AWS Control Tower menonaktifkan pencatatan akses yang tidak perlu untuk bucket logging akses Anda, yang merupakan bucket Amazon S3 tempat log akses disimpan di akun Arsip Log, sambil terus mengaktifkan pencatatan akses server untuk bucket S3. Rilis ini juga mencakup pembaruan pada kontrol Region Deny yang memungkinkan tindakan tambahan untuk layanan global, seperti AWS Support Rencana dan AWS Artifact.

  • Penonaktifan pencatatan akses server untuk bucket logging akses AWS Control Tower menyebabkan Security Hub membuat temuan untuk bucket log akses akun Arsip Log, karena adanya AWS Security Hub aturan, [S3.9] Pencatatan akses server bucket S3 harus diaktifkan. Sejalan dengan Security Hub, sebaiknya Anda menekan temuan khusus ini, seperti yang dinyatakan dalam deskripsi Security Hub dari aturan ini. Untuk informasi tambahan, lihat informasi tentang temuan yang ditekan.

  • Pencatatan akses untuk bucket logging (reguler) di akun Arsip Log tidak berubah di versi 3.1. Sejalan dengan praktik terbaik, peristiwa akses untuk bucket tersebut direkam sebagai entri log di bucket logging akses. Untuk informasi selengkapnya tentang pencatatan akses, lihat Permintaan logging menggunakan pencatatan akses server di dokumentasi Amazon S3.

  • Kami membuat pembaruan kontrol Region Deny. Pembaruan ini memungkinkan tindakan oleh lebih banyak layanan global. Untuk detailnyaSCP, lihat Tolak akses ke AWS Berdasarkan yang diminta Wilayah AWSdan Kontrol yang meningkatkan perlindungan residensi data.

    Layanan global menambahkan:

    • AWS Account Management (account:*)

    • AWS Aktifkan (activate:*)

    • AWS Artifact (artifact:*)

    • AWS Billing Conductor (billingconductor:*)

    • AWS Compute Optimizer (compute-optimizer:*)

    • AWS Data Pipeline (datapipeline:GetAccountLimits)

    • AWS Device Farm(devicefarm:*)

    • AWS Marketplace (discovery-marketplace:*)

    • Amazon ECR (ecr-public:*)

    • AWS License Manager (license-manager:ListReceivedLicenses)

    • AWS Lightsail () lightsail:Get*

    • Penjelajah Sumber Daya AWS (resource-explorer-2:*)

    • Amazon S3 (s3:CreateMultiRegionAccessPoint,,s3:GetBucketPolicyStatus) s3:PutMultiRegionAccessPointPolicy

    • AWS Savings Plans (savingsplans:*)

    • IAMPusat Identitas (sso:*)

    • AWS Support App (supportapp:*)

    • AWS Support Rencana (supportplans:*)

    • AWS Keberlanjutan () sustainability:*

    • AWS Resource Groups Tagging API (tag:GetResources)

    • AWS Marketplace Wawasan Vendor () vendor-insights:ListEntitledSecurityProfiles

Kontrol proaktif umumnya tersedia

Januari 24, 2023

(Tidak ada pembaruan yang diperlukan untuk landing zone AWS Control Tower.)

Kontrol proaktif opsional, yang sebelumnya diumumkan dalam status pratinjau, sekarang tersedia secara umum. Kontrol ini disebut sebagai proaktif karena mereka memeriksa sumber daya Anda — sebelum sumber daya digunakan — untuk menentukan apakah sumber daya baru mematuhi kontrol yang diaktifkan di lingkungan Anda. Untuk informasi selengkapnya, lihat Kontrol komprehensif membantu dalam AWS penyediaan dan manajemen sumber daya.