gennaio - dicembre 2023

• Transizione al nuovo AWS Service Catalog Tipo di prodotto esterno (fase 3)

• AWSControl Tower landing zone versione 3.3

• Transizione al nuovo AWS Service Catalog Tipo di prodotto esterno (fase 2)

• AWSControl Tower annuncia i controlli per favorire la sovranità digitale

• AWSControl Tower supporta la landing zone APIs

• AWSControl Tower supporta l'etichettatura per i controlli abilitati

• AWSControl Tower disponibile nella regione Asia Pacifico (Melbourne)

• Transizione al nuovo AWS Service Catalog Tipo di prodotto esterno (fase 1)

• Nuovo controllo disponibile API

• AWSControl Tower aggiunge controlli aggiuntivi

• Nuovo tipo di deriva segnalato: accesso affidabile disabilitato

• Quattro aggiuntivi Regioni AWS

• AWSControl Tower disponibile nella regione di Tel Aviv

• AWSControl Tower lancia 28 nuovi controlli proattivi

• AWSControl Tower depreca due controlli

• AWSControl Tower landing zone versione 3.2

• AWSControl Tower gestisce gli account in base all'ID

• Controlli di rilevamento aggiuntivi del Security Hub disponibili nella libreria dei controlli AWS Control Tower

• AWSControl Tower pubblica tabelle di metadati di controllo

• Supporto Terraform per la personalizzazione di Account Factory

• AWS IAMAutogestione dell'Identity Center disponibile per la landing zone

• AWSControl Tower affronta la governance mista per OUs

• Sono disponibili controlli proattivi aggiuntivi

• Controlli EC2 proattivi Amazon aggiornati

• Sette aggiuntive Regioni AWS disponibile

• Tracciamento delle richieste di personalizzazione dell'account Account Factory for Terraform (AFT)

• AWSControl Tower landing zone versione 3.1

• Controlli proattivi generalmente disponibili

Aggiornamenti alla landing zone Region Deny control

• Rimosso. discovery-marketplace: Questa azione è coperta dall'aws-marketplace:*esenzione.

• Aggiunto quicksight:DescribeAccountSubscription

Nuovi controlli proattivi

• CT.APIGATEWAY.PR.6: richiedi un REST dominio Amazon API Gateway per utilizzare una policy di sicurezza che specifichi una versione minima del TLS protocollo di .2 TLSv1

• CT.APPSYNC.PR.2: Richiede un AWS AppSync GraphQL API da configurare con visibilità privata

• CT.APPSYNC.PR.3: Richiedi che un AWS AppSync GraphQL non API è autenticato con chiavi API

• CT.APPSYNC.PR.4: Richiede un AWS AppSync APICache GraphQL per abilitare la crittografia in transito.

• CT.APPSYNC.PR.5: Richiede un AWS AppSync APICache GraphQL per abilitare la crittografia a riposo.

• CT.AUTOSCALING.PR.9: Richiede un EBS volume Amazon configurato tramite una configurazione di avvio di Amazon EC2 Auto Scaling per crittografare i dati inattivi

• CT.AUTOSCALING.PR.10: richiede solo un gruppo Amazon EC2 Auto Scaling per l'uso AWS Tipi di istanze Nitro quando si sovrascrive un modello di avvio

• CT.AUTOSCALING.PR.11: Richiede solo AWS Tipi di istanze Nitro che supportano la crittografia del traffico di rete tra istanze da aggiungere a un gruppo Amazon Auto EC2 Scaling, quando si sovrascrive un modello di avvio

• CT.DAX.PR.3: Richiede un cluster DynamoDB Accelerator per crittografare i dati in transito con Transport Layer Security () TLS

• CT.DMS.PR.2: Richiede un AWS Database Migration Service (DMS) Endpoint per crittografare le connessioni per gli endpoint di origine e di destinazione

• CT.EC2.PR.15: richiedi un'EC2istanza Amazon per utilizzare un AWS Tipo di istanza Nitro quando si crea dal tipo di AWS::EC2::LaunchTemplate risorsa

• CT.EC2.PR.16: richiedi un'EC2istanza Amazon per utilizzare un AWS Tipo di istanza Nitro se creata utilizzando il tipo di AWS::EC2::Instance risorsa

• CT.EC2.PR.17: richiede un host EC2 dedicato Amazon per utilizzare un tipo di istanza AWS Nitro

• CT.EC2.PR.18: Richiedi a una EC2 flotta Amazon di sostituire solo i modelli di lancio con AWS Tipi di istanze Nitro

• CT.EC2.PR.19: Richiedi a un'EC2istanza Amazon di utilizzare un tipo di istanza nitro che supporti la crittografia in transito tra istanze quando viene creata utilizzando il tipo di risorsa AWS::EC2::Instance

• CT.EC2.PR.20: Richiedi a una EC2 flotta Amazon di sostituire solo i modelli di lancio con AWS Tipi di istanze Nitro che supportano la crittografia in transito tra istanze

• CT.ELASTICACHE.PR.8: Richiedi un gruppo di ElastiCache replica Amazon di versioni Redis successive per attivare l'autenticazione RBAC

• CT.MQ.PR.1: Richiedi un broker Amazon MQ ActiveMQ per utilizzare la modalità di distribuzione attiva/standby per un'elevata disponibilità

• CT.MQ.PR.2: Richiedi un broker Amazon MQ Rabbit MQ per utilizzare la modalità cluster Multi-AZ per un'elevata disponibilità

• CT.MSK.PR.1: Richiedi un cluster Amazon Managed Streaming for Apache MSK Kafka () per applicare la crittografia in transito tra i nodi del broker del cluster

• CT.MSK.PR.2: Richiedi che un cluster Amazon Managed Streaming for Apache MSK Kafka () sia configurato con disabilitato PublicAccess

• CT.NETWORK-FIREWALL.PR.5: Richiedi un AWS Firewall di rete: firewall da implementare su più zone di disponibilità

• CT.RDS.PR.26: Richiede un proxy Amazon RDS DB per richiedere connessioni Transport Layer Security (TLS)

• CT.RDS.PR.27: Richiede un gruppo di parametri del cluster Amazon RDS DB per richiedere connessioni Transport Layer Security (TLS) per i tipi di motore supportati

• CT.RDS.PR.28: richiede un gruppo di parametri Amazon RDS DB per richiedere connessioni Transport Layer Security (TLS) per i tipi di motore supportati

• CT.RDS.PR.29: Richiedi che un RDS cluster Amazon non sia configurato per essere accessibile pubblicamente tramite la proprietà PubliclyAccessible ''

• CT.RDS.PR.30: Richiedi che un'istanza di RDS database Amazon abbia la crittografia a riposo configurata per utilizzare una KMS chiave specificata per i tipi di motore supportati

• CT.S3.PR.12: Richiedi che un punto di accesso Amazon S3 disponga di una configurazione Block Public Access (BPA) con tutte le opzioni impostate su true

Nuovi controlli preventivi

• CT.APPSYNC.PV.1 Richiedi che un AWS AppSync GraphQL API è configurato con visibilità privata

• CT.EC2.PV.1 Richiedi la creazione di EBS uno snapshot Amazon da un volume crittografato EC2

• CT.EC2.PV.2 Richiedi che un EBS volume Amazon collegato sia configurato per crittografare i dati inattivi

• CT.EC2.PV.3 Richiedi che uno EBS snapshot Amazon non possa essere ripristinato pubblicamente

• CT.EC2.PV.4 Richiedi che Amazon EBS Direct APIs non venga chiamato

• CT.EC2.PV.5 Impedisci l'uso dell'importazione e dell'esportazione di Amazon EC2 VM

• CT.EC2.PV.6 Impedisci l'uso di Amazon e azioni obsolete EC2 RequestSpotFleet RequestSpotInstances API

• CT.KMS.PV.1 Richiedi un AWS KMS politica chiave per avere una dichiarazione che limiti la creazione di AWS KMS sovvenzioni a AWS services

• CT.KMS.PV.2 Richiedi che un AWS KMS la chiave asimmetrica con materiale RSA chiave utilizzato per la crittografia non ha una lunghezza di 2048 bit

• CT.KMS.PV.3 Richiedete che un AWS KMS la chiave è configurata con il controllo di sicurezza del blocco della politica di bypass abilitato

• CT.KMS.PV.4 Richiedi che un AWS KMS la chiave gestita dal cliente (CMK) è configurata con materiale chiave proveniente da AWS Cloud HSM

• CT.KMS.PV.5 Richiedi che un AWS KMS la chiave gestita dal cliente (CMK) è configurata con materiale chiave importato

• CT.KMS.PV.6 Richiedi che un AWS KMS la chiave gestita dal cliente (CMK) è configurata con materiale chiave proveniente da un archivio di chiavi esterno () XKS

• CT.LAMBDA.PV.1 Richiede un AWS Lambda funzione URL da usare AWS IAMautenticazione basata

• CT.LAMBDA.PV.2 Richiede un AWS Lambda funzione URL da configurare per l'accesso solo ai responsabili interni Account AWS

• CT. MULTISERVICE.PV.1: nega l'accesso a AWS in base alla richiesta Regione AWS per un'unità organizzativa

Nuovi controlli investigativi

• SH.ACM.2: RSA i certificati gestiti da ACM devono utilizzare una lunghezza di chiave di almeno 2.048 bit

• SH.AppSync.5: AWS AppSync GraphQL non APIs deve essere autenticato con chiavi API

• SH.CloudTrail.6: Assicurati che il bucket S3 utilizzato per archiviare CloudTrail i log non sia accessibile al pubblico:

• SH.DMS.9: DMS gli endpoint devono utilizzare SSL

• SH.DocumentDB.3: le istantanee manuali dei cluster di Amazon DocumentDB non devono essere pubbliche

• SH.DynamoDB.3: i cluster DynamoDB Accelerator DAX () devono essere crittografati quando sono inattivi

• SH.EC2.23: I EC2 Transit Gateway non dovrebbero accettare automaticamente le richieste di allegati VPC

• SH.EKS.1: gli endpoint EKS del cluster non devono essere accessibili al pubblico

• SH.ElastiCache.3: i gruppi di ElastiCache replica devono avere il failover automatico abilitato

• SH.ElastiCache.4: i gruppi di ElastiCache replica avrebbero dovuto essere abilitati encryption-at-rest

• SH.ElastiCache.5: i gruppi di ElastiCache replica avrebbero dovuto essere abilitati encryption-in-transit

• SH.ElastiCache.6: i gruppi di ElastiCache replica delle versioni precedenti di Redis dovrebbero avere Redis abilitato AUTH

• SH.EventBridge.3: i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

• SH.KMS.4: AWS KMS la rotazione dei tasti deve essere abilitata

• SH.Lambda.3: Le funzioni Lambda devono trovarsi in un VPC

• SH.MQ.5: i broker ActiveMQ devono utilizzare la modalità di distribuzione attiva/standby

• SH.MQ.6: I broker RabbitMQ devono utilizzare la modalità di distribuzione cluster

• SH.MSK.1: MSK i cluster devono essere crittografati durante il transito tra i nodi broker

• SH.RDS.12: IAM l'autenticazione deve essere configurata per i cluster RDS

• SH.RDS.15: i cluster RDS DB devono essere configurati per più zone di disponibilità

• SH.S3.17: I bucket S3 devono essere crittografati quando sono inattivi con AWS KMS keys

• La versione aggiornata EnableControl API può configurare controlli configurabili.

• L'aggiornamento GetEnabledControl API mostra i parametri configurati su un controllo abilitato.

• Il nuovo UpdateEnabledControl API può modificare i parametri su un controllo abilitato.

• CreateLandingZone—Questa API chiamata crea una landing zone utilizzando una versione di landing zone e un file manifest.

• GetLandingZoneOperation—Questa API chiamata restituisce lo stato di un'operazione di landing zone specificata.

• GetLandingZone—Questa API chiamata restituisce dettagli sulla landing zone specificata, tra cui la versione, il file manifest e lo status.

• UpdateLandingZone—Questa API chiamata aggiorna la versione della landing zone o il file manifest.

• ListLandingZone—Questa API chiamata restituisce un landing zone identifier (ARN) per una configurazione di landing zone nell'account di gestione.

• ResetLandingZone—Questa API chiamata ripristina la landing zone ai parametri specificati nell'ultimo aggiornamento, che può riparare la deriva. Se la landing zone non è stata aggiornata, questa chiamata reimposta la landing zone ai parametri specificati al momento della creazione.

• DeleteLandingZone—Questa API chiamata disattiva la landing zone.

• TagResource—Questa API chiamata aggiunge tag ai controlli abilitati in AWS Control Tower.

• UntagResource—Questa API chiamata rimuove i tag dai controlli abilitati in AWS Control Tower.

• ListTagsForResource—Questa API chiamata restituisce i tag per i controlli abilitati in AWS Control Tower.

• GetEnabledControl—La API chiamata fornisce dettagli su un controllo abilitato.

• Ottieni un elenco di tutti i controlli che hai abilitato dalla libreria dei controlli AWS Control Tower.

• Per ogni controllo abilitato, puoi ottenere informazioni sulle regioni in cui il controllo è supportato, sull'identificatore del controllo (ARN), sullo stato di deriva del controllo e sul riepilogo dello stato del controllo.

Nuovi controlli proattivi

• [CT.ATHENA.PR.1] Richiedi un gruppo di lavoro Amazon Athena per crittografare i risultati delle query Athena a riposo

• [CT.ATHENA.PR.2] Richiedi a un gruppo di lavoro Amazon Athena di crittografare i risultati delle query Athena inattivi con un AWS Key Management Service chiave () KMS

• [CT.CLOUDTRAIL.PR.4] Richiede un AWS CloudTrail Lake Event Data Store per abilitare la crittografia a riposo con un AWS KMS Chiave

• [CT.DAX.PR.2] Richiedi un DAX cluster Amazon per distribuire i nodi in almeno tre zone di disponibilità

• [CT.EC2.PR.14] Richiedi un EBS volume Amazon configurato tramite un modello di EC2 avvio Amazon per crittografare i dati inattivi

• [CT.EKS.PR.2] Richiedi che un EKS cluster Amazon sia configurato con crittografia segreta utilizzando AWS Chiavi del servizio di gestione delle chiavi (KMS)

• [CT.ELASTICLOADBALANCING.PR.14] Richiede un Network Load Balancer per attivare il bilanciamento del carico tra zone

• [CT.ELASTICLOADBALANCING.PR.15] Richiede che un gruppo target Elastic Load Balancing v2 non disabiliti esplicitamente il bilanciamento del carico tra zone

• [CT.EMR.PR.1] Richiede che una configurazione di sicurezza Amazon EMR (EMR) sia configurata per crittografare i dati inattivi in Amazon S3

• [CT.EMR.PR.2] Richiedi che una configurazione di sicurezza Amazon EMR (EMR) sia configurata per crittografare i dati inattivi in Amazon S3 con un AWS KMS Chiave

• [CT.EMR.PR.3] Richiede che una configurazione di sicurezza Amazon EMR (EMR) sia configurata con la crittografia del disco locale del EBS volume utilizzando un AWS KMS Chiave

• [CT.EMR.PR.4] Richiedi che una configurazione di sicurezza Amazon EMR (EMR) sia configurata per crittografare i dati in transito

• [CT.GLUE.PR.1] Richiede un AWS Glue job per avere una configurazione di sicurezza associata

• [CT.GLUE.PR.2] Richiede un AWS Glue la configurazione di sicurezza per crittografare i dati nei target Amazon S3 utilizzando AWS KMSchiavi

• [CT.KMS.PR.2] Richiedi che un AWS KMS la chiave asimmetrica con materiale RSA chiave utilizzato per la crittografia ha una lunghezza della chiave superiore a 2048 bit

• [CT.KMS.PR.3] Richiede un AWS KMS politica chiave per avere una dichiarazione che limiti la creazione di AWS KMS sovvenzioni a AWS services

• [CT.LAMBDA.PR.4] Richiede un AWS Lambda autorizzazione al livello per concedere l'accesso a un AWS organizzazione o specifica AWS account

• [CT.LAMBDA.PR.5] Richiedi un AWS Lambda funzione URL da usare AWS IAMautenticazione basata

• [CT.LAMBDA.PR.6] Richiede un AWS Lambda URLCORSpolitica delle funzioni per limitare l'accesso a origini specifiche

• [CT.NEPTUNE.PR.4] Richiede un cluster Amazon Neptune DB per abilitare l'esportazione dei log di CloudWatch Amazon per i log di controllo

• [CT.NEPTUNE.PR.5] Richiedi un cluster Amazon Neptune DB per impostare un periodo di conservazione dei backup maggiore o uguale a sette giorni

• [CT.REDSHIFT.PR.9] Richiede che un gruppo di parametri del cluster Amazon Redshift sia configurato per utilizzare Secure Sockets Layer (SSL) per la crittografia dei dati in transito

• [SH.Athena.1] I gruppi di lavoro Athena devono essere crittografati quando sono inattivi

• [SH.Neptune.1] I cluster Neptune DB devono essere crittografati a riposo

• [SH.Neptune.2] I cluster Neptune DB devono pubblicare i log di controllo su Logs CloudWatch

• [SH.Neptune.3] Le istantanee del cluster Neptune DB non devono essere pubbliche

• [SH.Neptune.4] I cluster Neptune DB devono avere la protezione da eliminazione abilitata

• [SH.Neptune.5] I cluster Neptune DB dovrebbero avere i backup automatici abilitati

• [SH.Neptune.6] Le istantanee del cluster Neptune DB devono essere crittografate a riposo

• [SH.Neptune.7] I cluster Neptune DB devono avere l'autenticazione del database abilitata IAM

• [SH.Neptune.8] I cluster Neptune DB devono essere configurati per copiare i tag nelle istantanee

• [SH.RDS.27] I cluster RDS DB devono essere crittografati quando sono inattivi

Ecco un elenco completo dei nuovi controlli:

• [CT. APPSYNC.PR.1] Richiede un AWS AppSync GraphQL API per abilitare la registrazione

• [CT. CLOUDWATCH.PR.1] Richiedi che un CloudWatch allarme Amazon abbia un'azione configurata per lo stato di allarme

• [CT. CLOUDWATCH.PR.2] Richiedere la conservazione di un gruppo di CloudWatch log Amazon per almeno un anno

• [CT. CLOUDWATCH.PR.3] Richiedi che un gruppo di CloudWatch log Amazon sia crittografato quando è inattivo con un AWS KMSchiave

• [CT. CLOUDWATCH.PR.4] Richiedi l'attivazione di un'azione di CloudWatch allarme Amazon

• [CT. DOCUMENTDB.PR.1] Richiede la crittografia di un cluster Amazon DocumentDB a riposo

• [CT. DOCUMENTDB.PR.2] Richiede un cluster Amazon DocumentDB per abilitare i backup automatici

• [CT. DYNAMODB.PR.2] Richiedi che una tabella Amazon DynamoDB venga crittografata quando è inattiva utilizzando AWS KMS keys

• [CT. EC2.PR.13] Richiedi che un'EC2istanza Amazon abbia abilitato il monitoraggio dettagliato

• [CT. EKS.PR.1] Richiede la configurazione di un EKS cluster Amazon con accesso pubblico disabilitato all'endpoint del server Kubernetes del cluster API

• [CT. ELASTICACHE.PR.1] Richiedi un cluster Amazon ElastiCache for Redis per attivare i backup automatici

• [CT. ELASTICACHE.PR.2] Richiedi l'attivazione degli aggiornamenti automatici delle versioni secondarie di un cluster Amazon ElastiCache for Redis

• [CT. ELASTICACHE.PR.3] Richiede l'attivazione del failover automatico da parte di un gruppo di replica Amazon ElastiCache for Redis

• [CT. ELASTICACHE.PR.4] Richiedere a un gruppo di ElastiCache replica Amazon di attivare la crittografia a riposo

• [CT. ELASTICACHE.PR.5] Richiedere a un gruppo di replica Amazon ElastiCache for Redis di attivare la crittografia in transito

• [CT. ELASTICACHE.PR.6] Richiedi un cluster di ElastiCache cache Amazon per utilizzare un gruppo di sottoreti personalizzato

• [CT. ELASTICACHE.PR.7] Richiedi l'autenticazione Redis di un gruppo di ElastiCache replica Amazon con versioni Redis precedenti AUTH

• [CT. ELASTICBEANSTALK.PR.3] Richiede un AWS Ambiente Elastic Beanstalk per avere una configurazione di registrazione

• [CT. LAMBDA.PR.3] Richiede un AWS Lambda la funzione deve trovarsi in un Amazon Virtual Private Cloud () gestito dal cliente VPC

• [CT. NEPTUNE.PR.1] È necessario disporre di un cluster Amazon Neptune DB AWS Identity and Access Management (IAM) autenticazione del database

• [CT. NEPTUNE.PR.2] Richiede un cluster Amazon Neptune DB per abilitare la protezione da eliminazione

• [CT. NEPTUNE.PR.3] Richiede un cluster Amazon Neptune DB per abilitare la crittografia dello storage

• [CT. REDSHIFT.PR.8] Richiedi la crittografia di un cluster Amazon Redshift

• [CT.S3.PR.9] Richiede che un bucket Amazon S3 abbia S3 Object Lock attivato

• [CT.S3.PR.10] Richiede un bucket Amazon S3 per configurare la crittografia lato server utilizzando AWS KMS keys

• [CT.S3.PR.11] Richiede un bucket Amazon S3 per abilitare il controllo delle versioni

• [CT. STEPFUNCTIONS.PR.1] Richiede un AWS Step Functions state machine per attivare la registrazione

• [CT. STEPFUNCTIONS.PR.2] Richiede un AWS Step Functions macchina statale da avere AWS X-Ray tracciamento attivato

• [SH.S3.4] I bucket S3 devono avere la crittografia lato server abilitata

• [CT.S3.PR.7] Richiede un bucket Amazon S3 per configurare la crittografia lato server

Servizi globali e aggiunti APIs

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail (cloudtrail:LookupEvents) per consentire la visibilità degli eventi globali negli account dei membri.

• AWS Fatturazione consolidata () consolidatedbilling:*

• AWS Applicazione mobile per la console di gestione (consoleapp:*)

• AWS Livello gratuito (freetier:*)

• Fatturazione AWS (invoicing:*)

• AWS IQ () iq:*

• AWS Notifiche utente () notifications:*

• AWS Contatti per le notifiche utente (notifications-contacts:*)

• Amazon Payments (payments:*)

• AWS Impostazioni fiscali (tax:*)

Servizi globali e APIs rimossi

• Rimossa s3:GetAccountPublic perché non è un'azione valida.

• Rimossa s3:PutAccountPublic perché non è un'azione valida.

• [Sh.account.1] Le informazioni di contatto di sicurezza devono essere fornite per un Account AWS

• [SH. APIGateway.8] Le rotte API gateway devono specificare un tipo di autorizzazione

• [SH. APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

• [SH. CodeBuild.3] I log CodeBuild S3 devono essere crittografati

• [SH. EC2.25] i modelli di EC2 avvio non devono assegnare interfacce pubbliche IPs alle interfacce di rete

• [SH. ELB.1] Application Load Balancer deve essere configurato per HTTP reindirizzare tutte le richieste a HTTPS

• [sh.redshift.10] I cluster Redshift devono essere crittografati a riposo

• [SH. SageMaker.2] le istanze dei SageMaker notebook devono essere avviate in modo personalizzato VPC

• [SH. SageMaker.3] Gli utenti non devono avere accesso root alle istanze dei SageMaker notebook

• [SH. WAF.10] Un WAFV2 Web ACL dovrebbe avere almeno una regola o un gruppo di regole

• È possibile accettare l'impostazione predefinita e consentire a AWS Control Tower di configurare e gestire AWS IAMIdentity Center per te.

• Puoi scegliere di gestirla autonomamente AWS IAMIdentity Center, per riflettere i tuoi requisiti aziendali specifici.

• Facoltativamente, puoi utilizzare e gestire autonomamente un provider di identità di terze parti, collegandolo tramite IAM Identity Center, se necessario. È consigliabile utilizzare l'opzione del provider di identità se l'ambiente normativo richiede l'utilizzo di un provider specifico o se si opera in Regioni AWS dove AWS IAMIdentity Center non è disponibile.

OpenSearch Servizio Amazon

• [CT. OPENSEARCH.PR.1] Richiede un dominio Elasticsearch per crittografare i dati inattivi

• [CT. OPENSEARCH.PR.2] Richiedi la creazione di un dominio Elasticsearch in un Amazon specificato dall'utente VPC

• [CT. OPENSEARCH.PR.3] Richiede un dominio Elasticsearch per crittografare i dati inviati tra i nodi

• [CT. OPENSEARCH.PR.4] Richiedi un dominio Elasticsearch per inviare i log degli errori ad Amazon Logs CloudWatch

• [CT. OPENSEARCH.PR.5] Richiedi un dominio Elasticsearch per inviare i log di controllo ad Amazon Logs CloudWatch

• [CT. OPENSEARCH.PR.6] Richiede che un dominio Elasticsearch disponga del riconoscimento delle zone e di almeno tre nodi dati

• [CT. OPENSEARCH.PR.7] Richiedi che un dominio Elasticsearch abbia almeno tre nodi master dedicati

• [CT. OPENSEARCH.PR.8] Richiede un dominio Elasticsearch Service da utilizzare .2 TLSv1

• [CT. OPENSEARCH.PR.9] Richiedi un dominio Amazon OpenSearch Service per crittografare i dati inattivi

• [CT. OPENSEARCH.PR.10] Richiedi la creazione di un dominio Amazon OpenSearch Service in un Amazon specificato dall'utente VPC

• [CT. OPENSEARCH.PR.11] Richiedi un dominio Amazon OpenSearch Service per crittografare i dati inviati tra i nodi

• [CT. OPENSEARCH.PR.12] Richiedi un dominio Amazon OpenSearch Service per inviare i log degli errori ad Amazon Logs CloudWatch

• [CT. OPENSEARCH.PR.13] Richiedi un dominio Amazon OpenSearch Service per inviare i log di controllo ad Amazon Logs CloudWatch

• [CT. OPENSEARCH.PR.14] Richiedi che un dominio Amazon OpenSearch Service disponga del riconoscimento delle zone e di almeno tre nodi dati

• [CT. OPENSEARCH.PR.15] Richiedi un dominio Amazon OpenSearch Service per utilizzare un controllo granulare degli accessi

• [CT. OPENSEARCH.PR.16] Richiedi un dominio Amazon OpenSearch Service da usare .2 TLSv1

Amazon EC2 Auto Scaling

• [CT. AUTOSCALING.PR.1] Richiedi che un gruppo Amazon EC2 Auto Scaling disponga di più zone di disponibilità

• [CT. AUTOSCALING.PR.2] Richiede una configurazione di avvio del gruppo Amazon EC2 Auto Scaling per configurare le istanze Amazon per EC2 IMDSv2

• [CT. AUTOSCALING.PR.3] Richiedi una configurazione di avvio di Amazon EC2 Auto Scaling per avere un limite di risposta ai metadati a hop singolo

• [CT. AUTOSCALING.PR.4] Richiedi un gruppo Amazon EC2 Auto Scaling associato a Amazon Elastic Load Balancing () per attivare i controlli di integrità ELB ELB

• [CT. AUTOSCALING.PR.5] Richiede che una configurazione di avvio di un gruppo Amazon EC2 Auto Scaling non contenga istanze Amazon EC2 con indirizzi IP pubblici

• [CT. AUTOSCALING.PR.6] Richiede a qualsiasi gruppo Amazon EC2 Auto Scaling di utilizzare più tipi di istanze

• [CT. AUTOSCALING.PR.8] Richiede un gruppo Amazon EC2 Auto Scaling per configurare i modelli di lancio EC2

Amazon SageMaker

• [CT. SAGEMAKER.PR.1] Richiede un'istanza Amazon SageMaker Notebook per impedire l'accesso diretto a Internet

• [CT. SAGEMAKER.PR.2] Richiede la distribuzione delle istanze di SageMaker notebook Amazon all'interno di un Amazon personalizzato VPC

• [CT. SAGEMAKER.PR.3] Richiede che alle istanze di SageMaker notebook Amazon non sia consentito l'accesso root

Amazon API Gateway

• [CT. APIGATEWAY.PR.5] Richiedi Amazon API Gateway V2 Websocket e HTTP route per specificare un tipo di autorizzazione

Amazon Relational Database Service RDS ()

• [CT. RDS.PR.25] Richiede un cluster di RDS database Amazon per configurare la registrazione

• Che cos'è Amazon CloudWatch Logs? nella Guida per l'utente di Amazon CloudWatch Logs

• Che cos'è AWS Step Functions? nel AWS Step Functions Guida per gli sviluppatori

• Con questa versione, AWS Control Tower disattiva la registrazione degli accessi non necessaria per il bucket di registrazione degli accessi, che è il bucket Amazon S3 in cui i log di accesso sono archiviati nell'account Log Archive, continuando ad abilitare la registrazione degli accessi al server per i bucket S3. Questa versione include anche aggiornamenti al controllo Region Deny che consentono azioni aggiuntive per i servizi globali, come AWS Support Piani e AWS Artifact.

• La disattivazione della registrazione degli accessi al server per il bucket di registrazione degli accessi AWS Control Tower fa sì che Security Hub crei una ricerca per il bucket di registrazione degli accessi dell'account Log Archive, a causa di un AWS Security Hub regola, [S3.9] La registrazione degli accessi al server bucket S3 deve essere abilitata. In linea con Security Hub, ti consigliamo di eliminare questo particolare risultato, come indicato nella descrizione di questa regola da parte del Security Hub. Per ulteriori informazioni, consulta le informazioni sui risultati soppressi.

• La registrazione degli accessi per il (normale) bucket di registrazione nell'account Log Archive è rimasta invariata nella versione 3.1. In linea con le migliori pratiche, gli eventi di accesso per quel bucket vengono registrati come voci di registro nel bucket di registrazione degli accessi. Per ulteriori informazioni sulla registrazione degli accessi, consulta Registrazione delle richieste utilizzando la registrazione degli accessi al server nella documentazione di Amazon S3.

• Abbiamo aggiornato il controllo Region Deny. Questo aggiornamento consente azioni da parte di più servizi globali. Per maggiori dettagliSCP, consulta Negare l'accesso a AWS in base alla richiesta Regione AWSe controlli che migliorano la protezione della residenza dei dati.

  Servizi globali aggiunti:

  • AWS Account Management (account:*)

  • AWS Attiva (activate:*)

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • Marketplace AWS (discovery-marketplace:*)

  • Amazon ECR (ecr-public:*)

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS Lightsail () lightsail:Get*

  • Esploratore di risorse AWS (resource-explorer-2:*)

  • Amazon S3 (s3:CreateMultiRegionAccessPoint,,s3:GetBucketPolicyStatus) s3:PutMultiRegionAccessPointPolicy

  • AWS Savings Plans (savingsplans:*)

  • IAMIdentity Center (sso:*)

  • AWS Support App (supportapp:*)

  • AWS Support Piani (supportplans:*)

  • AWS Sostenibilità (sustainability:*)

  • AWS Resource Groups Tagging API (tag:GetResources)

  • Marketplace AWS Informazioni sui fornitori () vendor-insights:ListEntitledSecurityProfiles