2022 年 1 月~12 月 - AWS Control Tower
同時アカウント操作Account Factory Customization (AFC)包括的なコントロールによる AWS リソースのプロビジョニングと管理のサポートすべての AWS Config ルールで表示可能なコンプライアンスステータスコントロールの API と新しい AWS CloudFormation リソースCfCT がスタックセットの削除をサポートカスタマイズされたログの保持ロールドリフト修復可能AWS Control Tower ランディングゾーンバージョン 3.0OU とアカウントのビューが組み合わされた組織ページ個々のメンバーアカウントの登録と更新が容易にAFT は、AWS Control Tower の共有アカウントの自動カスタマイズをサポートしますすべてのオプションのコントロールの同時操作既存のセキュリティアカウントとログアカウントAWS Control Tower ランディングゾーンバージョン 2.9AWS Control Tower ランディングゾーンバージョン 2.8

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

2022 年 1 月~12 月

2022 年、AWS Control Tower は次の更新をリリースしました。

同時アカウント操作

2022 年 12 月 16 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower で、Account Factory の同時実行アクションがサポートされるようになりました。一度に最大 5 つのアカウントを作成、更新、または登録できるようになります。最大 5 つのアクションを連続して送信し、各リクエストの完了状況を確認できます。その間、アカウントの作成はバックグラウンドで完了します。たとえば、別のアカウントを更新したり、組織単位 (OU) 全体を再登録したりする前に、各プロセスが完了するのを待つ必要がなくなります。

Account Factory Customization (AFC)

2022 年 11 月 28 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

Account Factory Customization を使用すると、AWS Control Tower コンソール内から新しいアカウントと既存のアカウントをカスタマイズできます。これらの新しいカスタマイズ機能により、特殊な Service Catalog 製品に含まれる AWS CloudFormation テンプレートであるアカウントのブループリントを柔軟に定義できます。ブループリントにより、完全にカスタマイズされたリソースと構成がプロビジョニングされます。また、特定のユースケースに合わせてアカウントをカスタマイズするのに役立つ、 AWS パートナーによって作成および管理される定義済みのブループリントを使用することもできます。

これまで、AWS Control Tower の Account Factory では、コンソールでのアカウントのカスタマイズをサポートしていませんでした。Account Factory の今回の更新により、アカウント要件を事前に定義して、明確に定義されたワークフローの一部として実装できます。ブループリントを適用して、新しいアカウントの作成、AWS Control Tower への他の AWS アカウントの登録、既存の AWS Control Tower アカウントの更新を行うことができます。

Account Factory でアカウントをプロビジョニング、登録、または更新するとき、デプロイするブループリントを選択します。ブループリントで指定されているリソースは、アカウントでプロビジョニングされます。アカウントの作成が完了すると、すべてのカスタム構成をすぐに使用できます。

アカウントのカスタマイズを開始するには、Service Catalog 製品で目的のユースケースに合わせてリソースを定義します。 AWS 入門ライブラリからパートナーマネージドソリューションを選択することもできます。詳細については、「Account Factory Customization を使用してアカウントをカスタマイズする (AFC)」を参照してください。

包括的なコントロールによる AWS リソースのプロビジョニングと管理のサポート

2022 年 11 月 28 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、 AWS CloudFormation フックを通じて実装される新しいオプションのプロアクティブコントロールを含む包括的なコントロール管理をサポートするようになりました。これらのコントロールは、リソースをデプロイする前にリソースをチェックして、新しいリソースが環境内で有効になっているコントロールに準拠しているかどうかを判断するため、プロアクティブと呼ばれます。

130 を超える新しいプロアクティブコントロールは、AWS Control Tower 環境の特定のポリシー目標の達成、業界標準のコンプライアンスフレームワークの要件を満たすこと、その他 20 を超える AWS のサービスでの AWS Control Tower のやり取りの管理に役立ちます。

AWS Control Tower コントロールライブラリは、関連する AWS サービスとリソースに従ってこれらのコントロールを分類します。詳細については、「Proactive controls」を参照してください。

このリリースでは、AWS Control Tower は AWS Security Hub、 AWS Foundational Security Best Practices (FSBP) 標準をサポートする新しい Security Hub Service-Managed Standard: AWS Control Tower によって とも統合されています。160 を超える Security Hub コントロールと AWS Control Tower コントロールをコンソールで表示し、AWS Control Tower 環境の Security Hub セキュリティスコアを取得できます。詳細については、「Security Hub controls」を参照してください。

すべての AWS Config ルールで表示可能なコンプライアンスステータス

2022 年 11 月 18 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、AWS Control Tower に登録された組織単位にデプロイされたすべての AWS Config ルールのコンプライアンスステータスを表示するようになりました。AWS Control Tower コンソールの外に移動しなくても、登録済みまたは未登録の AWS Control Tower のアカウントに影響するすべての AWS Config ルールのコンプライアンスステータスを表示できます。お客様は、検出コントロールと呼ばれる Config ルールを AWS Control Tower で設定するか、 AWS Config サービスを通じて直接設定するかを選択できます。によってデプロイされたルール AWS Config と、AWS Control Tower によってデプロイされたルールが表示されます。

以前は、 AWS Config サービスを通じてデプロイされた AWS Config ルールは AWS Control Tower コンソールに表示されませんでした。お客様は、非準拠 AWS Config ルールを特定するために AWS Config サービスに移動する必要がありました。これで、AWS Control Tower コンソール内で非準拠 AWS Config ルールを特定できます。すべての設定ルールのコンプライアンスステータスを確認するには、AWS Control Tower コンソールの [Account details] (アカウントの詳細) のページに移動します。AWS Control Tower によって管理されるコントロールと AWS Control Tower の外部でデプロイされた設定ルールのコンプライアンスステータスを示すリストが表示されます。

コントロールの API と新しい AWS CloudFormation リソース

2022 年 9 月 1 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、一連の API コールによるコントロール (ガードレールとも呼ばれる) の、プログラムによる管理をサポートするようになりました。新しい AWS CloudFormation リソースは、コントロールの API 機能をサポートしています。詳細については、「 AWS Control Tower でタスクを自動化する 」および「 で AWS Control Tower リソースを作成する AWS CloudFormation」を参照してください。

これらの API により、AWS Control Tower ライブラリでコントロールの有効化、無効化、およびアプリケーションステータスの表示を行うことができます。APIs には のサポートが含まれているため AWS CloudFormation、Infrastructure infrastructure-as-code (IaC) として AWS リソースを管理できます。AWS Control Tower は、組織単位 (OU) 全体と OU 内のすべての AWS アカウントに関するポリシーの意図を表すオプションの予防コントロールと検出コントロールを提供します。これらのルールは、新しいアカウントを作成したり、既存のアカウントを変更したりしても、有効に存続します。

このリリースに含まれる API

  • EnableControl — この API コールはコントロールをアクティブにします。非同期オペレーションを開始して、指定した組織単位とその組織単位内のアカウントの AWS リソースを作成します。

  • DisableControl — この API コールは、コントロールをオフにします。非同期オペレーションを開始して、指定した組織単位とその組織単位内のアカウントの AWS リソースを削除します。

  • GetControlOperation — 特定の EnableControl オペレーションまたは DisableControl オペレーションのステータスを返します。

  • ListEnabledControls — 指定した組織単位とその組織単位内のアカウントで、AWS Control Tower によって有効化されたコントロールを一覧表示します。

オプションコントロールのコントロール名のリストを表示するには、「AWS Control Tower Controls Reference Guide」の「Resource identifiers for APIs and controls」を参照してください。

CfCT がスタックセットの削除をサポート

2022 年 8 月 26 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower のカスタマイズ (CfCT) は、manifest.yaml ファイルのパラメータを設定することで、スタックセットの削除をサポートするようになりました。詳細については、「スタックセットの削除」を参照してください。

重要

最初に enable_stack_set_deletion の値を true に設定すると、次回 CfCT を呼び出したときに、プレフィックス CustomControlTower- で始まるすべてのリソースのうち、キータグ Key:AWS_Solutions, Value: CustomControlTowerStackSet が関連付けられているリソースと、マニフェストファイルに宣言されていないリソースは、削除対象としてステージングされます。

カスタマイズされたログの保持

2022 年 8 月 15 日

(AWS Control Tower ランディングゾーンの更新が必要です。詳細については、「ランディングゾーンを更新する」を参照してください。)

AWS Control Tower は、AWS Control Tower CloudTrail ログを保存する Amazon S3 バケットの保持ポリシーをカスタマイズする機能を提供するようになりました。日単位または年単位で最大 15 年まで保存するという Amazon S3 ログ保持ポリシーをカスタマイズできます。

ログの保持をカスタマイズしない場合、デフォルト設定は、標準アカウントのログ記録で 1 年、アクセスログで 10 年です。

この機能は、ランディングゾーンを更新または修復する際は AWS Control Tower を介して既存のお客様が、AWS Control Tower のセットアッププロセスを通じて新規のお客様が利用できます。

ロールドリフト修復可能

2022 年 8 月 11 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower では、ロールドリフトの修復がサポートされるようになりました。ランディングゾーンを完全に修復しなくても、必要なロールを復元できます。このタイプのドリフト修復が必要な場合、コンソールのエラーページにロールを復元する手順が示され、ランディングゾーンが再び使用可能になります。

AWS Control Tower ランディングゾーンバージョン 3.0

2022 年 7 月 29 日

(AWS Control Tower のランディングゾーンをバージョン 3.0 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください)

AWS Control Tower ランディングゾーンバージョン 3.0 には、次の更新が含まれています。

  • 組織レベルの AWS CloudTrail 証跡を選択するか、AWS Control Tower によって管理される CloudTrail 証跡をオプトアウトするオプション。

  • AWS CloudTrail がアカウントでアクティビティをログ記録しているかどうかを決定する 2 つの新しい検出コントロール。

  • ホームリージョン内のグローバルリソース AWS Config に関する情報のみを集約するオプション。

  • リージョン拒否コントロールの更新。

  • 管理ポリシー AWSControlTowerServiceRolePolicy の更新。

  • 各登録アカウントで、IAM ロール aws-controltower-CloudWatchLogsRole と CloudWatch ロググループ aws-controltower/CloudTrailLogs を作成しなくなりました。以前は、アカウント証跡用に各アカウントでこれらを作成していました。組織証跡では、管理アカウントに 1 つだけ作成します。

次のセクションでは、各能力タイプの詳細を示します。

AWS Control Tower の組織レベルの CloudTrail 証跡

ランディングゾーンバージョン 3.0 では、AWS Control Tower が組織レベルの AWS CloudTrail 証跡をサポートするようになりました。

AWS Control Tower ランディングゾーンをバージョン 3.0 に更新する場合、ログ記録の設定として組織レベルの AWS CloudTrail 証跡を選択するか、AWS Control Tower によって管理される CloudTrail 証跡をオプトアウトするかを選択できます。バージョン 3.0 に更新すると、AWS Control Tower は 24 時間の待機期間後に登録済みアカウントの既存のアカウントレベルの証跡を削除します。AWS Control Tower は、未登録アカウントのアカウントレベルの証跡は削除しません。万一ランディングゾーンの更新が正常に行われず、AWS Control Tower が組織レベルの証跡を既に作成した後で障害が発生した場合、更新オペレーションを正常に完了できるようになるまで、組織レベルの証跡とアカウントレベルの証跡に対して請求が二重に発生する可能性があります。

ランディングゾーン 3.0 以降、AWS Control Tower は が AWS 管理するアカウントレベルの証跡をサポートしなくなりました。代わりに、AWS Control Tower は、お客様の選択に応じて、アクティブまたは非アクティブの組織レベルの証跡を作成します。

注記

バージョン 3.0 以降に更新後、AWS Control Tower によって管理されるアカウントレベルの CloudTrail 証跡作成を続行するオプションはありません。

ログは保存されている既存の Amazon S3 バケットに残っているため、集約されたアカウントログからログデータが失われることはありません。証跡のみが削除され、既存のログは削除されません。組織レベルの証跡を追加するオプションを選択すると、AWS Control Tower は Amazon S3 バケット内の新しいフォルダへの新しいパスを開き、その場所にログ情報を送信し続けます。AWS Control Tower によって管理される証跡をオプトアウトすることを選択した場合、既存のログは変更されずにバケットに残ります。

ログストレージのパス命名規則

  • アカウント証跡ログは、次の形式のパスで保存されます。/org id/AWSLogs/…

  • アカウント証跡ログは、次の形式のパスで保存されます。/org id/AWSLogs/org id/…

AWS Control Tower が組織レベルの CloudTrail 証跡用に作成するパスは、手動で作成する組織レベルの証跡のデフォルトパス (以下の形式) とは異なります。

  • /AWSLogs/org id/…

CloudTrail のパス命名の詳細については、「CloudTrail ログファイルの検索」を参照してください。

ヒント

独自のアカウントレベルの証跡を作成して管理する場合は、AWS Control Tower のランディングゾーンバージョン 3.0 への更新を完了する前に新しい証跡を作成して、すぐにログ記録を開始することをお勧めします。

新しいアカウントレベルまたは組織レベルの CloudTrail 証跡を随時作成し、自分で管理することを選択できます。AWS Control Tower によって管理される組織レベルの CloudTrail 証跡を選択するオプションは、バージョン 3.0 以降へのランディングゾーン更新中に利用できます。ランディングゾーンを更新するたびに、組織レベルの証跡をオプトイン/オプトアウトできます。

ログがサードパーティサービスによって管理されている場合は、必ずそのサービスに新しいパス名を提供してください。

注記

バージョン 3.0 以降のランディングゾーンでは、アカウントレベルの AWS CloudTrail 証跡は AWS Control Tower ではサポートされていません。アカウントレベルの証跡は随時作成して維持するか、AWS Control Tower によって管理される組織レベルの証跡情報にオプトインすることができます。

ホームリージョンでのみ AWS Config リソースを記録する

ランディングゾーンバージョン 3.0 では、AWS Control Tower で AWS Config のベースライン設定が更新され、ホームリージョンのみでグローバルリソースが記録されるようになります。バージョン 3.0 にアップデートした後、グローバルリソースのリソース記録がホームリージョンでのみ有効化されます。

この設定はベストプラクティスであるとみなされています。 AWS Security Hub と が推奨し AWS Config、グローバルリソースの作成、変更、または削除時に作成される設定項目の数を減らすことでコスト削減を実現します。以前は、グローバルリソースがお客様または AWS サービスにより作成、更新、または削除されるたびに、設定項目が管理対象の各リージョンの各項目に対して作成されていました。

AWS CloudTrail ログのための 2 つの新しい検出コントロール

組織レベルの AWS CloudTrail 証跡の変更の一環として、AWS Control Tower は CloudTrail が有効になっているかどうかを確認する 2 つの新しい検出コントロールを導入しています。最初のコントロールには必須ガイダンスがあり、3.0 以降のセットアップまたはランディングゾーン更新中にセキュリティ OU で有効になります。2 番目のコントロールは強く推奨されるガイダンスがあり、必須のコントロール保護が既に実装されているセキュリティ OU 以外の任意の OU にオプションで適用されます。

必須コントロール: セキュリティ組織単位の共有アカウントで AWS CloudTrail または CloudTrail Lake が有効になっているかどうかを検出する

強く推奨されるコントロール: アカウントで AWS CloudTrail または CloudTrail Lake が有効になっているかどうかを検出する

新しいコントロールの詳細については、「The AWS Control Tower controls library」を参照してください。

リージョン拒否コントロールの更新

リージョン拒否コントロールの NotAction リストを更新して、以下にリストされているいくつかの追加サービスによるアクションを含めました。


            “chatbot:*”,
            "s3:GetAccountPublic",
            "s3:DeleteMultiRegionAccessPoint", 
            "s3:DescribeMultiRegionAccessPointOperation", 
            "s3:GetMultiRegionAccessPoint", 
            "s3:GetMultiRegionAccessPointPolicy", 
            "s3:GetMultiRegionAccessPointPolicyStatus",
            "s3:ListMultiRegionAccessPoints",
            "s3:GetStorageLensConfiguration", 
            “s3:GetStorageLensDashboard", 
            “s3:ListStorageLensConfigurations”
            “s3:GetAccountPublicAccessBlock“,,
            “s3:PutAccountPublic", 
            “s3:PutAccountPublicAccessBlock“,

動画チュートリアル

このビデオ (3:07) では、既存の AWS Control Tower ランディングゾーンをバージョン 3 に更新する方法について説明しています。動画の右下にあるアイコンを選択すると、全画面表示にできます。字幕を利用できます。

OU とアカウントのビューが組み合わされた組織ページ

2022 年 7 月 18 日

(AWS Control Tower ランディングゾーンの更新は不要です)

AWS Control Tower の新しい [Organization] (組織) ページには、すべての組織単位 (OU) とアカウントの階層的なビューが表示されます。ここでは、以前の [OU] ページと [Accounts] ページに表示されていた情報が表示されます。

新しいページでは、親 OU と、そのネストされた OU およびアカウントとの関係を確認することができ、リソースのグループに対してアクションを実行できます。ページビューを構成できます。例えば、階層ビューを展開することや折りたたむことに加えて、ビューをフィルターしてアカウントまたは OU のみを表示すること、登録済みアカウントと登録済みの OU のみを表示すること、関連リソースのグループを表示することができます。組織全体が適切に更新されていることを簡単に確認できます。

個々のメンバーアカウントの登録と更新が容易に

2022 年 5 月 31 日

(AWS Control Tower ランディングゾーンの更新は不要です)

AWS Control Tower は、メンバーアカウントを個別に更新および登録するための改善された機能を提供するようになりました。各アカウントには更新可能な日時が表示されるため、メンバーアカウントに最新の設定が含まれていることをより簡単に確認できます。わずか数ステップの効率的な方法で、ランディングゾーンを更新したり、アカウントドリフトを修正したり、アカウントを登録済み OU に登録したりできます。

アカウントを更新するとき、各更新アクションにアカウントの組織単位 (OU) 全体を含める必要はありません。その結果、個々のアカウントの更新に必要な時間が大幅に短縮されます。

AWS Control Tower コンソールのより充実したヘルプを使用して、AWS Control Tower OU にアカウントを登録できます。AWS Control Tower に登録する既存のアカウントは、アカウントの前提条件を引き続き満たしている必要があり、AWSControlTowerExecution ロールを追加する必要があります。次に、任意の登録済みの OU を選択し、[Enroll] (登録) ボタンを選択してその OU にアカウントを登録できます。

Account Factory の [Create] (作成) アカウントのワークフローから [Enroll account] (アカウントの登録) 機能を分離して、これらの類似したプロセスをより区別し、アカウント情報を入力するときの設定エラーを回避できるようにしました。

AFT は、AWS Control Tower の共有アカウントの自動カスタマイズをサポートします

2022 年 5 月 27 日

(AWS Control Tower ランディングゾーンの更新は不要です)

Account Factory for Terraform (AFT) では、AWS Control Tower で管理されているアカウント (管理アカウント、監査アカウント、ログアーカイブアカウントなど) を登録済みアカウントとともに、プログラムでカスタマイズおよび更新できるようになりました。アカウントのカスタマイズと更新の管理を一元化するとともに、アカウント設定のセキュリティを保護できます (この作業を実行するロールの適用範囲はユーザーが決めます)。

既存の AWSAFTExecution ロールが、すべてのアカウントにカスタマイズをデプロイするようになりました。IAM の許可をセットアップするには、ビジネス要件とセキュリティ要件に応じて、AWSAFTExecution ロールのアクセス権を制限する境界を使用できます。また、そのロールに承認されたカスタマイズの許可を、信頼されたユーザーにプログラムで委任することもできます。ベストプラクティスとして、必要なカスタマイズをデプロイする必要があるユーザーだけに許可を制限することをお勧めします。

AFT は、新しい AWSAFTService ロールを作成して、共有アカウントと管理アカウントを含むすべてのマネージドアカウントに AFT リソースをデプロイするようになりました。リソースは、以前は、AWSAFTExecution ロールによってデプロイされていました。

AWS Control Tower の共有アカウントと管理アカウントは Account Factory を通じてプロビジョニングされないため、対応するプロビジョニング済み製品はありません AWS Service Catalog。したがって、Service Catalog では共有アカウントと管理アカウントを更新できません。

すべてのオプションのコントロールの同時操作

2022 年 5 月 18 日

(AWS Control Tower ランディングゾーンの更新は不要です)

AWS Control Tower は、予防コントロールと検出コントロールの同時操作をサポートするようになりました。

この新しい機能により、すべてのオプションのコントロールを同時に適用または削除できるため、これらのコントロールの使いやすさとパフォーマンスが向上します。個々のコントロールの操作が完了するまで待たずに、複数のオプションのコントロールを有効にできます。同時操作が制限されるのは、AWS Control Tower がランディングゾーンのセットアップ中であるか、新しい組織にガバナンスを拡張中である場合だけです。

予防コントロールでサポートされる機能は以下のとおりです。

  • 同じ OU に対して複数の異なる予防コントロールを適用または削除する。

  • 複数の異なる予防コントロールを複数の異なる OU に対して同時に適用または削除します。

  • 同じ予防コントロールを複数の異なる OU に対して同時に適用または削除します。

  • 任意の数の予防コントロールと検出コントロールを同時に適用または削除できます。

AWS Control Tower のすべてのリリース済みバージョンで、これらのコントロールの同時実行の機能強化を体験できます。

予防コントロールは、ネストされた OU に適用すると、ターゲット OU の下にネストされたすべてのアカウントと OU に影響します。これらのアカウントや OU が AWS Control Tower に登録されていない場合でも影響を受けます。予防コントロールは、その一部であるサービスコントロールポリシー (SCPs) を使用して実装されます AWS Organizations。検出コントロールは AWS Config ルールを使用して実装されます。ガードレールは、新しいアカウントを作成したり、既存のアカウントを変更したりしても有効に存続します。AWS Control Tower は、各アカウントが有効なポリシーにどのように準拠しているかを示すサマリーレポートを提供します。使用可能なコントロールの完全なリストについては、「The AWS Control Tower controls library」を参照してください。

既存のセキュリティアカウントとログアカウント

2022 年 5 月 16 日

(初期セットアップ時に使用可能)

AWS Control Tower では、最初のランディングゾーンのセットアッププロセス中に、既存の AWS アカウントを AWS Control Tower のセキュリティアカウントまたはログ記録アカウントとして指定できるようになりました。このオプションを使用すると、AWS Control Tower は新しい共有アカウントを作成する必要がなくなります。セキュリティアカウント (デフォルトでは、監査アカウントと呼ばれます) は、セキュリティチームとコンプライアンスチームに対してランディングゾーンのすべてのアカウントへのアクセスを許可する制限付きアカウントです。ログアカウント (デフォルトでは、ログアーカイブアカウントと呼ばれます) は、リポジトリとして機能します。このアカウントには、ランディングゾーンのすべてのアカウントからの API アクティビティとリソース設定のログが保存されます。

既存のセキュリティアカウントとログアカウントを使用することで、AWS Control Tower のガバナンスを既存の組織に拡張したり、別のランディングゾーンから AWS Control Tower に移動したりすることが容易になります。既存のアカウントを使用するオプションは、ランディングゾーンの最初のセットアップ時に表示されます。これには、セットアッププロセス中のチェックも含まれ、デプロイが正常に完了したことが確認されます。AWS Control Tower は、既存のアカウントに必要なロールとコントロールを実装します。これらのアカウントにある既存のリソースやデータは削除またはマージされません。

制限: 既存の AWS アカウントを監査アカウントおよびログアーカイブアカウントとして AWS Control Tower に持ち込む予定で、それらのアカウントに既存の AWS Config リソースがある場合は、AWS Control Tower にアカウントを登録する前に既存の AWS Config リソースを削除する必要があります。

AWS Control Tower ランディングゾーンバージョン 2.9

2020 年 4 月 22 日

(AWS Control Tower のランディングゾーンをバージョン 2.9 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください)

AWS Control Tower のランディングゾーンバージョン 2.9 は、Python バージョン 3.9 ランタイムを使用するように通知フォワーダー Lambda を更新します。この更新プログラムは、2022 年 7 月に予定されている Python バージョン 3.6 の非推奨化に対処します。最新情報については、Python の非推奨化に関するページを参照してください。

AWS Control Tower ランディングゾーンバージョン 2.8

2022 年 2 月 10 日

(AWS Control Tower のランディングゾーンをバージョン 2.8 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください。)

AWS Control Tower ランディングゾーンバージョン 2.8 は、「AWS の基本的なセキュリティのベストプラクティス」の最新の更新に合わせて機能が追加されています。

このリリースでは:

  • 既存の S3 アクセスログバケットへのアクセスを追跡するために、ログアーカイブアカウントのアクセスログバケットに対してアクセスログが設定されました。

  • ライフサイクルポリシーのサポートが追加されました。既存の S3 アクセスログバケットのアクセスログは、デフォルトの保持期間の 10 年に設定されます。

  • さらに、このリリースでは、AWS Control Tower が更新され、すべてのマネージドアカウント (管理アカウントを除く) で が提供する AWS サービスリンクロール (SLR) が使用されるため AWS Config、 AWS Config ベストプラクティスに合わせて Config ルールを設定および管理できます。アップグレードを行わないお客様は、引き続き既存のロールを使用することになります。

  • このリリースでは、 AWS Config データを暗号化するための AWS Control Tower KMS 設定プロセスが合理化され、CloudTrail の関連するステータスメッセージングが改善されました。

  • このリリースには、リージョン拒否コントロールの更新が含まれており、us-west-2route53-application-recovery 機能を使用できるようになりました。

  • 更新: 2022 年 2 月 15 日に、 AWS Lambda 関数のデッドレターキューを削除しました。

その他の詳細:

  • ランディングゾーンを廃止しても、AWS Control Tower は、 AWS Config サービスにリンクされたロールを削除しません。

  • Account Factory アカウントのプロビジョニングを解除しても、AWS Control Tower は、 AWS Config サービスにリンクされたロールを削除しません。

ランディングゾーンを 2.8 に更新するには、[Landing zone settings] (ランディングゾーンの設定) ページに移動し、2.8 バージョンを選択して、[Update] (更新) を選択します。ランディングゾーンを更新したら、「AWS Control Tower の設定更新管理」に示すように、AWS Control Tower によって管理されているすべてのアカウントを更新する必要があります。