Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
gennaio - dicembre 2022
Nel 2022, AWS Control Tower ha rilasciato i seguenti aggiornamenti:
-
I controlli completi aiutano a AWS fornitura e gestione delle risorse
-
Lo stato di conformità è visualizzabile per tutti AWS Config rules
-
La pagina Organizzazione combina visualizzazioni e account OUs
-
Registrazione e aggiornamento semplificati per gli account dei singoli membri
-
AFTsupporta la personalizzazione automatizzata per gli account AWS Control Tower condivisi
Operazioni simultanee sull'account
16 dicembre 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower.)
AWSControl Tower ora supporta azioni simultanee in Account Factory. Puoi creare, aggiornare o registrare fino a cinque (5) account alla volta. Invia fino a cinque azioni in successione e visualizza lo stato di completamento di ogni richiesta, mentre i tuoi account finiscono di crescere in background. Ad esempio, non è più necessario attendere il completamento di ogni processo prima di aggiornare un altro account o prima di registrare nuovamente un'intera unità organizzativa (OU).
Personalizzazione Account Factory () AFC
28 novembre 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower.)
La personalizzazione dell'account di fabbrica consente di personalizzare gli account nuovi ed esistenti direttamente dalla console AWS Control Tower. Queste nuove funzionalità di personalizzazione offrono la flessibilità necessaria per definire i progetti degli account, che sono AWS CloudFormation modelli contenuti in un prodotto Service Catalog specializzato. I blueprints forniscono risorse e configurazioni completamente personalizzate. Puoi anche scegliere di utilizzare blueprint predefiniti, creati e gestiti da AWS partner, che ti aiutano a personalizzare gli account per casi d'uso specifici.
In precedenza, AWS Control Tower Account Factory non supportava la personalizzazione dell'account nella console. Con questo aggiornamento di account factory, puoi predefinire i requisiti dell'account e implementarli come parte di un flusso di lavoro ben definito. È possibile applicare progetti per creare nuovi account, per iscriverne altri AWS account in AWS Control Tower e per aggiornare gli account AWS Control Tower esistenti.
Quando esegui il provisioning, registri o aggiorni un account in Account Factory, selezionerai il blueprint da implementare. Le risorse specificate nel blueprint vengono fornite nel tuo account. Al termine della creazione dell'account, tutte le configurazioni personalizzate sono immediatamente disponibili per l'uso.
Per iniziare a personalizzare gli account, puoi definire le risorse per il caso d'uso previsto in un prodotto Service Catalog. È inoltre possibile selezionare soluzioni gestite dai partner dal AWS Libreria introduttiva. Per ulteriori informazioni, consulta Personalizza gli account con Account Factory Customization (AFC).
I controlli completi aiutano a AWS fornitura e gestione delle risorse
28 novembre 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower.)
AWSControl Tower ora supporta una gestione completa dei controlli, inclusi nuovi controlli proattivi opzionali, implementati tramite AWS CloudFormation ganci. Questi controlli vengono definiti proattivi perché controllano le risorse, prima che le risorse vengano distribuite, per determinare se le nuove risorse saranno conformi ai controlli attivati nell'ambiente.
Oltre 130 nuovi controlli proattivi vi aiutano a raggiungere obiettivi di policy specifici per il vostro ambiente AWS Control Tower, a soddisfare i requisiti dei framework di conformità standard del settore e a governare le interazioni di Control Tower in più di AWS venti altri AWS servizi.
La libreria di controlli AWS Control Tower classifica questi controlli in base ai relativi AWS servizi e risorse. Per ulteriori dettagli, consulta Controlli proattivi.
Con questa versione, AWS Control Tower è integrato anche con AWS Security Hub, tramite il nuovo Security Hub Service-Managed Standard: AWS Control Tower, che supporta AWS Standard Foundational Security Best Practices ()FSBP. Puoi visualizzare oltre 160 controlli Security Hub insieme ai controlli AWS Control Tower nella console e puoi ottenere un punteggio di sicurezza Security Hub per il tuo ambiente AWS Control Tower. Per ulteriori informazioni, consulta Controlli del Security Hub.
Lo stato di conformità è visualizzabile per tutti AWS Config rules
18 novembre 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower.)
AWSControl Tower ora mostra lo stato di conformità di tutti AWS Config regole distribuite nelle unità organizzative registrate presso AWS Control Tower. È possibile visualizzare lo stato di conformità di tutti AWS Config regole che influiscono sugli account in AWS Control Tower, registrati o annullati, senza dover uscire dalla console Control TowerAWS. I clienti possono scegliere di configurare le regole di Config, chiamate controlli investigativi, in AWS Control Tower o di configurarle direttamente tramite AWS Config servizio. Le regole implementate da AWS Config vengono mostrate, insieme alle regole implementate da AWS Control Tower.
In precedenza, AWS Config regole implementate tramite AWS Config il servizio non era visibile nella console AWS Control Tower. I clienti dovevano accedere al AWS Config servizio per identificare i casi non conformi AWS Config regole. Ora puoi identificare qualsiasi non conforme AWS Config regola all'interno della console AWS Control Tower. Per visualizzare lo stato di conformità di tutte le regole di Config, vai alla pagina dei dettagli dell'account nella console AWS Control Tower. Verrà visualizzato un elenco che mostra lo stato di conformità dei controlli gestiti dalle regole AWS Control Tower e Config distribuite all'esterno di Control TowerAWS.
APIper i controlli e un nuovo AWS CloudFormation risorsa
1 settembre 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower.)
AWSControl Tower ora supporta la gestione programmatica dei controlli, noti anche come guardrail, tramite una serie di chiamate. API Una nuova AWS CloudFormation la risorsa supporta la API funzionalità per i controlli. Per ulteriori dettagli, consulta Automatizza le attività in AWS Control Tower e Crea AWS Control Tower risorse con AWS CloudFormation.
Questi APIs consentono di abilitare, disabilitare e visualizzare lo stato dell'applicazione dei controlli nella libreria AWS Control Tower. APIsIncludono il supporto per AWS CloudFormation, in modo da poterlo gestire AWS risorse come infrastructure-as-code (IaC). AWSControl Tower offre controlli preventivi e investigativi opzionali che esprimono le intenzioni politiche riguardanti un'intera unità organizzativa (OU) e ogni AWS account all'interno dell'unità organizzativa. Queste regole rimangono in vigore anche quando si creano nuovi account o si apportano modifiche agli account esistenti.
APIsincluso in questa versione
-
EnableControl— Questa API chiamata attiva un controllo. Avvia un'operazione asincrona che crea AWS risorse sull'unità organizzativa specificata e sugli account in essa contenuti.
-
DisableControl— Questa API chiamata disattiva un controllo. Avvia un'operazione asincrona che elimina AWS risorse sull'unità organizzativa specificata e sugli account in essa contenuti.
-
GetControlOperation— Restituisce lo stato di un particolare EnableControlo di DisableControlun'operazione.
-
ListEnabledControls— Elenca i controlli abilitati da AWS Control Tower sull'unità organizzativa specificata e gli account in essa contenuti.
Per visualizzare un elenco di nomi di controllo per i controlli opzionali, consulta Identificatori di risorse APIs e controlli nella AWSControl Tower User Guide.
cFct supporta l'eliminazione dei set di stack
26 agosto 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower.)
Customizations for AWS Control Tower (cFCT) ora supporta l'eliminazione degli stack set, impostando un parametro nel file. manifest.yaml Per ulteriori informazioni, consulta Eliminazione di un set di stack.
Importante
Quando inizialmente impostate il valore di enable_stack_set_deletion totrue, la volta successiva che richiamate cfCT, ALLle risorse che iniziano con il prefissoCustomControlTower-, che hanno il tag chiave associato e che non sono dichiarate nel file manifestKey:AWS_Solutions, Value: CustomControlTowerStackSet, vengono eliminate.
Conservazione personalizzata dei log
15 agosto 2022
(Aggiornamento richiesto per la landing zone AWS del Control Tower. Per informazioni, vedereAggiorna la tua landing zone)
AWSControl Tower ora offre la possibilità di personalizzare la politica di conservazione per i bucket Amazon S3 che archiviano i log della AWS Control Tower. CloudTrail Puoi personalizzare la tua politica di conservazione dei log di Amazon S3, in incrementi di giorni o anni, fino a un massimo di 15 anni.
Se scegli di non personalizzare la conservazione dei log, le impostazioni predefinite sono 1 anno per la registrazione standard dell'account e 10 anni per la registrazione degli accessi.
Questa funzionalità è disponibile per i clienti esistenti tramite AWS Control Tower quando aggiorni o ripari la landing zone e per i nuovi clienti tramite il processo di configurazione della AWS Control Tower.
È disponibile la riparazione della deriva dei ruoli
11 agosto 2022
(Non è richiesto alcun aggiornamento per la landing zone di AWS Control Tower.)
AWSControl Tower ora supporta la riparazione per la deriva dei ruoli. Puoi ripristinare un ruolo richiesto senza una riparazione completa della landing zone. Se è necessaria una riparazione del drift di questo tipo, la pagina di errore della console fornisce i passaggi per ripristinare il ruolo, in modo che la landing zone sia nuovamente disponibile.
AWSControl Tower landing zone versione 3.0
29 luglio 2022
(Aggiornamento richiesto per la landing zone di AWS Control Tower alla versione 3.0. Per informazioni, vedereAggiorna la tua landing zone)
AWSLa versione 3.0 della landing zone Control Tower include i seguenti aggiornamenti:
-
La possibilità di scegliere il livello di organizzazione AWS CloudTrail sentieri, o per rinunciare ai CloudTrail sentieri gestiti da AWS Control Tower.
-
Due nuovi controlli investigativi per determinare se AWS CloudTrail sta registrando l'attività nei tuoi account.
-
L'opzione di aggregazione AWS Config informazioni sulle risorse globali solo nella tua regione d'origine.
-
Un aggiornamento della Region Deny Control.
-
Un aggiornamento della politica gestita, AWSControlTowerServiceRolePolicy.
-
Non creiamo più il IAM ruolo
aws-controltower-CloudWatchLogsRolee il gruppo di CloudWatch logaws-controltower/CloudTrailLogsin ogni account registrato. In precedenza, li creavamo in ogni account come traccia degli account. Con gli itinerari organizzativi, ne creiamo solo uno nell'account di gestione.
Le seguenti sezioni forniscono maggiori dettagli su ogni nuova funzionalità.
CloudTrail Percorsi a livello di organizzazione in Control Tower AWS
Con la versione 3.0 di landing zone, AWS Control Tower ora supporta il livello di organizzazione AWS CloudTrail sentieri.
Quando aggiorni la landing zone AWS di Control Tower alla versione 3.0, hai la possibilità di selezionare il livello dell'organizzazione AWS CloudTrail sentieri come preferenza di registrazione o per disattivare i CloudTrail percorsi gestiti da AWS Control Tower. Quando esegui l'aggiornamento alla versione 3.0, AWS Control Tower elimina gli itinerari a livello di account esistenti per gli account registrati dopo un periodo di attesa di 24 ore. AWSControl Tower non elimina gli itinerari a livello di account per gli account non registrati. Nel caso improbabile che l'aggiornamento della landing zone non vada a buon fine, ma l'errore si verifichi dopo che AWS Control Tower ha già creato il percorso a livello di organizzazione, potresti incorrere in addebiti duplicati per i percorsi a livello di organizzazione e account, fino a quando l'operazione di aggiornamento non sarà completata correttamente.
A partire dalla landing zone 3.0, AWS Control Tower non supporta più percorsi a livello di account che AWS gestisce. Al contrario, AWS Control Tower crea un percorso a livello di organizzazione, attivo o inattivo, in base alla selezione effettuata.
Nota
Dopo l'aggiornamento alla versione 3.0 o successiva, non è possibile continuare con gli CloudTrail itinerari a livello di account gestiti da AWS Control Tower.
Nessun dato di registrazione viene perso dai log aggregati degli account, poiché i log rimangono nel bucket Amazon S3 esistente in cui sono archiviati. Vengono eliminati solo i percorsi, non i log esistenti. Se selezioni l'opzione per aggiungere percorsi a livello di organizzazione, AWS Control Tower apre un nuovo percorso verso una nuova cartella all'interno del bucket Amazon S3 e continua a inviare le informazioni di registrazione a quella posizione. Se scegli di disattivare i percorsi gestiti da AWS Control Tower, i log esistenti rimangono nel secchio, invariati.
Convenzioni di denominazione dei percorsi per l'archiviazione dei log
-
I registri delle tracce degli account vengono archiviati con un percorso di questo formato:
/org id/AWSLogs/… -
I log degli itinerari organizzativi vengono archiviati con un percorso in questo formato:
/org id/AWSLogs/org id/…
Il percorso creato da AWS Control Tower per i CloudTrail percorsi a livello di organizzazione è diverso dal percorso predefinito per un percorso a livello di organizzazione creato manualmente, che avrebbe la forma seguente:
-
/AWSLogs/org id/…
Suggerimento
Se hai intenzione di creare e gestire percorsi a livello di account, ti consigliamo di creare i nuovi percorsi prima di completare l'aggiornamento alla versione 3.0 della landing zone di AWS Control Tower, per iniziare subito a registrare.
In qualsiasi momento, puoi scegliere di creare nuovi percorsi a livello di account o di organizzazione e gestirli autonomamente CloudTrail. L'opzione di scegliere CloudTrail percorsi a livello di organizzazione gestiti da AWS Control Tower è disponibile durante qualsiasi aggiornamento delle landing zone alla versione 3.0 o successiva. Puoi attivare e disattivare i percorsi a livello di organizzazione ogni volta che aggiorni la tua landing zone.
Se i tuoi log sono gestiti da un servizio di terze parti, assicurati di fornire il nuovo nome del percorso al servizio.
Nota
Per le zone di atterraggio nella versione 3.0 o successiva, a livello di account AWS CloudTrail i trail non sono supportati da AWS Control Tower. Puoi creare e gestire i tuoi percorsi a livello di account in qualsiasi momento oppure puoi optare per percorsi a livello di organizzazione gestiti da Control Tower. AWS
Registra AWS Config risorse solo nella regione d'origine
Nella versione 3.0 della landing zone, AWS Control Tower ha aggiornato la configurazione di base per AWS Config in modo che registri le risorse globali solo nella regione d'origine. Dopo l'aggiornamento alla versione 3.0, la registrazione delle risorse per le risorse globali è abilitata solo nella tua regione di origine.
Questa configurazione è considerata una procedura consigliata. È consigliata da AWS Security Hub e AWS Config e consente di risparmiare sui costi riducendo il numero di elementi di configurazione creati quando le risorse globali vengono create, modificate o eliminate. In precedenza, ogni volta che una risorsa globale veniva creata, aggiornata o eliminata, da un cliente o da un AWS servizio, è stato creato un elemento di configurazione per ogni elemento in ogni regione governata.
Due nuovi controlli investigativi per AWS CloudTrail disboscamento
Come parte del passaggio al livello di organizzazione AWS CloudTrail trail, AWS Control Tower sta introducendo due nuovi controlli investigativi che controllano se CloudTrail è abilitato. Il primo controllo è dotato di Indicazioni obbligatorie ed è abilitato sulla Security OU durante la configurazione o gli aggiornamenti delle landing zone della versione 3.0 e successive. Il secondo controllo include le linee guida fortemente consigliate e, facoltativamente, viene applicato a qualsiasi unità OUs diversa dalla Security OU, sulla quale è già applicata la protezione di controllo obbligatoria.
Controllo obbligatorio: rileva se gli account condivisi nell'unità organizzativa di sicurezza dispongono di AWS CloudTrail o CloudTrail Lake è abilitato
Controllo fortemente consigliato: rileva se un account ha AWS CloudTrail o CloudTrail Lake abilitato
Per ulteriori informazioni sui nuovi controlli, consulta la libreria di controlli AWS Control Tower.
Un aggiornamento alla Region Deny Control
Abbiamo aggiornato l'NotActionelenco nella sezione Region Deny Control per includere le azioni di alcuni servizi aggiuntivi, elencati di seguito:
“chatbot:*”, "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", “s3:GetStorageLensDashboard", “s3:ListStorageLensConfigurations” “s3:GetAccountPublicAccessBlock“,, “s3:PutAccountPublic", “s3:PutAccountPublicAccessBlock“,
Procedura guidata: video
Questo video (3:07) descrive come aggiornare la landing zone esistente AWS della Control Tower alla versione 3. Per una migliore visualizzazione, seleziona l'icona nell'angolo in basso a destra del video per ingrandirlo a schermo intero. È disponibile la didascalia.
La pagina Organizzazione combina visualizzazioni e account OUs
18 luglio 2022
(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)
La nuova pagina Organizzazione in AWS Control Tower mostra una visualizzazione gerarchica di tutte le unità organizzative (OUs) e gli account. Combina le informazioni delle pagine OUse Account, che esistevano in precedenza.
Nella nuova pagina, puoi vedere le relazioni tra i genitori OUs e i relativi nidificati OUs e gli account, puoi agire sui raggruppamenti di risorse. È possibile configurare la visualizzazione della pagina. Ad esempio, è possibile espandere o comprimere la visualizzazione gerarchica, filtrare la visualizzazione per visualizzare solo gli account o OUs solo gli account, scegliere di visualizzare solo gli account registrati e registrati OUs oppure è possibile visualizzare gruppi di risorse correlate. È più facile garantire che l'intera organizzazione sia aggiornata correttamente.
Registrazione e aggiornamento semplificati per gli account dei singoli membri
31 maggio 2022
(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)
AWSControl Tower ora ti offre una migliore capacità di aggiornare e registrare gli account dei membri individualmente. Ogni account mostra quando è disponibile per un aggiornamento, così puoi assicurarti più facilmente che i tuoi account membro includano la configurazione più recente. Puoi aggiornare la landing zone, porre rimedio alla deriva dell'account o registrare un account in un'unità organizzativa registrata in pochi passaggi semplificati.
Quando aggiorni un account, non è necessario includere l'intera unità organizzativa (OU) di un account in ogni azione di aggiornamento. Di conseguenza, il tempo necessario per aggiornare un singolo account si riduce notevolmente.
Puoi registrare gli account in AWS Control Tower OUs con l'aiuto della console AWS Control Tower. Gli account esistenti registrati a AWS Control Tower devono comunque soddisfare i prerequisiti dell'account e devi aggiungere il AWSControlTowerExecution ruolo. Quindi, puoi scegliere qualsiasi unità organizzativa registrata e registrare l'account selezionando il pulsante Registra.
Abbiamo separato la funzionalità Registra account dal flusso di lavoro Crea account in account factory, per distinguere meglio questi processi simili e aiutarti a evitare errori di configurazione quando inserisci le informazioni sull'account.
AFTsupporta la personalizzazione automatizzata per gli account AWS Control Tower condivisi
27 maggio 2022
(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)
Account Factory for Terraform (AFT) ora può personalizzare e aggiornare in modo programmatico tutti gli account gestiti da AWS Control Tower, inclusi l'account di gestione, l'account di controllo e l'account di archiviazione dei log, insieme agli account registrati. Potete centralizzare la personalizzazione dell'account e la gestione degli aggiornamenti, proteggendo al contempo la sicurezza delle configurazioni degli account, poiché siete voi a definire il ruolo che svolge il lavoro.
Il AWSAFTExecutionruolo esistente ora implementa personalizzazioni in tutti gli account. È possibile impostare IAM autorizzazioni con limiti che limitano l'accesso al AWSAFTExecutionruolo in base ai requisiti aziendali e di sicurezza. Puoi anche delegare a livello di codice le autorizzazioni di personalizzazione approvate in quel ruolo, per utenti fidati. Come procedura consigliata, si consiglia di limitare le autorizzazioni a quelle necessarie per implementare le personalizzazioni richieste.
AFTora crea il nuovo AWSAFTServiceruolo per distribuire AFT le risorse in tutti gli account gestiti, inclusi gli account condivisi e l'account di gestione. Le risorse in precedenza venivano utilizzate dal ruolo. AWSAFTExecution
Il provisioning degli account condivisi e di gestione di AWS Control Tower non viene fornito tramite Account Factory, quindi non dispongono di prodotti forniti corrispondenti in AWS Service Catalog. Pertanto, non è possibile aggiornare gli account condivisi e di gestione in Service Catalog.
Operazioni simultanee per tutti i controlli opzionali
18 maggio 2022
(Non è richiesto alcun aggiornamento per la landing zone AWS di Control Tower)
AWSControl Tower ora supporta operazioni simultanee per i controlli preventivi e per i controlli investigativi.
Con questa nuova funzionalità, qualsiasi controllo opzionale ora può essere applicato o rimosso contemporaneamente, migliorando così la facilità d'uso e le prestazioni di tutti i controlli opzionali. È possibile abilitare più controlli opzionali senza attendere il completamento delle singole operazioni di controllo. Gli unici orari limitati sono quando AWS Control Tower è in fase di configurazione della landing zone o sta estendendo la governance a una nuova organizzazione.
Funzionalità supportate per i controlli preventivi:
-
Applica e rimuovi controlli preventivi diversi sulla stessa unità organizzativa.
-
Applica e rimuovi controlli preventivi diversi su diversiOUs, contemporaneamente.
-
Applica e rimuovi lo stesso controllo preventivo su più OUs dispositivi contemporaneamente.
-
È possibile applicare e rimuovere qualsiasi controllo preventivo e investigativo contemporaneamente.
Puoi riscontrare questi miglioramenti della concorrenza di controllo in tutte le versioni rilasciate di AWS Control Tower.
Quando si applicano controlli preventivi a nestedOUs, i controlli preventivi influiscono su tutti gli account e sono OUs annidati nell'unità organizzativa di destinazione, anche se tali account non OUs sono registrati presso AWS Control Tower. I controlli preventivi vengono implementati utilizzando le Service Control Policies (SCPs), che fanno parte di AWS Organizations. I controlli Detective sono implementati utilizzando AWS Config regole. I Guardrail rimangono in vigore quando crei nuovi account o apporti modifiche agli account esistenti e AWS Control Tower fornisce un rapporto riepilogativo su come ogni account è conforme alle politiche abilitate. Per un elenco completo dei controlli disponibili, consulta la libreria di controlli The AWS Control Tower.
Account di sicurezza e registrazione esistenti
16 maggio 2022
(Disponibile durante la configurazione iniziale.)
AWSControl Tower ora offre la possibilità di specificare un esistente AWS account come account di sicurezza o di registrazione AWS Control Tower, durante il processo di configurazione iniziale della landing zone. Questa opzione elimina la necessità per AWS Control Tower di creare nuovi account condivisi. L'account di sicurezza, denominato di default account Audit, è un account con restrizioni che consente ai team di sicurezza e conformità di accedere a tutti gli account nella landing zone. L'account di registrazione, chiamato per impostazione predefinita account Log Archive, funziona come un repository. Memorizza i registri delle API attività e delle configurazioni delle risorse di tutti gli account nella landing zone.
Integrando gli account di sicurezza e registrazione esistenti, è più facile estendere la governance AWS della Control Tower alle organizzazioni esistenti o passare a AWS Control Tower da una landing zone alternativa. L'opzione per utilizzare gli account esistenti viene visualizzata durante la configurazione iniziale della landing zone. Include controlli durante il processo di configurazione, che garantiscono una corretta implementazione. AWSControl Tower implementa i ruoli e i controlli necessari sugli account esistenti. Non rimuove o unisce risorse o dati esistenti in questi account.
Limitazione: se prevedi di aggiungerne di esistenti AWS account in AWS Control Tower come account di controllo e archiviazione dei log e se tali account esistono AWS Config risorse, è necessario eliminare quelle esistenti AWS Config risorse prima di poter registrare gli account in AWS Control Tower.
AWSControl Tower landing zone versione 2.9
22 aprile 2022
(Aggiornamento richiesto per la landing zone AWS di Control Tower alla versione 2.9. Per informazioni, vedereAggiorna la tua landing zone)
AWSLa versione 2.9 della landing zone di Control Tower aggiorna il server di inoltro di notifiche Lambda per utilizzare il runtime Python versione 3.9. Questo aggiornamento risolve il problema della deprecazione della versione 3.6 di Python, prevista per luglio 2022. Per le informazioni più recenti, consulta la pagina di deprecazione di Python.
AWSControl Tower landing zone versione 2.8
10 febbraio 2022
(Aggiornamento richiesto per la landing zone di AWS Control Tower alla versione 2.8. Per informazioni, vedereAggiorna la tua landing zone)
AWSLa versione 2.8 della zona di atterraggio Control Tower aggiunge funzionalità in linea con i recenti aggiornamenti di AWS Best practice di sicurezza di base.
In questa versione:
-
La registrazione degli accessi è configurata per il bucket di log di accesso nell'account Log Archive, per tenere traccia dell'accesso al bucket di log di accesso S3 esistente.
-
È stato aggiunto il supporto per la politica del ciclo di vita. Il log di accesso per il bucket di log di accesso S3 esistente è impostato su un periodo di conservazione predefinito di 10 anni.
-
Inoltre, questa versione aggiorna AWS Control Tower per utilizzare AWS Service Linked Role (SLR) fornito da AWS Config, in tutti gli account gestiti (escluso l'account di gestione), in modo da poter configurare e gestire le regole di Config in modo che corrispondano AWS Config migliori pratiche. I clienti che non effettuano l'upgrade continueranno a utilizzare il ruolo esistente.
-
Questa versione semplifica il processo di KMS configurazione AWS Control Tower per la crittografia. AWS Config dati e migliora la relativa messaggistica di stato in. CloudTrail
-
La versione include un aggiornamento del Region Deny Control, per consentire l'utilizzo della
route53-application-recoveryfunzionalità.us-west-2 -
Aggiornamento: il 15 febbraio 2022, abbiamo rimosso la coda delle lettere morte per AWS Funzioni Lambda.
Ulteriori dettagli:
-
Se disattivate la vostra landing zone, AWS Control Tower non rimuove il AWS Config ruolo legato al servizio.
-
Se si elimina il provisioning di un account Account Factory, AWS Control Tower non rimuove il AWS Config ruolo collegato al servizio.
Per aggiornare la tua landing zone alla versione 2.8, vai alla pagina delle impostazioni della zona di atterraggio, seleziona la versione 2.8, quindi scegli Aggiorna. Dopo aver aggiornato la landing zone, devi aggiornare tutti gli account gestiti da AWS Control Tower, come indicato inGestione degli aggiornamenti della configurazione in AWS Control Tower.
