2023년 1월 - 12월

• 새 버전으로 전환 AWS Service Catalog 외부 제품 유형 (3단계)

• AWSControl Tower 랜딩 존 버전 3.3

• 새 버전으로 전환 AWS Service Catalog 외부 제품 유형 (2단계)

• AWSControl Tower, 디지털 주권 지원을 위한 규제 발표

• AWSControl Tower는 랜딩 존을 지원합니다 APIs

• AWSControl Tower는 활성화된 제어에 대한 태깅을 지원합니다.

• AWSControl Tower는 아시아 태평양 (멜버른) 지역에서 사용 가능

• 새 버전으로 전환 AWS Service Catalog 외부 제품 유형 (1단계)

• 새 컨트롤 사용 가능 API

• AWSControl Tower는 추가 제어 기능을 추가합니다

• 보고된 새 드리프트 유형: 신뢰할 수 있는 액세스 비활성화

• 네 가지 추가 AWS 리전

• AWSControl Tower는 텔아비브 지역에서 이용 가능합니다.

• AWSControl Tower, 28개의 새로운 사전 예방 제어 기능 출시

• AWSControl Tower는 두 가지 제어 장치를 더 이상 사용하지 않습니다.

• AWSControl Tower 랜딩 존 버전 3.2

• AWSControl Tower는 ID를 기반으로 계정을 처리합니다.

• Control Tower 제어 라이브러리에서 추가 Security Hub 탐지 AWS 제어 기능을 사용할 수 있습니다.

• AWSControl Tower는 제어 메타데이터 테이블을 게시합니다.

• Account Factory 커스터마이징을 위한 테라폼 지원

• AWS IAM랜딩 존에 아이덴티티 센터 자체 관리 가능

• AWSControl Tower는 다음과 같은 복합 거버넌스를 해결합니다. OUs

• 추가 사전 예방 제어 기능을 사용할 수 있습니다.

• Amazon EC2 사전 예방 제어 기능 업데이트

• 일곱 개의 추가 AWS 리전 available

• Terraform (AFT) 계정 사용자 지정 요청 추적을 위한 Account Factory

• AWSControl Tower 랜딩 존 버전 3.1

• 사전 예방적 통제가 일반적으로 이용 가능

착륙 지대 지역 제어 거부 업데이트

• 제거되었습니다. discovery-marketplace: 이 조치는 aws-marketplace:* 면제 적용 대상입니다.

• quicksight:DescribeAccountSubscription 추가됨

새로운 사전 예방 제어

• CT.APIGATEWAY.PR.6: Amazon API Gateway REST 도메인이 최소 TLS 프로토콜 버전 2를 지정하는 보안 정책을 사용하도록 요구합니다TLSv1.

• CT.APPSYNC.PR.2: 필요 AWS AppSync 프라이빗 가시성을 제공하도록 구성될 API GraphQL

• CT.APPSYNC.PR.3: 다음 사항이 필요합니다. AWS AppSync APIGraphQL은 키를 사용하여 인증되지 않습니다 API

• CT.APPSYNC.PR.4: 필요 AWS AppSync 전송 중 암호화를 활성화하기 위한 API GraphQL 캐시

• CT.APPSYNC.PR.5: 필요 AWS AppSync 저장 중 암호화를 활성화하기 위한 API GraphQL 캐시

• CT.AUTOSCALING.PR.9: 저장된 데이터를 암호화하려면 Amazon EC2 Auto Scaling 시작 구성을 통해 구성된 Amazon EBS 볼륨이 필요합니다.

• CT.AUTOSCALING.PR.10: Amazon EC2 Auto Scaling 그룹만 사용하도록 요구 AWS 시작 템플릿을 재정의하는 경우의 Nitro 인스턴스 유형

• CT.AUTOSCALING.PR.11: 필수 항목만 AWS 시작 템플릿을 재정의할 때 Amazon EC2 Auto Scaling 그룹에 추가할 인스턴스 간 네트워크 트래픽 암호화를 지원하는 Nitro 인스턴스 유형

• CT.DAX.PR.3: 전송 계층 보안을 사용하여 전송 데이터를 암호화하려면 DynamoDB Accelerator 클러스터가 필요합니다 () TLS

• CT.DMS.PR.2: 필요 AWS 소스 및 대상 엔드포인트의 연결을 암호화하는 Database Migration Service (DMS) 엔드포인트

• CT.EC2.PR.15: Amazon EC2 인스턴스에서 다음을 사용하도록 요구합니다. AWS Nitro 인스턴스 유형 (AWS::EC2::LaunchTemplate리소스 유형에서 생성 시)

• CT.EC2.PR.16: Amazon EC2 인스턴스에서 다음을 사용하도록 요구합니다. AWS Nitro 인스턴스 유형 (AWS::EC2::Instance리소스 유형을 사용하여 생성한 경우)

• CT.EC2.PR.17: Amazon EC2 전용 호스트가 AWS Nitro 인스턴스 유형을 사용해야 합니다.

• CT.EC2.PR.18: Amazon EC2 플릿이 다음과 같은 시작 템플릿만 재정의하도록 요구합니다. AWS Nitro 인스턴스 유형

• CT.EC2.PR.19: Amazon EC2 인스턴스를 리소스 유형을 사용하여 생성한 경우 인스턴스 간 전송 중 암호화를 지원하는 니트로 인스턴스 유형을 사용하도록 요구 AWS::EC2::Instance

• CT.EC2.PR.20: Amazon EC2 플릿이 다음과 같은 시작 템플릿만 재정의하도록 요구합니다. AWS 인스턴스 간 전송 시 암호화를 지원하는 Nitro 인스턴스 유형

• CT.ELASTICACHE.PR.8: 최신 Redis 버전의 Amazon ElastiCache 복제 그룹에 RBAC 인증을 활성화해야 합니다.

• CT.MQ.PR.1: 고가용성을 위해 Amazon MQ ActiveMQ 브로커가 액티브/스탠바이 배포 모드를 사용하도록 요구합니다.

• CT.MQ.PR.2: 고가용성을 위해 Amazon MQ Rabbit MQ 브로커가 다중 AZ 클러스터 모드를 사용하도록 요구합니다.

• CT.MSK.PR.1: 클러스터 브로커 노드 간 전송 시 암호화를 적용하려면 Amazon Managed Streaming for Apache MSK Kafka () 클러스터가 필요합니다.

• CT.MSK.PR.2: Amazon Managed Streaming for Apache MSK Kafka () 클러스터를 비활성화된 상태로 구성해야 합니다. PublicAccess

• CT.NETWORK-FIREWALL.PR.5: 필요 AWS 여러 가용 영역에 Network Firewall 방화벽 배포 예정

• CT.RDS.PR.26: 전송 계층 보안 (TLS) 연결을 요구하려면 Amazon RDS DB 프록시가 필요합니다.

• CT.RDS.PR.27: 지원되는 엔진 유형에 대한 전송 계층 보안 (TLS) 연결을 요구하려면 Amazon RDS DB 클러스터 파라미터 그룹이 필요합니다.

• CT.RDS.PR.28: 지원되는 엔진 유형에 대한 전송 계층 보안 (TLS) 연결을 요구하려면 Amazon RDS DB 파라미터 그룹이 필요합니다.

• CT.RDS.PR.29: 'PubliclyAccessible' 속성을 통해 공개적으로 액세스할 수 있도록 Amazon RDS 클러스터를 구성하지 않아야 합니다.

• CT.RDS.PR.30: 지원되는 엔진 유형에 지정한 KMS 키를 사용하도록 Amazon RDS 데이터베이스 인스턴스에 저장된 암호화가 구성되어 있어야 합니다.

• CT.S3.PR.12: Amazon S3 액세스 포인트에 모든 옵션이 true로 설정된 블록 퍼블릭 액세스 (BPA) 구성이 있어야 합니다.

새로운 예방 제어

• CT.APPSYNC.PV.1 다음 사항을 요구하십시오. AWS AppSync APIGraphQL은 프라이빗 가시성을 제공하도록 구성되어 있습니다.

• CT.EC2.PV.1 암호화된 EC2 볼륨에서 Amazon EBS 스냅샷을 생성해야 합니다.

• CT.EC2.PV.2 연결된 Amazon EBS 볼륨이 저장된 데이터를 암호화하도록 구성되어 있어야 합니다.

• CT.EC2.PV.3 Amazon EBS 스냅샷을 공개적으로 복원할 수 없도록 요구

• CT.EC2.PV.4 Amazon EBS APIs 다이렉트가 호출되지 않도록 요구

• CT.EC2.PV.5 Amazon EC2 VM 가져오기 및 내보내기 사용을 금지합니다.

• CT.EC2.PV.6 더 이상 사용되지 않는 Amazon EC2 RequestSpotFleet 및 작업 사용 금지 RequestSpotInstances API

• CT.KMS.PV.1 필요: AWS KMS 주요 정책에는 생성을 제한하는 문구가 있어야 합니다. AWS KMS 에 대한 보조금 AWS 서비스

• CT.KMS.PV.2 다음을 요구하십시오. AWS KMS 암호화에 사용되는 RSA 키 자료가 포함된 비대칭 키의 키 길이는 2048비트가 아닙니다.

• CT.KMS.PV.3 다음 사항이 필요합니다. AWS KMS 키는 우회 정책 잠금 안전 검사가 활성화된 상태로 구성되었습니다.

• CT.KMS.PV.4 다음 사항을 요구하십시오. AWS KMS 고객 관리 키 (CMK) 는 다음과 같은 주요 구성 요소로 구성되어 있습니다. AWS 클라우드 HSM

• CT.KMS.PV.5 다음 사항이 필요합니다. AWS KMS 고객 관리 키 (CMK) 가 가져온 키 자료로 구성되어 있습니다.

• CT.KMS.PV.6 다음 사항이 필요합니다. AWS KMS 고객 관리 키 (CMK) 는 외부 키 저장소 () 에서 가져온 키 구성 요소로 구성되어 있습니다. XKS

• CT.LAMBDA.PV.1 필요 AWS Lambda URL사용할 함수 AWS IAM기반 인증

• CT.LAMBDA.PV.2 필요 AWS Lambda 내 주체만 액세스할 수 URL 있도록 기능을 구성해야 합니다. AWS 계정

• CT. MULTISERVICE.PV.1: 액세스 거부 AWS 요청 기준 AWS 리전 조직 단위의 경우

새로운 탐정 제어

• SH.ACM.2: 에서 관리하는 RSA 인증서는 최소 2,048비트의 키 길이를 ACM 사용해야 합니다.

• SH.AppSync.5: AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API

• SH.CloudTrail.6: CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하십시오.

• SH.DMS.9: DMS 엔드포인트는 다음을 사용해야 합니다. SSL

• SH.DocumentDB.3: Amazon DocumentDB 수동 클러스터 스냅샷은 공개해서는 안 됩니다.

• SH.DynamoDB.3: DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• SH.EC2.23: EC2 트랜짓 게이트웨이는 첨부 요청을 자동으로 수락하지 않아야 합니다. VPC

• SH.EKS.1: EKS 클러스터 엔드포인트는 공개적으로 액세스할 수 없어야 합니다.

• SH.ElastiCache.3: ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.

• SH.ElastiCache.4: ElastiCache 복제 그룹이 활성화되어 있어야 encryption-at-rest 합니다.

• SH.ElastiCache.5: ElastiCache 복제 그룹이 encryption-in-transit 활성화되어 있어야 합니다.

• SH.ElastiCache.6: 이전 Redis 버전의 ElastiCache 복제 그룹에는 Redis가 활성화되어 있어야 합니다. AUTH

• SH.EventBridge.3: EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 첨부되어야 합니다.

• SH.KMS.4: AWS KMS 키 로테이션을 활성화해야 합니다.

• SH.Lambda.3: Lambda 함수는 a에 있어야 합니다. VPC

• SH.MQ.5: ActiveMQ 브로커는 액티브/스탠바이 배포 모드를 사용해야 합니다.

• SH.MQ.6: RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 합니다.

• SH.MSK.1: MSK 클러스터는 브로커 노드 간에 전송되는 동안 암호화되어야 합니다.

• SH.RDS.12: RDS 클러스터에 대한 IAM 인증을 구성해야 합니다.

• SH.RDS.15: RDS DB 클러스터는 여러 가용 영역에 맞게 구성되어야 합니다.

• SH.S3.17: S3 버킷은 저장 시 다음과 같이 암호화되어야 합니다. AWS KMS 키

• 업데이트를 EnableControl API 통해 구성 가능한 컨트롤을 구성할 수 있습니다.

• 업데이트된 GetEnabledControl API 버전에는 활성화된 컨트롤에 구성된 매개변수가 표시됩니다.

• 새 버전은 활성화된 컨트롤의 매개변수를 변경할 UpdateEnabledControl API 수 있습니다.

• CreateLandingZone—이 API 호출은 landing zone 버전과 매니페스트 파일을 사용하여 랜딩 존을 생성합니다.

• GetLandingZoneOperation—이 API 호출은 지정된 landing Zone 작업의 상태를 반환합니다.

• GetLandingZone—이 API 호출은 버전, 매니페스트 파일 및 상태를 포함하여 지정된 landding Zone에 대한 세부 정보를 반환합니다.

• UpdateLandingZone—이 API 호출은 landing zone 버전 또는 매니페스트 파일을 업데이트합니다.

• ListLandingZone—이 API 호출은 관리 계정의 랜딩 존 설정에 대해 하나의 랜딩 존 식별자 (ARN) 를 반환합니다.

• ResetLandingZone—이 API 호출은 랜딩 존을 최신 업데이트에 지정된 매개변수로 재설정하여 드리프트를 복구할 수 있습니다. 랜딩 존이 업데이트되지 않은 경우 이 호출은 랜딩 존을 생성 시 지정된 파라미터로 재설정합니다.

• DeleteLandingZone—이 API 호출은 landing Zone을 해제합니다.

• TagResource—이 API 호출은 AWS Control Tower에서 활성화된 컨트롤에 태그를 추가합니다.

• UntagResource—이 API 호출은 Control Tower에서 활성화된 AWS 컨트롤에서 태그를 제거합니다.

• ListTagsForResource—이 API 호출은 AWS Control Tower에서 활성화된 컨트롤에 대한 태그를 반환합니다.

• GetEnabledControl—이 API 통화는 활성화된 컨트롤에 대한 세부 정보를 제공합니다.

• AWSControl Tower 컨트롤 라이브러리에서 활성화한 모든 컨트롤 목록을 확인하세요.

• 활성화된 모든 컨트롤의 경우 컨트롤이 지원되는 지역, 컨트롤의 식별자 (ARN), 컨트롤의 드리프트 상태, 컨트롤의 상태 요약에 대한 정보를 얻을 수 있습니다.

새로운 사전 예방 통제

• [CT.ATHENA.PR.1] Amazon Athena 워크그룹이 저장된 Athena 쿼리 결과를 암호화하도록 요구

• [CT.ATHENA.PR.2] Amazon Athena 워크그룹이 저장 중인 Athena 쿼리 결과를 다음과 같이 암호화하도록 요구합니다. AWS Key Management Service () 키 KMS

• [CT.CLOUDTRAIL.PR.4] 필요 AWS CloudTrail 저장 시 암호화를 지원하는 Lake 이벤트 데이터 저장소 AWS KMS 키

• [CT.DAX.PR.2] Amazon DAX 클러스터가 최소 3개의 가용 영역에 노드를 배포하도록 요구

• [CT.EC2.PR.14] 저장된 데이터를 암호화하려면 Amazon EC2 시작 템플릿을 통해 구성된 Amazon EBS 볼륨이 필요합니다.

• [CT.EKS.PR.2] 를 사용하여 비밀 암호화를 사용하도록 Amazon EKS 클러스터를 구성해야 합니다. AWS 키 관리 서비스 (KMS) 키

• [CT.ELASTICLOADBALANCING.PR.14] 영역 간 부하 분산을 활성화하려면 Network Load Balancer가 필요합니다.

• [CT.ELASTICLOADBALANCING.PR.15] Elastic Load Balancing v2 대상 그룹이 영역 간 로드 밸런싱을 명시적으로 비활성화하지 않도록 설정해야 합니다.

• [CT.EMR.PR.1] Amazon S3에 저장된 데이터를 암호화하도록 Amazon EMR (EMR) 보안 구성을 구성해야 합니다.

• [CT.EMR.PR.2] Amazon EMR (EMR) 보안 구성이 다음을 사용하여 Amazon S3에 저장된 데이터를 암호화하도록 구성되어 있어야 합니다. AWS KMS 키

• [CT.EMR.PR.3] Amazon EMR (EMR) 보안 구성을 사용하여 EBS 볼륨 로컬 디스크 암호화를 사용하도록 구성해야 합니다. AWS KMS 키

• [CT.EMR.PR.4] 전송 데이터를 암호화하도록 Amazon EMR (EMR) 보안 구성을 구성해야 합니다.

• [CT.GLUE.PR.1[] 필요 AWS 관련 보안 구성을 위한 Glue 작업

• [CT.GLUE.PR.2] 필요 AWS 다음을 사용하여 Amazon S3 대상의 데이터를 암호화하는 Glue 보안 구성 AWS KMS키

• [CT.KMS.PR.2[] 다음 항목이 필요합니다. AWS KMS 암호화에 사용되는 RSA 키 자료가 포함된 비대칭 키의 키 길이가 2048비트를 초과합니다.

• [CT.KMS.PR.3[] 필요 AWS KMS 주요 정책에는 생성을 제한하는 문구가 있어야 합니다. AWS KMS 에 대한 보조금 AWS 서비스

• [CT.LAMBDA.PR.4] 필요 AWS Lambda 액세스 권한을 부여하기 위한 레이어 권한 AWS 조직 또는 특정 AWS account

• [CT.LAMBDA.PR.5] 필요 AWS Lambda URL사용할 함수 AWS IAM기반 인증

• [CT.LAMBDA.PR.6] 필요 AWS Lambda 특정 출처에 대한 액세스를 제한하는 기능 URL CORS 정책

• [CT.NEPTUNE.PR.4] 감사 로그에 대한 Amazon 로그 내보내기를 활성화하려면 CloudWatch Amazon Neptune DB 클러스터가 필요합니다.

• [CT.NEPTUNE.PR.5] Amazon Neptune DB 클러스터에서 백업 보존 기간을 7일 이상으로 설정하도록 요구

• [CT.REDSHIFT.PR.9] Amazon Redshift 클러스터 파라미터 그룹이 전송 데이터를 암호화하는 데 보안 소켓 계층 (SSL) 을 사용하도록 구성되어 있어야 합니다.

• [SH.Athena.1] Athena 워크그룹은 유휴 상태에서 암호화되어야 합니다.

• [SH.Neptune.1] Neptune DB 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [SH.Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [SH.Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.

• [SH.Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [SH.Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [SH.Neptune.6] Neptune DB 클러스터 스냅샷은 유휴 상태에서 암호화해야 합니다.

• [SH.Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다IAM.

• [SH.Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [SH.RDS.27] RDS DB 클러스터는 유휴 상태에서 암호화해야 합니다.

새 컨트롤의 전체 목록은 다음과 같습니다.

• [CT. APPSYNC.PR.1] 필요 AWS AppSync APIGraphQL에서 로깅이 활성화되도록 설정

• [CT. CLOUDWATCH.PR.1] Amazon CloudWatch 경보에 경보 상태에 대한 작업이 구성되어 있어야 합니다.

• [CT. CLOUDWATCH.PR.2] Amazon CloudWatch 로그 그룹을 최소 1년 동안 보존해야 함

• [CT. CLOUDWATCH.PR.3] Amazon CloudWatch 로그 그룹이 유휴 상태에서 다음을 사용하여 암호화되도록 요구 AWS KMS키

• [CT]. CLOUDWATCH.PR.4] Amazon CloudWatch 알람 작업을 활성화해야 합니다.

• [CT. DOCUMENTDB.PR.1] Amazon DocumentDB 클러스터가 유휴 상태에서 암호화되도록 요구

• [CT. DOCUMENTDB.PR.2] Amazon DocumentDB 클러스터에 자동 백업이 활성화되어 있어야 합니다.

• [CT. DYNAMODB.PR.2] Amazon DynamoDB 테이블을 사용하여 유휴 상태에서 암호화해야 합니다. AWS KMS 키

• [CT. EC2.PR.13] Amazon EC2 인스턴스에 세부 모니터링이 활성화되어 있어야 합니다.

• [CT. EKS.PR.1] EKS 클러스터 Kubernetes API 서버 엔드포인트에 대한 퍼블릭 액세스를 비활성화하도록 Amazon 클러스터를 구성해야 합니다.

• [CT. ELASTICACHE.PR.1] ElastiCache Redis용 Amazon 클러스터에 자동 백업이 활성화되어 있어야 합니다.

• [CT. ELASTICACHE.PR.2] Amazon ElastiCache for Redis 클러스터에 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.

• [CT. ELASTICACHE.PR.3] ElastiCache Redis용 Amazon 복제 그룹에 자동 장애 조치가 활성화되어 있어야 합니다.

• [CT. ELASTICACHE.PR.4] Amazon ElastiCache 복제 그룹에 저장 중 암호화가 활성화되도록 요구

• [CT. ELASTICACHE.PR.5] Amazon ElastiCache for Redis 복제 그룹에 전송 중 암호화가 활성화되어 있어야 합니다.

• [CT. ELASTICACHE.PR.6] Amazon ElastiCache 캐시 클러스터에서 사용자 지정 서브넷 그룹을 사용하도록 요구

• [CT. ELASTICACHE.PR.7] 이전 Redis 버전의 Amazon ElastiCache 복제 그룹에 Redis 인증이 있어야 합니다. AUTH

• [CT. ELASTICBEANSTALK.PR.3] 필요 AWS Elastic Beanstalk 환경에서는 로깅 구성을 사용할 수 있습니다.

• [CT. LAMBDA.PR.3] 필요 AWS Lambda 고객이 관리하는 Amazon Virtual Private Cloud () 에 포함되는 함수 VPC

• [CT. NEPTUNE.PR.1] Amazon Neptune DB 클러스터에는 다음이 필요합니다. AWS Identity and Access Management () 데이터베이스 인증 IAM

• [CT. NEPTUNE.PR.2] Amazon Neptune DB 클러스터에 삭제 방지 기능이 활성화되어 있어야 합니다.

• [CT. NEPTUNE.PR.3] Amazon Neptune DB 클러스터에 스토리지 암호화가 활성화되어 있어야 합니다.

• [CT. REDSHIFT.PR.8] Amazon Redshift 클러스터를 암호화해야 합니다.

• [CT.S3.PR.9] Amazon S3 버킷에 S3 오브젝트 잠금이 활성화되어 있어야 합니다.

• [CT.S3.PR.10] Amazon S3 버킷에 다음을 사용하여 서버 측 암호화를 구성하도록 요구합니다. AWS KMS 키

• [CT.S3.PR.11] Amazon S3 버킷에 버전 관리를 활성화해야 합니다.

• [CT. STEPFUNCTIONS.PR.1] 필요 AWS Step Functions 상태 머신이 로깅을 활성화해야 함

• [CT. STEPFUNCTIONS.PR.2] 필요 AWS Step Functions 스테이트 머신이 갖추어야 할 사항 AWS X-Ray 트레이싱이 활성화되었습니다.

• [SH.S3.4] S3 버킷에는 서버 측 암호화가 활성화되어 있어야 합니다.

• [CT.S3.PR.7] Amazon S3 버킷에 서버 측 암호화가 구성되어 있어야 합니다.

글로벌 서비스 및 추가 APIs

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail (cloudtrail:LookupEvents) 를 사용하여 멤버 계정의 글로벌 이벤트를 확인할 수 있습니다.

• AWS 통합 결제 () consolidatedbilling:*

• AWS 관리 콘솔 모바일 애플리케이션 (consoleapp:*)

• AWS 프리 티어 (freetier:*)

• AWS 인보이스 발행 (invoicing:*)

• AWS IQ () iq:*

• AWS 사용자 알림 () notifications:*

• AWS 사용자 알림 연락처 (notifications-contacts:*)

• Amazon Payments (payments:*)

• AWS 세금 설정 (tax:*)

글로벌 서비스 및 APIs 제거됨

• 유효한 조치가 s3:GetAccountPublic 아니기 때문에 삭제되었습니다.

• 유효한 동작이 s3:PutAccountPublic 아니기 때문에 삭제되었습니다.

• [sh.Account.1] 다음을 위한 보안 연락처 정보를 제공해야 합니다. AWS 계정

• [SH. APIGateway.8] API 게이트웨이 경로는 권한 유형을 지정해야 합니다.

• [SH. APIGateway.9] API 게이트웨이 V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

• [SH. CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

• [SH. EC2.25] EC2 시작 템플릿은 네트워크 IPs 인터페이스에 공용을 할당해서는 안 됩니다.

• [SH. ELB.1] 모든 요청을 다음으로 리디렉션하도록 Application Load Balancer를 구성해야 합니다. HTTP HTTPS

• [sh.Redshift.10] Redshift 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [SH. SageMaker.2] SageMaker 노트북 인스턴스는 사용자 정의로 시작해야 합니다. VPC

• [SH. SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

• [SH. WAF.10] WAFV2 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACL 있어야 합니다.

• 기본값을 그대로 사용하고 AWS Control Tower에서 설정 및 관리하도록 허용할 수 있습니다. AWS IAM당신을 위한 아이덴티티 센터.

• 자체 관리를 선택할 수 있습니다. AWS IAM특정 비즈니스 요구 사항을 반영하는 ID 센터

• 필요한 경우 Identity Center를 통해 IAM 연결하여 타사 ID 공급자를 가져와 자체 관리할 수도 있습니다. 규제 환경에 따라 특정 공급자를 사용해야 하거나 다음 지역에서 사업을 운영하는 경우 ID 제공자 선택사항을 사용해야 합니다. AWS 리전 여기서 각 항목은 다음과 같습니다. AWS IAM아이덴티티 센터는 사용할 수 없습니다.

아마존 OpenSearch 서비스

• [CT. OPENSEARCH.PR.1] 저장된 데이터를 암호화하려면 Elasticsearch 도메인이 필요합니다.

• [CT. OPENSEARCH.PR.2] 사용자 지정 아마존에서 엘라스틱서치 도메인을 생성해야 함 VPC

• [CT. OPENSEARCH.PR.3] 노드 간에 전송되는 데이터를 암호화하려면 Elasticsearch 도메인이 필요합니다.

• [CT. OPENSEARCH.PR.4] 오류 로그를 Amazon Logs로 전송하려면 Elasticsearch 도메인이 필요합니다. CloudWatch

• [CT. OPENSEARCH.PR.5] 감사 로그를 Amazon Logs로 전송하려면 Elasticsearch 도메인이 필요합니다. CloudWatch

• [CT. OPENSEARCH.PR.6] Elasticsearch 도메인에는 영역 인식 기능과 최소 세 개의 데이터 노드가 있어야 합니다.

• [CT. OPENSEARCH.PR.7] Elasticsearch 도메인에는 전용 마스터 노드가 3개 이상 있어야 합니다.

• [CT. OPENSEARCH.PR.8] .2를 사용하려면 엘라스틱서치 서비스 도메인이 필요합니다. TLSv1

• [CT. OPENSEARCH.PR.9] 저장된 데이터를 암호화하려면 Amazon OpenSearch 서비스 도메인이 필요합니다.

• [CT. OPENSEARCH.PR.10] 사용자가 지정한 아마존에 아마존 OpenSearch 서비스 도메인을 생성하도록 요구 VPC

• [CT. OPENSEARCH.PR.11] 노드 간에 전송되는 데이터를 암호화하려면 Amazon OpenSearch 서비스 도메인이 필요합니다.

• [CT. OPENSEARCH.PR.12] 오류 로그를 Amazon Logs로 전송하려면 Amazon OpenSearch 서비스 도메인이 필요합니다. CloudWatch

• [CT. OPENSEARCH.PR.13] 감사 로그를 Amazon Logs로 전송하려면 Amazon OpenSearch 서비스 도메인이 필요합니다. CloudWatch

• [CT. OPENSEARCH.PR.14] Amazon OpenSearch 서비스 도메인에 영역 인식 기능과 최소 세 개의 데이터 노드가 있어야 합니다.

• [CT. OPENSEARCH.PR.15] 세분화된 액세스 제어를 사용하려면 Amazon OpenSearch 서비스 도메인이 필요합니다.

• [CT. OPENSEARCH.PR.16] .2를 사용하려면 아마존 OpenSearch 서비스 도메인이 필요합니다. TLSv1

아마존 EC2 오토 스케일링

• [CT. AUTOSCALING.PR.1] Amazon EC2 Auto Scaling 그룹에 여러 가용 영역이 있어야 함

• [CT. AUTOSCALING.PR.2] Amazon 인스턴스를 구성하려면 Amazon EC2 Auto Scaling 그룹 시작 구성이 필요합니다. EC2 IMDSv2

• [CT. AUTOSCALING.PR.3] Amazon EC2 Auto Scaling 시작 구성에는 단일 홉 메타데이터 응답 제한이 있어야 합니다.

• [CT. AUTOSCALING.PR.4] Amazon Elastic Load Balancing (ELB) 과 연결된 Amazon EC2 Auto Scaling 그룹에 상태 확인을 활성화하도록 요구 ELB

• [CT. AUTOSCALING.PR.5] Amazon EC2 Auto Scaling 그룹 시작 구성에는 퍼블릭 IP 주소를 가진 Amazon EC2 인스턴스가 없어야 합니다.

• [CT. AUTOSCALING.PR.6] 모든 Amazon EC2 Auto Scaling 그룹은 여러 인스턴스 유형을 사용해야 합니다.

• [CT. AUTOSCALING.PR.8] Amazon EC2 Auto Scaling 그룹에 시작 템플릿을 구성해야 EC2 합니다.

아마존 SageMaker

• [CT]. SAGEMAKER.PR.1] 인터넷에 직접 액세스하지 못하도록 Amazon SageMaker 노트북 인스턴스가 필요합니다.

• [CT. SAGEMAKER.PR.2] 사용자 지정 Amazon 내에 Amazon SageMaker 노트북 인스턴스를 배포해야 함 VPC

• [CT. SAGEMAKER.PR.3] Amazon SageMaker 노트북 인스턴스에 루트 액세스가 허용되지 않도록 요구

아마존 API 게이트웨이

• [CT. APIGATEWAY.PR.5] 인증 유형을 지정하려면 Amazon API Gateway V2 웹 소켓 및 HTTP 경로가 필요합니다.

Amazon 관계형 데이터베이스 서비스 RDS ()

• [CT. RDS.PR.25] Amazon RDS 데이터베이스 클러스터에 로깅이 구성되어 있어야 합니다.

• 아마존 CloudWatch 로그란 무엇입니까? Amazon CloudWatch Logs 사용 설명서에서

• 무엇입니까 AWS Step Functions? 에서 AWS Step Functions 개발자 가이드

• 이번 릴리스부터 AWS Control Tower는 액세스 로깅 버킷 (Log Archive 계정에 액세스 로그가 저장되는 Amazon S3 버킷) 에 대한 불필요한 액세스 로깅을 비활성화하는 동시에 S3 버킷에 대한 서버 액세스 로깅을 계속 활성화합니다. 이번 릴리스에는 다음과 같은 글로벌 서비스에 대한 추가 작업을 허용하는 지역 거부 제어에 대한 업데이트도 포함되어 있습니다. AWS Support 플랜 및 AWS Artifact.

• AWSControl Tower 액세스 로깅 버킷에 대한 서버 액세스 로깅이 비활성화되면 다음과 같은 이유로 Security Hub에서 Log Archive 계정의 액세스 로깅 버킷에 대한 검색 결과를 생성합니다. AWS Security Hub 규칙: [S3.9] S3 버킷 서버 액세스 로깅을 활성화해야 합니다. Security Hub에 따라 이 규칙의 Security Hub 설명에 명시된 대로 이 특정 검색 결과를 숨기는 것이 좋습니다. 자세한 내용은 숨겨진 검색 결과에 대한 정보를 참조하십시오.

• Log Archive 계정의 (일반) 로깅 버킷에 대한 액세스 로깅은 버전 3.1에서 변경되지 않았습니다. 모범 사례에 따라 해당 버킷의 액세스 이벤트는 액세스 로깅 버킷에 로그 항목으로 기록됩니다. 액세스 로깅에 대한 자세한 내용은 Amazon S3 설명서의 서버 액세스 로깅을 사용한 요청 로깅을 참조하십시오.

• 지역 거부 제어를 업데이트했습니다. 이 업데이트를 통해 더 많은 글로벌 서비스에서 조치를 취할 수 있습니다. 자세한 내용은 액세스 거부를 참조하십시오. SCP AWS 요청된 내용에 따라 AWS 리전및 데이터 레지던시 보호를 강화하는 제어.

  글로벌 서비스 추가:

  • AWS Account Management (account:*)

  • AWS 활성화 (activate:*)

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • 아마존 ECR (ecr-public:*)

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS lightsail:Get*Lightsail ()

  • AWS 리소스 탐색기 (resource-explorer-2:*)

  • 아마존 S3 (s3:CreateMultiRegionAccessPoint,s3:GetBucketPolicyStatus,s3:PutMultiRegionAccessPointPolicy)

  • AWS Savings Plan (savingsplans:*)

  • IAM아이덴티티 센터 (sso:*)

  • AWS Support App (supportapp:*)

  • AWS Support 플랜 (supportplans:*)

  • AWS 지속가능성 (sustainability:*)

  • AWS Resource Groups Tagging API (tag:GetResources)

  • AWS Marketplace 공급업체 인사이트 (vendor-insights:ListEntitledSecurityProfiles)