2023년 1월 - 12월

• 새 AWS Service Catalog 외부 제품 유형으로 전환(3단계)

• AWS Control Tower 랜딩 존 버전 3.3

• 새 AWS Service Catalog 외부 제품 유형으로 전환(2단계)

• AWS Control Tower에서 디지털 주권을 지원하기 위한 제어 발표

• AWS Control Tower에서 랜딩 존 API 지원

• AWS Control Tower가 활성화된 제어에 대해 태그 지정을 지원함

• 아시아 태평양(멜버른) 리전에서 AWS Control Tower 사용 가능

• 새 AWS Service Catalog 외부 제품 유형으로 전환(1단계)

• 새 제어 API 사용 가능

• AWS Control Tower에서 추가 제어 추가

• 새 드리프트 유형이 보고됨: 신뢰할 수 있는 액세스가 비활성화됨

• 4개의 추가 AWS 리전

• 텔아비브 리전에서 AWS Control Tower 사용 가능

• AWS Control Tower에서 28개의 새로운 선제적 제어 출시

• AWS Control Tower, 두 가지 제어 사용 중단

• AWS Control Tower 랜딩 존 버전 3.2

• AWS Control Tower에서 ID를 기반으로 계정 처리

• AWS Control Tower 제어 라이브러리에서 사용 가능한 추가 Security Hub 탐지 제어

• AWS Control Tower에서 제어 메타데이터 표 게시

• Account Factory 사용자 지정에 대한 Terraform 지원

• 랜딩 존에서 AWS IAM Identity Center 자체 관리 사용 가능

• AWS Control Tower에서 OU의 혼합 거버넌스 해결

• 추가 선제적 제어 사용 가능

• Amazon EC2 선제적 제어 업데이트

• 7개의 추가 AWS 리전 사용 가능

• Account Factory for Terraform(AFT) 계정 사용자 지정 요청 추적

• AWS Control Tower 랜딩 존 버전 3.1

• 선제적 제어 일반 공개

랜딩 존 리전 거부 제어 업데이트

• discovery-marketplace:가 제거되었습니다. 이 작업은 aws-marketplace:* 면제의 적용을 받습니다.

• quicksight:DescribeAccountSubscription 추가됨

새로운 선제적 제어

• CT.APIGATEWAY.PR.6: Amazon API Gateway REST 도메인이 TLSv1.2의 최소 TLS 프로토콜 버전을 지정하는 보안 정책을 사용해야 함

• CT.APPSYNC.PR.2: AWS AppSync GraphQL API가 프라이빗 가시성으로 구성되어야 함

• CT.APPSYNC.PR.3: AWS AppSync GraphQL API가 API 키로 인증되지 않아야 함

• CT.APPSYNC.PR.4: AWS AppSync GraphQL API 캐시에 전송 중 암호화를 활성화해야 함

• CT.APPSYNC.PR.5: AWS AppSync GraphQL API 캐시에 저장 시 암호화를 활성화해야 함

• CT.AUTOSCALING.PR.9: Amazon EC2 Auto Scaling 시작 구성을 통해 구성된 Amazon EBS 볼륨이 저장 데이터를 암호화해야 함

• CT.AUTOSCALING.PR.10: Amazon EC2 Auto Scaling 그룹이 시작 템플릿을 재정의할 때 AWS Nitro 인스턴스 유형만 사용해야 함

• CT.AUTOSCALING.PR.11: 시작 템플릿을 재정의할 때 인스턴스 간 네트워크 트래픽 암호화를 지원하는 AWS Nitro 인스턴스 유형만 Amazon EC2 Auto Scaling 그룹에 추가해야 함

• CT.DAX.PR.3: DynamoDB Accelerator 클러스터가 전송 중 데이터를 Transport Layer Security(TLS)로 암호화해야 함

• CT.DMS.PR.2: AWS Database Migration Service(DMS) 엔드포인트가 소스 및 대상 엔드포인트의 연결을 암호화해야 함

• CT.EC2.PR.15: Amazon EC2 인스턴스가 AWS::EC2::LaunchTemplate 리소스 유형을 사용하여 생성할 때 AWS Nitro 인스턴스 유형을 사용해야 함

• CT.EC2.PR.16: Amazon EC2 인스턴스가 AWS::EC2::Instance 리소스 유형을 사용하여 생성될 때 AWS Nitro 인스턴스 유형을 사용해야 함

• CT.EC2.PR.17: Amazon EC2 전용 호스트가 AWS Nitro 인스턴스 유형을 사용해야 함

• CT.EC2.PR.18: Amazon EC2 Fleet이 AWS Nitro 인스턴스 유형을 포함한 시작 템플릿만 재정의해야 함

• CT.EC2.PR.19: Amazon EC2 인스턴스가 AWS::EC2::Instance 리소스 유형을 사용하여 생성될 때 인스턴스 간 전송 중 암호화를 지원하는 Nitro 인스턴스 유형을 사용해야 함

• CT.EC2.PR.20: Amazon EC2 Fleet이 인스턴스 간 전송 중 암호화를 지원하는 AWS Nitro 인스턴스 유형을 포함한 시작 템플릿만 재정의해야 함

• CT.ELASTICACHE.PR.8: 최신 Redis 버전의 Amazon ElastiCache 복제 그룹이 RBAC 인증을 활성화해야 함

• CT.MQ.PR.1: Amazon MQ ActiveMQ 브로커가 고가용성을 위해 활성/대기 배포 모드를 사용해야 함

• CT.MQ.PR.2: Amazon MQ Rabbit MQ 브로커가 고가용성을 위해 다중 AZ 클러스터 모드를 사용해야 함

• CT.MSK.PR.1: Amazon Managed Streaming for Apache Kafka(MSK) 클러스터가 클러스터 브로커 노드 간 전송 중 암호화를 강제해야 함

• CT.MSK.PR.2: Amazon Managed Streaming for Apache Kafka(MSK) 클러스터가 PublicAccess를 비활성화하도록 구성되어야 함

• CT.NETWORK-FIREWALL.PR.5: AWS Network Firewall 방화벽이 복수 가용 영역에 배포되어야 함

• CT.RDS.PR.26: Amazon RDS DB 프록시가 Transport Layer Security(TLS) 연결을 요구해야 함

• CT.RDS.PR.27: Amazon RDS DB 클러스터 파라미터 그룹이 지원되는 엔진 유형에 대해 Transport Layer Security(TLS) 연결을 요구해야 함

• CT.RDS.PR.28: Amazon RDS DB 파라미터 그룹이 지원되는 엔진 유형에 대해 Transport Layer Security(TLS) 연결을 요구해야 함

• CT.RDS.PR.29: Amazon RDS 클러스터가 'PubliclyAccessible' 속성을 통해 퍼블릭 액세스가 가능하도록 구성되지 않아야 함

• CT.RDS.PR.30: Amazon RDS 데이터베이스 인스턴스가 지원되는 엔진 유형에 대해 지정된 KMS 키를 사용하여 저장 중 암호화를 구성해야 함

• CT.S3.PR.12: Amazon S3 Access Points가 모든 옵션이 true로 설정된 Block Public Access(BPA) 구성을 가져야 함

새로운 예방 제어

• CT.APPSYNC.PV.1 AWS AppSync GraphQL API가 프라이빗 가시성으로 구성되어야 함

• CT.EC2.PV.1 Amazon EBS 스냅샷이 암호화된 EC2 볼륨에서 생성되어야 함

• CT.EC2.PV.2 연결된 Amazon EBS 볼륨이 저장 데이터를 암호화하도록 구성되어야 함

• CT.EC2.PV.3 Amazon EBS 스냅샷이 공개적으로 복원 가능하지 않아야 함

• CT.EC2.PV.4 Amazon EBS 다이렉트 API가 호출되지 않아야 함

• CT.EC2.PV.5 Amazon EC2 VM 가져오기 및 내보내기 사용 허용 안 함

• CT.EC2.PV.6 사용 중단된 Amazon EC2 RequestSpotFleet 및 RequestSpotInstances API 작업 사용 허용 안 함

• CT.KMS.PV.1 AWS KMS 키 정책에 AWS 서비스에 대한 AWS KMS 권한 부여 생성을 제한하는 문구가 포함되어야 함

• CT.KMS.PV.2 암호화에 사용되는 RSA 키 구성 요소가 있는 AWS KMS 비대칭 키의 키 길이가 2048비트가 아니어야 함

• CT.KMS.PV.3 우회 정책 잠금 안전 검사를 활성화한 상태로 AWS KMS 키를 구성해야 함

• CT.KMS.PV.4 AWS KMS 고객 관리형 키(CMK)가 AWS CloudHSM에서 시작된 키 구성 요소로 구성되어야 함

• CT.KMS.PV.5 AWS KMS 고객 관리형 키(CMK)를 가져온 키 구성 요소로 구성해야 함

• CT.KMS.PV.6 AWS KMS 고객 관리형 키(CMK)가 외부 키 저장소(XKS)에서 시작된 키 구성 요소로 구성되어야 함

• CT.LAMBDA.PV.1 AWS Lambda 함수 URL이 AWS IAM 기반 인증을 사용해야 함

• CT.LAMBDA.PV.2 AWS 계정 내 보안 주체만 액세스할 수 있도록 AWS Lambda 함수 URL을 구성해야 함

• CT.MULTISERVICE.PV.1: 조직 단위에 대해 요청된 AWS 리전을 기반으로 AWS에 대한 액세스 거부

새로운 탐지 제어

• SH.ACM.2: ACM에서 관리하는 RSA 인증서는 2,048비트 이상의 키 길이를 사용해야 함

• SH.AppSync.5: AWS AppSync GraphQL API는 API 키로 인증해서는 안 됨

• SH.CloudTrail.6: CloudTrail 로그를 저장하는 데 사용된 S3 버킷에 대한 퍼블릭 액세스가 불가능해야 함

• SH.DMS.9: DMS 엔드포인트는 SSL을 사용해야 함

• SH.DocumentDB.3: Amazon DocumentDB 수동 클러스터 스냅샷은 퍼블릭이 아니어야 함

• SH.DynamoDB.3: DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화되어야 함

• SH.EC2.23: EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 함

• SH.EKS.1: EKS 클러스터 엔드포인트는 퍼블릭 액세스가 불가능해야 함

• SH.ElastiCache.3: ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 함

• SH.ElastiCache.4: ElastiCache 복제 그룹에는 저장 시 암호화가 활성화되어 있어야 함

• SH.ElastiCache.5: ElastiCache 복제 그룹에는 전송 중 암호화가 활성화되어 있어야 함

• SH.ElastiCache.6: 이전 Redis 버전의 ElastiCache 복제 그룹에는 Redis AUTH가 활성화되어 있어야 함

• SH.EventBridge.3: EventBridge 사용자 지정 이벤트 버스에 리소스 기반 정책이 연결되어 있어야 함

• SH.KMS.4: AWS KMS 키 교체가 활성화되어야 함

• SH.Lambda.3: Lambda 함수는 VPC에 있어야 함

• SH.MQ.5: ActiveMQ 브로커는 활성/대기 배포 모드를 사용해야 함

• SH.MQ.6: RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 함

• SH.MSK.1: MSK 클러스터는 브로커 노드 간에 전송 중 암호화되어야 함

• SH.RDS.12: RDS 클러스터에 대해 IAM 인증을 구성해야 함

• SH.RDS.15: RDS DB 클러스터는 복수 가용 영역에 맞게 구성해야 함

• SH.S3.17: S3 버킷은 AWS KMS 키로 저장 시 암호화되어야 함

• 업데이트된 EnableControl API는 구성 가능한 제어를 구성할 수 있습니다.

• 업데이트된 GetEnabledControl API는 활성화된 제어에 구성된 파라미터를 표시합니다.

• 새 UpdateEnabledControl API는 활성화된 제어의 파라미터를 변경할 수 있습니다.

• CreateLandingZone - 이 API 직접 호출은 랜딩 존 버전 및 매니페스트 파일을 사용하여 랜딩 존을 생성합니다.

• GetLandingZoneOperation - 이 API 직접 호출은 지정된 랜딩 존 작업의 상태를 반환합니다.

• GetLandingZone – 이 API 직접 호출은 버전, 매니페스트 파일 및 상태를 포함하여 지정된 랜딩 존에 대한 세부 정보를 반환합니다.

• UpdateLandingZone – 이 API 직접 호출은 랜딩 존 버전 또는 매니페스트 파일을 업데이트합니다.

• ListLandingZone – 이 API 직접 호출은 관리 계정의 랜딩 존 설정에 대한 하나의 랜딩 존 식별자(ARN)를 반환합니다.

• ResetLandingZone – 이 API 직접 호출은 랜딩 존을 최신 업데이트에서 지정된 파라미터로 재설정합니다. 이를 통해 드리프트를 복구할 수 있습니다. 랜딩 존이 업데이트되지 않은 경우 이 호출은 랜딩 존을 생성 시 지정된 파라미터로 재설정합니다.

• DeleteLandingZone – 이 API 직접 호출은 랜딩 존 서비스를 해제합니다.

• TagResource – 이 API 직접 호출은 AWS Control Tower에서 활성화된 제어에 태그를 추가합니다.

• UntagResource – 이 API 직접 호출은 AWS Control Tower에서 활성화된 제어에서 태그를 제거합니다.

• ListTagsForResource – 이 API 직접 호출은 AWS Control Tower에서 활성화된 제어에 대한 태그를 반환합니다.

• GetEnabledControl - 이 API 직접 호출은 활성화된 제어에 대한 세부 정보를 제공합니다.

• AWS Control Tower 제어 라이브러리에서 활성화한 모든 제어 목록을 가져옵니다.

• 활성화된 제어의 경우 제어가 지원되는 리전, 제어의 식별자(ARN), 제어의 드리프트 상태 및 제어의 상태 요약에 대한 정보를 얻을 수 있습니다.

새로운 선제적 제어

• [CT.ATHENA.PR.1] Amazon Athena 작업 그룹이 Athena 쿼리 결과를 저장 시 암호화해야 함

• [CT.ATHENA.PR.2] Amazon Athena 작업 그룹이 Athena 쿼리 결과를 AWS Key Management Service(KMS) 키를 사용하여 저장 시 암호화해야 함

• [CT.CLOUDTRAIL.PR.4] AWS KMS 키를 사용하여 저장 시 암호화를 활성화하려면 AWS CloudTrail Lake 이벤트 데이터 스토어가 필요함

• [CT.DAX.PR.2] Amazon DAX 클러스터가 최소 3개의 가용 영역에 노드를 배포해야 함

• [CT.EC2.PR.14] 저장 데이터를 암호화하려면 Amazon EC2 시작 템플릿을 통해 Amazon EBS 볼륨을 구성해야 함

• [CT.EKS.PR.2] AWS Key Management Service(AWS KMS) 키를 사용하여 보안 암호화로 Amazon EKS 클러스터를 구성해야 함

• [CT.ELASTICLOADBALANCING.PR.14] Network Load Balancer가 교차 영역 로드 밸런싱을 활성화해야 함

• [CT.ELASTICLOADBALANCING.PR.15] Elastic Load Balancing v2 대상 그룹이 교차 영역 로드 밸런싱을 명시적으로 비활성화하지 않아야 함

• [CT.EMR.PR.1] Amazon S3에서 저장 데이터를 암호화하도록 Amazon EMR(EMR) 보안 구성이 구성되어야 함

• [CT.EMR.PR.2] Amazon S3에서 AWS KMS 키를 사용하여 저장 데이터를 암호화하도록 Amazon EMR(EMR) 보안 구성이 구성되어야 함

• [CT.EMR.PR.3] AWS KMS 키를 사용하여 EBS 볼륨 로컬 디스크 암호화로 Amazon EMR(EMR) 보안 구성을 구성해야 함

• [CT.EMR.PR.4] 전송 중 데이터를 암호화하도록 Amazon EMR(EMR) 보안 구성을 구성해야 함

• [CT.GLUE.PR.1] AWS Glue 작업이 연결된 보안 구성을 가져야 함

• [CT.GLUE.PR.2] AWS Glue 보안 구성에서 AWS KMS 키를 사용하여 Amazon S3 대상의 데이터를 암호화해야 함

• [CT.KMS.PR.2] 암호화에 사용되는 RSA 키 구성 요소가 있는 AWS KMS 비대칭 키의 키 길이가 2,048비트보다 커야 함

• [CT.KMS.PR.3] AWS KMS 키 정책에 AWS 서비스에 대한 AWS KMS 권한 부여 생성을 제한하는 문구가 포함되어야 함

• [CT.LAMBDA.PR.4] AWS Lambda 계층 권한에서 AWS Organizations 또는 특정 AWS 계정에 대한 액세스 권한을 부여해야 함

• [CT.LAMBDA.PR.5] AWS Lambda 함수 URL이 AWS IAM 기반 인증을 사용해야 함

• [CT.LAMBDA.PR.6] AWS Lambda 함수 URL CORS 정책에서 특정 오리진에 대한 액세스를 제한해야 함

• [CT.NEPTUNE.PR.4] Amazon Neptune DB 클러스터에서 감사 로그에 대해 Amazon CloudWatch 로그 내보내기를 활성화해야 함

• [CT.NEPTUNE.PR.5] Amazon Neptune DB 클러스터가 백업 보존 기간을 7일 이상으로 설정해야 함

• [CT.REDSHIFT.PR.9] 전송 중 데이터 암호화에 SSL(Secure Sockets Layer)을 사용하도록 Amazon Redshift 클러스터 파라미터 그룹을 구성해야 함

• [SH.Athena.1] Athena 작업 그룹은 저장 시 암호화되어야 함

• [SH.Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 함

• [SH.Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 함

• [SH.Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 함

• [SH.Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 함

• [SH.Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 함

• [SH.Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화해야 함

• [SH.Neptune.7] Neptune DB 클러스터에는 IAM 데이터베이스 인증이 활성화되어 있어야 함

• [SH.Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 함

• [SH.RDS.27] RDS DB 클러스터는 저장 시 암호화해야 함

다음은 새 제어의 전체 목록입니다.

• [CT.APPSYNC.PR.1] AWS AppSync GraphQL API에서 로깅을 활성화해야 함

• [CT.CLOUDWATCH.PR.1] Amazon CloudWatch 경보에서 경보 상태에 대해 작업을 구성해야 함

• [CT.CLOUDWATCH.PR.2] Amazon CloudWatch 로그 그룹을 최소 1년 동안 보존해야 함

• [CT.CLOUDWATCH.PR.3] AWS KMS 키를 사용하여 저장 시 Amazon CloudWatch 로그 그룹을 암호화해야 함

• [CT.CLOUDWATCH.PR.4] Amazon CloudWatch 경보 작업을 활성화해야 함

• [CT.DOCUMENTDB.PR.1] 저장 시 Amazon DocumentDB 클러스터를 암호화해야 함

• [CT.DOCUMENTDB.PR.2] Amazon DocumentDB 클러스터에서 자동 백업을 활성화하해야 함

• [CT.DYNAMODB.PR.2] AWS KMS 키를 사용하여 저장 시 Amazon DynamoDB 테이블을 암호화해야 함

• [CT.EC2.PR.13] Amazon EC2 인스턴스에서 세부 모니터링을 활성화해야 함

• [CT.EKS.PR.1] 클러스터 Kubernetes API 서버 엔드포인트에 대한 퍼블릭 액세스를 비활성화한 상태로 Amazon EKS 클러스터를 구성해야 함

• [CT.ELASTICACHE.PR.1] Amazon ElastiCache for Redis 클러스터에서 자동 백업을 활성화해야 함

• [CT.ELASTICACHE.PR.2] Amazon ElastiCache for Redis 클러스터에서 마이너 버전 자동 업그레이드를 활성화해야 함

• [CT.ELASTICACHE.PR.3] Amazon ElastiCache for Redis 복제 그룹에서 자동 장애 조치를 활성화해야 함

• [CT.ELASTICACHE.PR.4] Amazon ElastiCache 복제 그룹에서 저장 시 암호화를 활성화해야 함

• [CT.ELASTICACHE.PR.5] Amazon ElastiCache for Redis 복제 그룹에서 전송 중 암호화를 활성화해야 함

• [CT.ELASTICACHE.PR.6] Amazon ElastiCache 캐시 클러스터에서 사용자 지정 서브넷 그룹을 사용해야 함

• [CT.ELASTICACHE.PR.7] 이전 Redis 버전의 Amazon ElastiCache 복제 그룹에 Redis AUTH 인증이 필요함

• [CT.ELASTICBEANSTALK.PR.3] 로깅 구성을 사용하려면 AWS Elastic Beanstalk 환경이 필요함

• [CT.LAMBDA.PR.3] 고객 관리형 Amazon Virtual Private Cloud(Amazon VPC)에 AWS Lambda 함수가 있어야 함

• [CT.NEPTUNE.PR.1] Amazon Neptune DB 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 필요함

• [CT.NEPTUNE.PR.2] Amazon Neptune DB 클러스터에서 삭제 방지를 활성화해야 함

• [CT.NEPTUNE.PR.3] Amazon Neptune DB 클러스터에서 스토리지 암호화를 활성화해야 함

• [CT.REDSHIFT.PR.8] Amazon Redshift 클러스터를 암호화해야 함

• [CT.S3.PR.9] Amazon S3 버킷에 S3 객체 잠금이 활성화되어야 함

• [CT.S3.PR.10] AWS KMS 키를 사용하여 Amazon S3 버킷에 서버 측 암호화를 구성해야 함

• [CT.S3.PR.11] Amazon S3 버킷에서 버전 관리를 활성화해야 함

• [CT.STEPFUNCTIONS.PR.1] AWS Step Functions 상태 시스템에서 로깅을 활성화해야 함

• [CT.STEPFUNCTIONS.PR.2] AWS Step Functions 상태 시스템에서 AWS X-Ray 추적을 활성화해야 함

• [SH.S3.4] S3 버킷에 서버 측 암호화가 활성화되어 있어야 함

• [CT.S3.PR.7] Amazon S3 버킷에 서버 측 암호화를 구성해야 함

글로벌 서비스 및 API 추가됨

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail(cloudtrail:LookupEvents) - 멤버 계정의 글로벌 이벤트를 볼 수 있습니다.

• AWS 통합 결제(consolidatedbilling:*)

• AWS Management Console 모바일 애플리케이션(consoleapp:*)

• AWS 프리 티어(freetier:*)

• AWS 인보이스 발행 (invoicing:*)

• AWS IQ(iq:*)

• AWS User Notifications(notifications:*)

• AWS User Notifications 연락처(notifications-contacts:*)

• Amazon 결제(payments:*)

• AWS 세금 설정(tax:*)

글로벌 서비스 및 API 제거됨

• 유효한 작업이 아니므로 s3:GetAccountPublic이 제거되었습니다.

• 유효한 작업이 아니므로 s3:PutAccountPublic이 제거되었습니다.

• [SH.Account.1] AWS 계정에 보안 연락처 정보를 제공해야 함

• [SH.APIGateway.8] API 게이트웨이 경로에서 인증 유형을 지정해야 함

• [SH.APIGateway.9] API Gateway V2 단계에 대한 액세스 로깅을 구성해야 함

• [SH.CodeBuild.3] CodeBuild S3 로그를 암호화해야 함

• [SH.EC2.25] Amazon EC2 시작 템플릿이 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됨

• [SH.ELB.1] Application Load Balancer가 모든 HTTP 요청을 HTTPS로 리디렉션하도록 구성되어야 함

• [SH.Redshift.10] Redshift 클러스터가 저장 시 암호화되어야 함

• [SH.SageMaker.2] SageMaker 노트북 인스턴스가 사용자 지정 VPC에서 시작해야 함

• [SH.SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 함

• [SH.WAF.10] WAFV2 ACL에 규칙 또는 규칙 그룹이 하나 이상 있어야 함

• 기본값을 수락하고 AWS Control Tower가 AWS IAM Identity Center를 설정하고 관리하도록 허용할 수 있습니다.

• 특정 비즈니스 요구 사항을 반영하기 위해 AWS IAM Identity Center를 자체 관리하도록 선택할 수 있습니다.

• 필요한 경우 IAM Identity Center를 통해 연결하여 선택적으로 타사 ID 공급자를 가져오고 자체 관리할 수 있습니다. 규제 환경에서 특정 공급자를 사용해야 하는 경우 또는 AWS IAM Identity Center를 사용할 수 없는 AWS 리전에서 작업하는 경우 ID 공급자 선택 가능성을 활용해야 합니다.

Amazon OpenSearch Service

• [CT.OPENSEARCH.PR.1] Elasticsearch 도메인이 저장 데이터를 암호화해야 함

• [CT.OPENSEARCH.PR.2] 사용자 지정 Amazon VPC에서 Elasticsearch 도메인을 생성해야 함

• [CT.OPENSEARCH.PR.3] Elasticsearch 도메인이 노드 간 전송 데이터를 암호화해야 함

• [CT.OPENSEARCH.PR.4] Elasticsearch 도메인이 Amazon CloudWatch Logs로 오류 로그를 전송해야 함

• [CT.OPENSEARCH.PR.5] Elasticsearch 도메인이 Amazon CloudWatch Logs로 감사 로그를 전송해야 함

• [CT.OPENSEARCH.PR.6] Elasticsearch 도메인에 영역 인지와 최소 3개의 데이터 노드가 있어야 함

• [CT.OPENSEARCH.PR.7] Elasticsearch 도메인에 최소 3개의 전용 마스터 노드가 있어야 함

• [CT.OPENSEARCH.PR.8] Elasticsearch Service 도메인이 TLSv1.2를 사용해야 함

• [CT.OPENSEARCH.PR.9] Amazon OpenSearch Service 도메인이 저장 데이터를 암호화해야 함

• [CT.OPENSEARCH.PR.10] 사용자 지정 Amazon VPC에서 Amazon OpenSearch Service 도메인을 생성해야 함

• [CT.OPENSEARCH.PR.11] Amazon OpenSearch Service 도메인이 노드 간 전송 데이터를 암호화해야 함

• [CT.OPENSEARCH.PR.12] Amazon OpenSearch Service 도메인이 Amazon CloudWatch Logs로 오류 로그를 전송해야 함

• [CT.OPENSEARCH.PR.13] Amazon OpenSearch Service 도메인이 Amazon CloudWatch Logs로 감사 로그를 전송해야 함

• [CT.OPENSEARCH.PR.14] Amazon OpenSearch Service 도메인에 영역 인지와 최소 3개의 데이터 노드가 있어야 함

• [CT.OPENSEARCH.PR.15] Amazon OpenSearch Service 도메인이 세분화된 액세스 제어를 사용해야 함

• [CT.OPENSEARCH.PR.16] Amazon OpenSearch Service 도메인이 TLSv1.2를 사용해야 함

Amazon EC2 Auto Scaling

• [CT.AUTOSCALING.PR.1] Amazon EC2 Auto Scaling 그룹에 복수 가용 영역이 있어야 함

• [CT.AUTOSCALING.PR.2] Amazon EC2 Auto Scaling 그룹 시작 구성에서 IMDSv2용 Amazon EC2 인스턴스를 구성해야 함

• [CT.AUTOSCALING.PR.3] Amazon EC2 Auto Scaling 시작 구성에 단일 홉 메타데이터 응답 제한이 있어야 함

• [CT.AUTOSCALING.PR.4] Amazon Elastic Load Balancing(ELB)과 연결된 Amazon EC2 Auto Scaling 그룹에서 ELB 상태 확인을 활성화해야 함

• [CT.AUTOSCALING.PR.5] Amazon EC2 Auto Scaling 그룹 시작 구성에 퍼블릭 IP 주소가 있는 Amazon EC2 인스턴스가 없어야 함

• [CT.AUTOSCALING.PR.6] Amazon EC2 Auto Scaling 그룹에서 여러 인스턴스 유형을 사용해야 함

• [CT.AUTOSCALING.PR.8] Amazon EC2 Auto Scaling 그룹에서 EC2 시작 템플릿을 구성해야 함

Amazon SageMaker

• [CT.SAGEMAKER.PR.1] Amazon SageMaker 노트북 인스턴스가 직접 인터넷 액세스를 방지해야 함

• [CT.SAGEMAKER.PR.2] 사용자 지정 Amazon VPC 내에 Amazon SageMaker 노트북 인스턴스를 배포해야 함

• [CT.SAGEMAKER.PR.3] Amazon SageMaker 노트북 인스턴스에서 루트 액세스를 허용하지 않아야 함

Amazon API Gateway

• [CT.APIGATEWAY.PR.5] Amazon API Gateway V2 Websocket 및 HTTP 경로에서 권한 부여 유형을 지정해야 함

Amazon Relational Database Service(RDS)

• [CT.RDS.PR.25] Amazon RDS 데이터베이스 클러스터에 로깅을 구성해야 함

• Amazon CloudWatch Logs 사용 설명서의 Amazon CloudWatch Logs란 무엇입니까?

• AWS Step Functions 개발자 가이드의 AWS Step Functions(이)란 무엇인가요?

• 이번 릴리스에서 AWS Control Tower는 로그 아카이브 계정에 액세스 로그가 저장되는 Amazon S3 버킷인 액세스 로깅 버킷에 대한 불필요한 액세스 로깅을 비활성화하는 반면, S3 버킷에 대한 서버 액세스 로깅은 계속 활성화합니다. 이번 릴리스에는 AWS Support 플랜 및 AWS Artifact와 같은 글로벌 서비스에 대한 추가 작업을 허용하는 리전 거부 제어에 대한 업데이트도 포함되어 있습니다.

• AWS Control Tower 액세스 로깅 버킷에 대한 서버 액세스 로깅을 비활성화하면 AWS Security Hub 규칙 [S3.9] S3 버킷 서버 액세스 로깅을 활성화해야 함으로 인해 Security Hub가 로그 아카이브 계정의 액세스 로깅 버킷에 대한 조사 결과를 생성합니다. Security Hub와 연계하여 이 규칙의 Security Hub 설명에 나와 있는 대로 이 특정 조사 결과를 억제하는 것이 좋습니다. 자세한 내용은 억제된 조사 결과에 대한 정보를 참조하세요.

• 로그 아카이브 계정의 (일반) 로깅 버킷에 대한 액세스 로깅은 버전 3.1에서 변경되지 않았습니다. 모범 사례에 따라 해당 버킷에 대한 액세스 이벤트는 액세스 로깅 버킷 에 로그 항목으로 기록됩니다. 액세스 로깅에 대한 자세한 내용은 Amazon S3 설명서의 서버 액세스 로깅을 사용한 요청 로깅을 참조하세요.

• 리전 거부 제어를 업데이트했습니다. 이 업데이트를 통해 더 많은 글로벌 서비스의 작업을 수행할 수 있습니다. 이 SCP에 대한 자세한 내용은 Deny access to AWS based on the requested AWS 리전 및 Controls that enhance data residency protection의 내용을 참조하세요.

  글로벌 서비스 추가:

  • AWS Account Management (account:*)

  • AWS Activate(activate:*)

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • Amazon ECR(ecr-public:*)

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS Lightsail (lightsail:Get*)

  • AWS 리소스 탐색기 (resource-explorer-2:*)

  • Amazon S3(s3:CreateMultiRegionAccessPoint, s3:GetBucketPolicyStatus, s3:PutMultiRegionAccessPointPolicy)

  • AWS Savings Plans(savingsplans:*)

  • IAM Identity Center(sso:*)

  • AWS Support App (supportapp:*)

  • AWS Support Plans(supportplans:*)

  • AWS Sustainability(sustainability:*)

  • AWS Resource Groups Tagging API (tag:GetResources)

  • AWS Marketplace Vendor Insights(vendor-insights:ListEntitledSecurityProfiles)