Janeiro a dezembro de 2021 - AWS Control Tower
Capacidade de negação da regiãoRecursos de residência de dadosAWSControl Tower apresenta o provisionamento e a personalização de contas do TerraformNovo evento de ciclo de vida disponívelAWSO Control Tower permite o aninhamento OUsDetective: controle simultâneoDuas novas regiões disponíveisDesseleção de regiãoAWSO Control Tower funciona com AWS Sistemas de gerenciamento de chavesControles renomeados, funcionalidade inalteradaAWSA Control Tower escaneia SCPs diariamente para verificar se há desvioNomes OUs e contas personalizadosAWSVersão 2.7 da zona de pouso da Control TowerTrês novos AWS Regiões disponíveisGoverne somente regiões selecionadasAWSA Control Tower agora estende a governança para a existente OUs em seu AWS organizaçõesAWSA Control Tower fornece atualizações de contas em massa

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Janeiro a dezembro de 2021

Em 2021, a AWS Control Tower lançou as seguintes atualizações:

Capacidade de negação da região

30 de novembro de 2021

(Nenhuma atualização é necessária para a landing zone da AWS Control Tower.)

AWSO Control Tower agora fornece recursos de negação de região, que ajudam você a limitar o acesso a AWS serviços e operações para contas inscritas em seu ambiente AWS Control Tower. O recurso de negação de região complementa os recursos existentes de seleção e desseleção de região no AWS Control Tower. Juntos, esses recursos ajudam você a lidar com questões regulatórias e de conformidade, ao mesmo tempo em que equilibram os custos associados à expansão para outras regiões.

Por exemplo, AWS clientes na Alemanha podem negar o acesso a AWS serviços em regiões fora da região de Frankfurt. Você pode selecionar regiões restritas durante o processo de configuração da AWS Control Tower ou na página de configurações da zona de pouso. O recurso de negação de região está disponível quando você atualiza sua versão da zona de pouso do AWS Control Tower. Selecionar AWS os serviços estão isentos dos recursos de negação da região. Para saber mais, consulte Configurar o controle de negação de região.

Recursos de residência de dados

30 de novembro de 2021

(Nenhuma atualização é necessária para a landing zone da AWS Control Tower)

AWSO Control Tower agora oferece controles específicos para ajudar a garantir que todos os dados do cliente para os quais você envie AWS os serviços estão localizados somente no AWS Regiões que você especifica. Você pode selecionar o AWS Região ou regiões nas quais os dados de seus clientes são armazenados e processados. Para obter uma lista completa de AWS Regiões em que AWS o Control Tower está disponível, consulte o AWS Tabela de regiões.

Para controle granular, você pode aplicar controles adicionais, como Proibir conexões da Amazon Virtual Private Network (VPN) ou Proibir o acesso à Internet para uma instância da Amazon. VPC Você pode ver o status de conformidade dos controles no console do AWS Control Tower. Para obter uma lista completa dos controles disponíveis, consulte a biblioteca de controles da AWS Control Tower.

AWSControl Tower apresenta o provisionamento e a personalização de contas do Terraform

29 de novembro de 2021

(Atualização opcional para a zona de pouso da AWS Control Tower)

Agora você pode usar o Terraform para provisionar e atualizar contas personalizadas por meio da AWS Control Tower, com AWS o Control Tower Account Factory for Terraform (). AFT

AFTfornece um único pipeline de infraestrutura como código (IaC) do Terraform, que provisiona contas gerenciadas pela AWS Control Tower. As personalizações durante o provisionamento ajudam a cumprir suas políticas comerciais e de segurança, antes de você fornecer as contas aos usuários finais.

O pipeline AFT automatizado de criação de contas monitora até que o provisionamento da conta seja concluído e, em seguida, continua, acionando módulos adicionais do Terraform que aprimoram a conta com as personalizações necessárias. Como parte adicional do processo de personalização, você pode configurar o pipeline para instalar seus próprios módulos personalizados do Terraform e pode optar por adicionar qualquer uma das opções de AFT recursos, fornecidas pelo AWS para personalizações comuns.

Comece a usar o AWS Control Tower Account Factory for Terraform seguindo as etapas fornecidas no Guia do usuário do AWS Control Tower e fazendo o download AFT para sua instância do Terraform. Implante AWS o Control Tower Account Factory para Terraform () AFT AFToferece suporte às distribuições Terraform Cloud, Terraform Enterprise e Terraform Open Source.

Novo evento de ciclo de vida disponível

18 de novembro de 2021

(Nenhuma atualização é necessária para a landing zone da AWS Control Tower)

O PrecheckOrganizationalUnit evento registra se algum recurso impede o sucesso da tarefa de governança Extend, incluindo recursos aninhadosOUs. Para obter mais informações, consulte PrecheckOrganizationalUnit.

AWSO Control Tower permite o aninhamento OUs

16 de novembro de 2021

(Nenhuma atualização é necessária para a landing zone da AWS Control Tower)

AWSO Control Tower agora permite que você inclua o aninhado OUs como parte da sua landing zone.

AWSO Control Tower fornece suporte para unidades organizacionais aninhadas (OUs), permitindo que você organize contas em vários níveis hierárquicos e aplique controles preventivos hierarquicamente. Você pode registrar OUs contendo aninhadoOUs, criar e registrar OUs como pai OUs e ativar controles em qualquer OU registrada, independentemente da profundidade. Para oferecer suporte a essa funcionalidade, o console mostra o número de contas controladas e. OUs

Com o nestedOUs, você pode alinhar sua AWS Control Tower OUs ao AWS estratégia de várias contas, e você pode reduzir o tempo necessário para ativar controles em váriasOUs, aplicando controles no nível da OU principal.

Considerações importantes

  1. Você pode registrar uma OU existente em vários níveis OUs no AWS Control Tower, uma OU por vez, começando com a OU de nível superior e depois descendo pela árvore. Para obter mais informações, consulte Expandir de uma estrutura de OU plana para uma estrutura de OU aninhada.

  2. As contas diretamente em uma OU registrada são registradas automaticamente. As contas mais abaixo na árvore podem ser registradas registrando sua OU principal imediata.

  3. Os controles preventivos (SCPs) são herdados automaticamente na hierarquia; SCPs aplicados ao pai são herdados por todos os aninhados. OUs

  4. Controles de detetive (AWS Config (regras) são NOT herdadas automaticamente.

  5. A conformidade com os controles de detetive é relatada por cada UO.

  6. SCPA deriva em uma OU afeta todas as contas e OUs abaixo dela.

  7. Você não pode criar um novo OUs aninhado na OU de segurança (OU principal).

Detective: controle simultâneo

5 de novembro de 2021

(Atualização opcional para a zona de pouso da AWS Control Tower)

AWSOs controles de detetive da Control Tower agora oferecem suporte a operações simultâneas para controles de detetive, melhorando a facilidade de uso e o desempenho. Você pode ativar vários controles de detetive sem esperar que as operações de controle individuais sejam concluídas.

Funcionalidade suportada:

  • Ative diferentes controles de detecção na mesma UO (por exemplo, Detecte se MFA o usuário raiz está habilitado e Detecte se o acesso público de gravação aos buckets do Amazon S3 é permitido).

  • Ative diferentes controles de detetive em diferentesOUs, simultaneamente.

  • As mensagens de erro do Guardrail foram aprimoradas para fornecer orientação adicional para operações de concorrência de controle suportadas.

Não suportado nesta versão:

  • Não OUs há suporte para ativar o mesmo controle de detetive em vários ao mesmo tempo.

  • A simultaneidade de controle preventivo não é suportada.

Você pode experimentar as melhorias simultâneas do controle de detetive em todas as versões do AWS Control Tower. É recomendável que os clientes que ainda não usam a versão 2.7 realizem uma atualização da landing zone para aproveitar outros recursos, como seleção e desseleção de regiões, que estão disponíveis na versão mais recente.

Duas novas regiões disponíveis

29 de julho de 2021

(Atualização necessária para a zona de pouso da AWS Control Tower)

AWSO Control Tower agora está disponível em duas versões adicionais AWS Regiões: América do Sul (São Paulo) e Europa (Paris). Esta atualização expande a disponibilidade do AWS Control Tower para 15 AWS Regiões.

Se você é novo no AWS Control Tower, pode iniciá-lo imediatamente em qualquer uma das regiões suportadas. Durante o lançamento, você pode selecionar as regiões nas quais deseja que a AWS Control Tower construa e controle seu ambiente de várias contas.

Se você já tem um ambiente de AWS Control Tower e deseja estender ou remover os recursos de governança da AWS Control Tower em uma ou mais regiões suportadas, acesse a página Landing Zone Settings no painel da AWS Control Tower e selecione as Regiões. Depois de atualizar sua landing zone, você deve então atualizar todas as contas que são administradas pela AWS Control Tower.

Desseleção de região

29 de julho de 2021

(Atualização opcional para a zona de pouso da AWS Control Tower)

AWSA desseleção da região da Control Tower aprimora sua capacidade de gerenciar a área geográfica dos recursos da AWS Control Tower. Você pode desmarcar regiões que você não gostaria mais de governar pela AWS Control Tower. Esse recurso oferece a capacidade de abordar questões regulatórias e de conformidade e, ao mesmo tempo, equilibrar os custos associados à expansão para outras regiões.

A desseleção da região está disponível quando você atualiza sua versão da zona de pouso do AWS Control Tower.

Quando você usa o Account Factory para criar uma nova conta ou inscrever uma conta de membro preexistente, ou quando seleciona Extend Governance para inscrever contas em uma unidade organizacional preexistente, a Control Tower implanta seus recursos de governança, que incluem registro, monitoramento e AWS controles centralizados, nas regiões escolhidas nas contas. A opção de desmarcar uma região e remover a governança da AWS Control Tower dessa região remove essa funcionalidade de governança, mas não inibe a capacidade de implantação dos usuários AWS recursos ou cargas de trabalho nessas regiões.

AWSO Control Tower funciona com AWS Sistemas de gerenciamento de chaves

28 de julho de 2021

(Atualização opcional para a zona de pouso da AWS Control Tower)

AWSO Control Tower oferece a opção de usar um AWS Serviço de gerenciamento de chaves (AWS KMS) chave. Uma chave é fornecida e gerenciada por você para proteger os serviços que a AWS Control Tower implanta, incluindo AWS CloudTrail, AWS Config e os dados associados do Amazon S3. AWS KMScriptografia é um nível aprimorado de criptografia em relação à criptografia SSE -S3 que a AWS Control Tower usa por padrão.

A integração do AWS KMSo suporte ao AWS Control Tower está alinhado com o AWS Melhores práticas básicas de segurança, que recomendam uma camada adicional de segurança para seus arquivos de log confidenciais. Você deve usar AWS KMS—chaves gerenciadas (SSE-KMS) para criptografia em repouso. AWS KMSo suporte à criptografia está disponível quando você configura uma nova zona de pouso ou quando você atualiza sua zona de pouso existente da AWS Control Tower.

Para configurar essa funcionalidade, você pode selecionar KMSKey Configuration durante a configuração inicial da landing zone. Você pode escolher uma KMS chave existente ou selecionar um botão que o direcione para o AWS KMSconsole para criar um novo. Você também tem a flexibilidade de mudar da criptografia padrão para SSE - KMS ou para uma KMS chave diferenteSSE.

Para uma zona de pouso existente da AWS Control Tower, você pode realizar uma atualização para começar a usar AWS KMSchaves.

Controles renomeados, funcionalidade inalterada

26 de julho de 2021

(Nenhuma atualização é necessária para a landing zone da AWS Control Tower)

AWSA Control Tower está revisando certos nomes e descrições de controle para melhor refletir as intenções políticas do controle. Os nomes e descrições revisados ajudam você a entender de forma mais intuitiva as formas pelas quais os controles incorporam as políticas de suas contas. Por exemplo, alteramos parte dos nomes dos controles de detetive de “Não permitir” para “Detectar” porque o controle de detetive em si não interrompe uma ação específica, ele só detecta violações de políticas e fornece alertas por meio do painel.

A funcionalidade de controle, a orientação e a implementação permanecem inalteradas. Somente os nomes e descrições dos controles foram revisados.

AWSA Control Tower escaneia SCPs diariamente para verificar se há desvio

11 de maio de 2021

(Nenhuma atualização é necessária para a landing zone da AWS Control Tower)

AWSO Control Tower agora realiza escaneamentos automatizados diários de seu gerente SCPs para verificar se os controles correspondentes foram aplicados corretamente e se não foram desviados. Se um escaneamento descobrir um desvio, você receberá uma notificação. AWSO Control Tower envia apenas uma notificação por problema de deriva, portanto, se sua landing zone já estiver em um estado de deriva, você não receberá notificações adicionais a menos que um novo item de deriva seja encontrado.

Nomes OUs e contas personalizados

16 de abril de 2021

(Nenhuma atualização é necessária para a landing zone da AWS Control Tower)

AWSO Control Tower agora permite que você personalize o nome da sua landing zone. Você pode manter os nomes que a AWS Control Tower recomenda para as unidades organizacionais (OUs) e as contas principais, ou pode modificá-los durante o processo inicial de configuração da landing zone.

Os nomes padrão que o AWS Control Tower fornece para as contas principais OUs e as contas principais correspondem ao AWS orientação sobre as melhores práticas para várias contas. No entanto, se sua empresa tiver políticas de nomenclatura específicas ou se você já tiver uma OU ou conta existente com o mesmo nome recomendado, a nova funcionalidade de nomenclatura de conta e UO oferece a flexibilidade de lidar com essas restrições.

Separadamente dessa mudança de fluxo de trabalho durante a configuração, a OU anteriormente conhecida como Core OU agora é chamada de Security OU, e a OU anteriormente conhecida como Custom OU agora é chamada de Sandbox OU. Fizemos essa alteração para melhorar nosso alinhamento com o geral AWS orientação de melhores práticas para nomenclatura.

Novos clientes verão esses novos nomes de UO. Os clientes existentes continuarão vendo os nomes originais delesOUs. Você pode encontrar algumas inconsistências na nomenclatura da UO enquanto atualizamos nossa documentação para os novos nomes.

Para começar a usar o AWS Control Tower a partir do AWS Management Console, acesse o console AWS Control Tower e selecione Configurar landing zone no canto superior direito. Para obter informações adicionais, você pode ler sobre o planejamento da sua landing zone da AWS Control Tower.

AWSVersão 2.7 da zona de pouso da Control Tower

8 de abril de 2021

(Atualização necessária para a zona de pouso do AWS Control Tower para a versão 2.7. Para obter informações, consulteAtualize sua landing zone)

Com a versão 2.7 do AWS Control Tower, a AWS Control Tower introduz quatro novos controles preventivos obrigatórios de arquivamento de registros que implementam políticas somente nos recursos da AWS Control Tower. Ajustamos a orientação de quatro controles existentes do Log Archive de obrigatórios para eletivos, porque eles definem políticas para recursos fora da AWS Control Tower. Essa mudança e expansão de controle oferecem a capacidade de separar a governança do Log Archive para recursos dentro da AWS Control Tower da governança de recursos fora da AWS Control Tower.

Os quatro controles alterados podem ser usados em conjunto com os novos controles obrigatórios para fornecer governança a um conjunto mais amplo de AWS Arquivos de log. Os ambientes existentes da AWS Control Tower manterão esses quatro controles alterados ativados automaticamente, para manter a consistência do ambiente; no entanto, esses controles eletivos agora podem ser desativados. Os novos ambientes da AWS Control Tower devem habilitar todos os controles eletivos. Os ambientes existentes devem desativar os controles anteriormente obrigatórios antes de adicionar criptografia aos buckets do Amazon S3 que não são implantados pela AWS Control Tower.

Novos controles obrigatórios:

  • Proibir alterações na configuração de criptografia para buckets S3 criados pela AWS Control Tower no Log Archive

  • Proibir alterações na configuração de registro para buckets S3 criados pela AWS Control Tower no Log Archive

  • Proibir alterações na política de buckets S3 criados pela AWS Control Tower no Log Archive

  • Proibir alterações na configuração do ciclo de vida dos buckets S3 criados pela AWS Control Tower no Log Archive

A orientação mudou de obrigatória para eletiva:

  • Proibir alterações na configuração de criptografia para todos os buckets do Amazon S3 [Anteriormente: Ativar criptografia em repouso para arquivamento de registros]

  • Proibir alterações na configuração de registro para todos os buckets do Amazon S3 [Anteriormente: habilitar o registro de acesso para arquivamento de registros]

  • Proibir alterações na política de bucket para todos os buckets do Amazon S3 [Anteriormente: Proibir alterações de política no arquivamento de registros]

  • Proibir alterações na configuração do ciclo de vida de todos os buckets do Amazon S3 [Anteriormente: defina uma política de retenção para o arquivamento de registros]

AWSA versão 2.7 do Control Tower inclui alterações no esquema da zona de pouso da AWS Control Tower que podem causar incompatibilidade com versões anteriores após a atualização para a 2.7.

  • Em particular, a versão 2.7 do AWS Control Tower é ativada BlockPublicAccess automaticamente em buckets S3 implantados pela Control TowerAWS. Você pode desativar esse padrão se sua carga de trabalho exigir acesso em várias contas. Para obter mais informações sobre o que acontece com a BlockPublicaccess opção ativada, consulte Bloqueio do acesso público ao seu armazenamento no Amazon S3.

  • AWSA versão 2.7 do Control Tower inclui um requisito paraHTTPS. Todas as solicitações enviadas aos buckets do S3 implantados pela AWS Control Tower devem usar a camada de soquete segura (). SSL Somente HTTPS solicitações podem ser aprovadas. Se você usa HTTP (semSSL) como um endpoint para enviar as solicitações, essa alteração gera um erro de acesso negado, o que pode interromper seu fluxo de trabalho. Essa alteração não pode ser revertida após a atualização 2.7 em sua landing zone.

    Recomendamos que você altere suas solicitações para usar TLS em vez deHTTP.

Três novos AWS Regiões disponíveis

8 de abril de 2021

(Atualização necessária para a zona de pouso da AWS Control Tower)

AWSO Control Tower está disponível em três versões adicionais AWS Regiões: região Ásia-Pacífico (Tóquio), região Ásia-Pacífico (Seul) e região Ásia-Pacífico (Mumbai). É necessária uma atualização da landing zone para a versão 2.7 para expandir a governança nessas regiões.

Sua landing zone não é expandida automaticamente para essas regiões quando você realiza a atualização para a versão 2.7. Você deve visualizá-las e selecioná-las na tabela Regiões para inclusão.

Governe somente regiões selecionadas

19 de fevereiro de 2021

(Nenhuma atualização é necessária para a landing zone da AWS Control Tower)

AWSA seleção da região da Control Tower oferece melhor capacidade de gerenciar a área geográfica dos recursos da AWS Control Tower. Para expandir o número de regiões nas quais você hospeda AWS recursos ou cargas de trabalho — por motivos de conformidade, regulamentação, custo ou outros — agora você pode selecionar as regiões adicionais a serem governadas.

A seleção de região está disponível quando você configura uma nova zona de pouso ou atualiza sua versão da zona de pouso da AWS Control Tower. Quando você usa o Account Factory para criar uma nova conta ou inscrever uma conta de membro preexistente, ou quando usa o Extend Governance para inscrever contas em uma unidade organizacional preexistente, a Control AWS Tower implanta seus recursos de governança de registro, monitoramento e controles centralizados nas regiões escolhidas nas contas. Para obter mais informações sobre a seleção de regiões, consulteConfigure suas regiões AWS da Control Tower.

AWSA Control Tower agora estende a governança para a existente OUs em seu AWS organizações

28 de janeiro de 2021

(Nenhuma atualização é necessária para a landing zone da AWS Control Tower)

Estenda a governança às unidades organizacionais existentes (OUs) (aquelas que não estão na AWS Control Tower) a partir do console da AWS Control Tower. Com esse recurso, você pode colocar contas de alto nível OUs e incluídas sob a governança da AWS Control Tower. Para obter informações sobre como estender a governança a uma OU inteira, consulteRegistre uma unidade organizacional existente na AWS Control Tower.

Quando você registra uma OU, a AWS Control Tower executa uma série de verificações para garantir a extensão bem-sucedida da governança e a inscrição de contas na OU. Para obter mais informações sobre problemas comuns associados ao registro inicial de uma OU, consulteCausas comuns de falha durante o registro ou o novo registro.

Você também pode visitar a página do produto AWS Control Tower ou assistir YouTube a este vídeo sobre como começar a usar o AWS Control Tower for AWS Organizations.

AWSA Control Tower fornece atualizações de contas em massa

28 de janeiro de 2021

(Nenhuma atualização é necessária para a landing zone da AWS Control Tower)

Com o recurso de atualização em massa, agora você pode atualizar todas as contas em um cadastro AWS Organizations unidade organizacional (OU) contendo até 300 contas, com um único clique, no painel do AWS Control Tower. Isso é particularmente útil nos casos em que você atualiza sua zona de pouso do AWS Control Tower e também precisa atualizar suas contas inscritas para alinhá-las à versão atual da zona de pouso.

Esse recurso também ajuda você a manter suas contas atualizadas quando você atualiza sua landing zone da AWS Control Tower para expandir para novas regiões, ou quando você deseja registrar novamente uma OU para garantir que todas as contas nessa OU tenham os controles mais recentes aplicados. A atualização em massa da conta elimina a necessidade de atualizar uma conta por vez ou usar um script externo para realizar a atualização em várias contas.

Para obter informações sobre como atualizar um landing zone, consulteAtualize sua landing zone.

Para obter informações sobre como registrar ou registrar novamente uma OU, consulte. Registre uma unidade organizacional existente na AWS Control Tower