De janeiro a dezembro de 2022
Em 2022, o AWS Control Tower lançou as seguintes atualizações:
-
Controles abrangentes auxiliam no provisionamento e gerenciamento de recursos da AWS
-
Status de conformidade visível para todas as regras do AWS Config
-
Inscrição e atualização mais fáceis para contas-membros individuais
-
AFT permite a personalização automatizada para contas compartilhadas do AWS Control Tower
Operações de conta simultâneas
16 de dezembro de 2022
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora permite ações simultâneas no Account Factory. É possível criar, atualizar ou inscrever até cinco (5) contas por vez. Envie até cinco ações consecutivas e veja o status de conclusão de cada solicitação, enquanto as contas terminam de ser criadas em segundo plano. Por exemplo, você não precisa mais esperar que cada processo seja concluído antes de atualizar outra conta ou antes de registrar novamente uma unidade organizacional (UO) inteira.
Account Factory Customization (AFC)
28 de novembro de 2022
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O Account Factory Customization permite que você personalize contas novas e existentes no console do AWS Control Tower. Esses novos recursos de personalização oferecem a flexibilidade de definir esquemas de conta, que são modelos do AWS CloudFormation contidos em um produto especializado do Service Catalog. Os esquemas fornecem recursos e configurações totalmente personalizados. Você também pode optar por usar esquemas predefinidos, criados e gerenciados por parceiros da AWS, que ajudam a personalizar contas para casos de uso específicos.
Anteriormente, o Account Factory do AWS Control Tower não permitia a personalização de contas no console. Com essa atualização do Account Factory, é possível predefinir os requisitos da conta e implementá-los como parte de um fluxo de trabalho bem definido. É possível aplicar esquemas para criar contas, inscrever outras contas da AWS no AWS Control Tower e atualizar as contas existentes do AWS Control Tower.
Ao provisionar, inscrever ou atualizar uma conta no Account Factory, você seleciona o esquema a ser implantado. Esses recursos especificados no esquemas são provisionados na conta. Quando a conta termina de ser criada, todas as configurações personalizadas ficam disponíveis para uso imediato.
Para começar a personalizar contas, é possível definir os recursos para o caso de uso pretendido em um produto do Service Catalog. Você também pode selecionar soluções gerenciadas por parceiros na biblioteca de conceitos básicos da AWS. Consulte mais informações em Personalizar contas com Account Factory Customization (AFC).
Controles abrangentes auxiliam no provisionamento e gerenciamento de recursos da AWS
28 de novembro de 2022
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora permite o gerenciamento abrangente de controles, incluindo controles proativos novos e opcionais, implementados por meio de hooks do AWS CloudFormation. Esses controles são chamados de proativos porque verificam seus recursos, antes de serem implantados, para determinar se os novos recursos estão em conformidade com os controles ativados no ambiente.
Mais de 130 novos controles proativos ajudam você a cumprir objetivos políticos específicos para o ambiente do AWS Control Tower; a atender aos requisitos dos frameworks de conformidade padrão do setor; e a administrar as interações do AWS Control Tower em mais de vinte outros serviços da AWS.
A biblioteca de controles do AWS Control Tower classifica esses controles de acordo com os recursos e serviços associados da AWS. Consulte mais detalhes em Proactive controls.
Com esse lançamento, o AWS Control Tower também é integrado ao AWS Security Hub, por meio do novo padrão gerenciado por serviços do Security Hub: AWS Control Tower, compatível com o padrão AWS Foundational Security Best Practices (FSBP). Você pode ver mais de 160 controles do Security Hub junto com os controles do AWS Control Tower no console e obter uma pontuação de segurança do Security Hub para o ambiente do AWS Control Tower. Consulte mais informações em Security Hub controls.
Status de conformidade visível para todas as regras do AWS Config
18 de novembro de 2022
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora exibe o status de conformidade de todas as regras do AWS Config implantadas em unidades organizacionais registradas no AWS Control Tower. É possível ver o status de conformidade de todas as regras do AWS Config que afetam suas contas no AWS Control Tower, inscritas ou não inscritas, sem sair do console do AWS Control Tower. Os clientes podem optar por configurar regras do Config, chamadas de controles de detecção, no AWS Control Tower ou configurá-las diretamente por meio do serviço AWS Config. As regras implantadas pelo AWS Config são mostradas, junto com as regras implantadas pelo AWS Control Tower.
Anteriormente, as regras do AWS Config implantadas por meio do serviço AWS Config não eram visíveis no console do AWS Control Tower. Os clientes precisavam acessar o serviço AWS Config para identificar regras do AWS Config não compatíveis. Agora é possível identificar qualquer regra do AWS Config não compatível no console do AWS Control Tower. Para ver o status de conformidade de todas as regras do Config, acesse a página Detalhes da conta no console do AWS Control Tower. Você verá uma lista mostrando o status de conformidade dos controles gerenciados pelas regras do Config e do AWS Control Tower implantadas fora do AWS Control Tower.
API para controles e um novo recurso da AWS CloudFormation
1º de setembro de 2022
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora permite o gerenciamento programático de controles, também conhecido como barreiras de proteção, por meio de um conjunto de chamadas de API. Um novo recurso da AWS CloudFormation é compatível com a funcionalidade da API para controles. Para obter mais detalhes, consulte Automatizar tarefas no AWS Control Tower e Criar recursos do AWS Control Tower com o AWS CloudFormation.
Essas APIs permitem que você habilite, desabilite e visualize o status dos controles da aplicação na biblioteca do AWS Control Tower. As APIs incluem suporte para o AWS CloudFormation, para que você possa gerenciar recursos da AWS como infraestrutura como código (IaC). O AWS Control Tower fornece controles preventivos e de detecção opcionais que expressam suas intenções políticas em relação a uma unidade organizacional (UO) e a cada conta da AWS dentro da UO. Essas regras permanecem em vigor à medida que você cria contas ou faz alterações nas contas existentes.
APIs incluídas nesse lançamento
-
EnableControl: essa chamada de API ativa um controle. Ele inicia uma operação assíncrona que cria recursos da AWS na unidade organizacional especificada e nas contas que ela contém.
-
DisableControl: essa chamada de API desativa um controle. Ele inicia uma operação assíncrona que exclui recursos da AWS na unidade organizacional especificada e nas contas que ela contém.
-
GetControlOperation: retorna o status de uma operação EnableControl ou DisableControl específica.
-
ListEnabledControls: lista os controles habilitados pelo AWS Control Tower na unidade organizacional especificada e as contas que ela contém.
Consulte uma lista de nomes de controles opcionais em Resource identifiers for APIs and controls no Guia do usuário do AWS Control Tower.
O CfCT permite a exclusão do conjunto de pilhas
26 de agosto de 2022
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O Customizations for AWS Control Tower (CfCT) agora permite a exclusão de conjuntos de pilhas, definindo um parâmetro no arquivo manifest.yaml. Consulte mais informações em Excluir um conjunto de pilhas.
Importante
Quando você define inicialmente o valor de enable_stack_set_deletion para true, na próxima vez que invocar o CfCT, TODOS os recursos que começam com o prefixo CustomControlTower-, que têm a tag de chave Key:AWS_Solutions, Value: CustomControlTowerStackSet associada e que não são declarados no arquivo de manifesto, são preparados para exclusão.
Retenção de logs personalizada
15 de agosto de 2022
(Atualização necessária para a zona de pouso do AWS Control Tower. Consulte informações em Atualizar a zona de pouso)
O AWS Control Tower agora permite personalizar a política de retenção para buckets do Amazon S3 que armazenam logs do CloudTrail do AWS Control Tower. É possível personalizar a política de retenção de logs do Amazon S3, em incrementos de dias ou anos, até um máximo de 15 anos.
Se você optar por não personalizar a retenção de logs, as configurações padrão são de um ano para registro em log de conta padrão e 10 anos para registro em log de acesso.
Esse recurso está disponível para clientes existentes por meio do AWS Control Tower quando você atualiza ou repara a zona de pouso, e para novos clientes por meio do processo de configuração do AWS Control Tower.
Reparo de desvio de perfil disponível
11 de agosto de 2022
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora permite o reparo em caso de desvio de perfil. É possível restaurar um perfil necessário sem um reparo completo da zona de pouso. Se esse tipo de reparo de desvio for necessário, a página de erro do console fornece etapas para restaurar o perfil, para que a zona de pouso esteja novamente disponível.
Versão 3.0 da zona de pouso do AWS Control Tower
29 de julho de 2022
(É necessário atualizar a zona de pouso do AWS Control Tower para a versão 3.0. Consulte informações em Atualizar a zona de pouso)
A versão 3.0 da zona de pouso do AWS Control Tower inclui as seguintes atualizações:
-
A opção de escolher trilhas do AWS CloudTrail no nível organizacional ou optar pelo cancelamento das trilhas do CloudTrail gerenciadas pelo AWS Control Tower.
-
Dois novos controles de detecção para determinar se o AWS CloudTrail está registrando em log atividades em suas contas.
-
A opção de agregar informações do AWS Config sobre recursos globais somente na região de origem.
-
Uma atualização do controle de negação de região.
-
Uma atualização da política gerenciada, AWSControlTowerServiceRolePolicy.
-
Não criamos mais o perfil do IAM
aws-controltower-CloudWatchLogsRolee o grupo de logsaws-controltower/CloudTrailLogsdo CloudWatch em cada conta inscrita. Anteriormente, nós os criávamos em cada conta para sua trilha de conta. Com trilhas da organização, criamos apenas um na conta de gerenciamento.
As seções a seguir fornecem mais detalhes sobre cada recurso novo.
Trilhas do CloudTrail no nível da organização no AWS Control Tower
Com a versão 3.0 da zona de pouso, o AWS Control Tower agora permite trilhas do AWS CloudTrail no nível da organização.
Ao atualizar a zona de pouso do AWS Control Tower para a versão 3.0, você tem a opção de selecionar trilhas do AWS CloudTrail no nível da organização como sua preferência de registro em log ou optar pelo cancelamento das trilhas do CloudTrail que são gerenciadas pelo AWS Control Tower. Quando você atualiza para a versão 3.0, o AWS Control Tower exclui as trilhas existentes no nível da conta para contas inscritas após um período de espera de 24 horas. O AWS Control Tower não exclui trilhas no nível da conta para contas não inscritas. No caso improvável de a atualização da zona de pouso não ser bem-sucedida, mas a falha ocorrer depois que o AWS Control Tower já tiver criado a trilha no nível da organização, você poderá incorrer em cobranças duplicadas pelas trilhas no nível da organização e da conta, até que a operação de atualização seja concluída com sucesso.
A partir da zona de pouso 3.0, o AWS Control Tower não é mais compatível com trilhas no nível da conta que o AWS gerencia. Em vez disso, o AWS Control Tower cria uma trilha no nível da organização, que é ativa ou inativa, de acordo com sua seleção.
nota
Depois de atualizar para a versão 3.0 ou posterior, você não tem a opção de continuar com as trilhas do CloudTrail no nível da conta gerenciadas pelo AWS Control Tower.
Nenhum dado de registro em log é perdido dos logs de conta agregados, porque os logs permanecem no bucket existente do Amazon S3, onde estão armazenados. Somente as trilhas são excluídas, não os logs existentes. Se você selecionar a opção de adicionar trilhas no nível da organização, o AWS Control Tower abrirá um novo caminho para uma nova pasta dentro do bucket do Amazon S3 e continuará enviando informações de registro em log para esse local. Se você optar por não participar das trilhas gerenciadas pelo AWS Control Tower, os logs existentes permanecerão no bucket, inalterados.
Convenções de nomenclatura de caminhos para armazenamento de logs
-
Os logs de trilha da conta são armazenados com um caminho deste formato:
/org id/AWSLogs/… -
Os logs de trilha da organização são armazenados com um caminho deste formato:
/org id/AWSLogs/org id/…
O caminho que o AWS Control Tower cria para as trilhas do CloudTrail no nível da organização é diferente do caminho padrão para uma trilha no nível da organização criada manualmente, que teria o seguinte formato:
-
/AWSLogs/org id/…
Consulte mais informações sobre a nomenclatura de caminhos do CloudTrail em Finding your CloudTrail log files.
dica
Se você planeja criar e gerenciar suas próprias trilhas no nível de conta, recomendamos que você crie as trilhas antes de concluir a atualização para a versão 3.0 da zona de pouso do AWS Control Tower, para começar o registro em log imediatamente.
A qualquer momento, você pode optar por criar trilhas do CloudTrail no nível da conta ou da organização e gerenciá-las por conta própria. A opção de escolher trilhas do CloudTrail no nível da organização gerenciadas pelo AWS Control Tower está disponível durante qualquer atualização da zona de pouso para a versão 3.0 ou posterior. Você pode optar por aceitar ou cancelar trilhas no nível da organização, sempre que atualizar a zona de pouso.
Se os logs forem gerenciados por um serviço de terceiros, forneça o nome do novo caminho para o serviço.
nota
Para zonas de pouso na versão 3.0 ou posterior, as trilhas do AWS CloudTrail no nível da conta não são compatíveis com o AWS Control Tower. É possível criar e manter suas próprias trilhas no nível da conta a qualquer momento, ou pode optar por trilhas no nível da organização gerenciadas pelo AWS Control Tower.
Registre recursos do AWS Config somente na região de origem
Na versão 3.0 da zona de pouso, o AWS Control Tower atualizou a configuração da linha de base para o AWS Config a fim de registrar recursos globais somente na região de origem. Depois de atualizar para a versão 3.0, a gravação de recursos globais é ativada somente na região de origem.
Essa configuração é considerada uma prática recomendada. Isso é recomendado pelo AWS Security Hub e AWS Config e gera economia de custos ao reduzir o número de itens de configuração criados quando recursos globais são criados, modificados ou excluídos. Anteriormente, sempre que um recurso global era criado, atualizado ou excluído, seja por um cliente ou por um serviço da AWS, um item de configuração era criado para cada item em cada região administrada.
Dois novos controles de detecção para registro em log do AWS CloudTrail
Como parte da mudança nas trilhas do AWS CloudTrail no nível da organização, o AWS Control Tower está lançando dois novos controles de detecção que verificam se o CloudTrail está habilitado. O primeiro controle tem orientação Obrigatória e é habilitado na UO de segurança durante as atualizações de configuração ou da zona de pouso da versão 3.0 e posterior. O segundo controle tem orientação Altamente recomendada e é opcionalmente aplicado a qualquer UO que não seja a de segurança, que já tem a proteção de controle obrigatória aplicada.
Mandatory control: Detect whether shared accounts under the Security organizational unit have AWS CloudTrail or CloudTrail Lake enabled
Strongly recommended control: Detect whether an account has AWS CloudTrail or CloudTrail Lake enabled
Consulte mais informações sobre os novos controles em The AWS Control Tower controls library.
Uma atualização do controle de negação de região
Atualizamos a lista NotAction no controle de negação de região para incluir ações de alguns serviços adicionais, listados abaixo:
“chatbot:*”, "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", “s3:GetStorageLensDashboard", “s3:ListStorageLensConfigurations” “s3:GetAccountPublicAccessBlock“,, “s3:PutAccountPublic", “s3:PutAccountPublicAccessBlock“,
Vídeo de demonstração
Este vídeo (3:07) descreve como atualizar a zona de pouso atual do AWS Control Tower para a versão 3. Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.
A página Organização combina visualizações de UOs e contas
18 de julho de 2022
(Não é necessário atualizar a zona de pouso do AWS Control Tower)
A nova página Organização no AWS Control Tower mostra uma visão hierárquica de todas as unidades organizacionais (UOs) e contas. Ela combina as informações das páginas UOs e Contas, que existiam anteriormente.
Na nova página, é possível ver as relações entre UOs principais e suas contas e UOs aninhadas. Você pode realizar ações em agrupamentos de recursos. É possível configurar a visualização da página. Por exemplo, você pode expandir ou reduzir a visualização hierárquica, filtrar a visualização para ver somente contas ou UOs, optar por visualizar somente contas inscritas e OUs registradas, ou visualizar grupos de recursos relacionados. É mais fácil garantir que toda a organização seja atualizada adequadamente.
Inscrição e atualização mais fáceis para contas-membros individuais
31 de maio de 2022
(Não é necessário atualizar a zona de pouso do AWS Control Tower)
O AWS Control Tower agora oferece um recurso aprimorado de atualizar e inscrever contas-membros individualmente. Cada conta mostra quando está disponível para uma atualização, para que você possa garantir mais facilmente que suas contas-membros incluam a configuração mais recente. É possível atualizar a zona de pouso, corrigir o desvio da conta ou inscrever uma conta em uma UO registrada, em algumas etapas simplificadas.
Quando você atualiza uma conta, não é necessário incluir toda a unidade organizacional (UO) da conta em cada ação de atualização. Como resultado, o tempo necessário para atualizar uma conta individual é bastante reduzido.
É possível inscrever contas nas UOs do AWS Control Tower com mais ajuda do console do AWS Control Tower. As contas existentes que você inscreve no AWS Control Tower ainda devem atender aos pré-requisitos da conta, e você deve adicionar o perfil AWSControlTowerExecution. Depois, você pode escolher qualquer UO registrada e inscrever a conta nela selecionando o botão Inscrever.
Separamos a funcionalidade Inscrever conta do fluxo de trabalho Criar conta no Account Factory para distinguir melhor esses processos semelhantes e ajudar a evitar erros de configuração ao inserir as informações da conta.
AFT permite a personalização automatizada para contas compartilhadas do AWS Control Tower
27 de maio de 2022
(Não é necessário atualizar a zona de pouso do AWS Control Tower)
O Account Factory for Terraform (AFT) agora pode personalizar e atualizar programaticamente qualquer uma das suas contas gerenciadas pelo AWS Control Tower, incluindo a conta de gerenciamento, a conta de auditoria e a conta de arquivamento de logs, junto com suas contas inscritas. É possível centralizar a personalização da conta e o gerenciamento de atualizações e, ao mesmo tempo, proteger a segurança das configurações da conta, porque você define o escopo do perfil que executa o trabalho.
O perfil existente AWSAFTExecution agora implanta personalizações em todas as contas. É possível configurar permissões do IAM com limites que restringem o acesso ao perfil AWSAFTExecution de acordo com seus requisitos comerciais e de segurança. Você também pode delegar programaticamente as permissões de personalização aprovadas nesse perfil para usuários confiáveis. Como prática recomendada, é aconselhável restringir as permissões às necessárias para implantar as personalizações necessárias.
O AFT agora cria o perfil AWSAFTService para implantar recursos do AFT em todas as contas gerenciadas, incluindo as contas compartilhadas e a conta de gerenciamento. Anteriormente, os recursos eram implantados pelo perfil AWSAFTExecution.
As contas compartilhadas e gerenciadas do AWS Control Tower não são provisionadas pelo Account Factory, então, elas não têm produtos provisionados correspondentes no AWS Service Catalog. Portanto, você não pode atualizar as contas compartilhadas e de gerenciamento no Service Catalog.
Operações simultâneas para todos os controles opcionais
18 de maio de 2022
(Não é necessário atualizar a zona de pouso do AWS Control Tower)
O AWS Control Tower agora permite operações simultâneas para controles preventivos, bem como para controles de detecção.
Com esse novo recurso, qualquer controle opcional agora pode ser aplicado ou removido simultaneamente, melhorando assim a facilidade de uso e o desempenho de todos os controles opcionais. É possível habilitar vários controles opcionais sem esperar que as operações de controle individuais sejam concluídas. Os únicos horários restritos são quando o AWS Control Tower está no processo de configuração da zona de pouso ou ao estender a governança a uma nova organização.
Funcionalidade compatível apenas com controles preventivos:
-
Aplique e remova diferentes controles preventivos na mesma UO.
-
Aplique e remova diferentes controles preventivos em diferentes UOs simultaneamente.
-
Aplique e remova o mesmo controle preventivo em várias UOs, simultaneamente.
-
É possível aplicar e remover controles preventivos e de detecção simultaneamente.
Você pode experimentar essas melhorias de controle simultâneo em todas as versões lançadas do AWS Control Tower.
Quando você aplica controles preventivos às UOs aninhadas, eles afetam todas as contas e UOs aninhadas na UO de destino, mesmo que essas contas e UOs não estejam registradas no AWS Control Tower. Os controles preventivos são implementados usando políticas de controle de serviços (SCPs), que fazem parte do AWS Organizations. Os controles de detecção são implementados usando regras do AWS Config. As barreiras de proteção permanecem em vigor à medida que você cria contas ou faz alterações em contas existentes, e o AWS Control Tower fornece um relatório resumido de como cada conta está em conformidade com as políticas habilitadas. Consulte uma lista completa dos controles disponíveis em The AWS Control Tower controls library.
Contas de segurança e de registro em log existentes
16 de maio de 2022
(Disponível durante a configuração inicial.)
O AWS Control Tower agora permite especificar uma conta da AWS existente como uma conta de segurança ou de registro em log do AWS Control Tower, durante o processo inicial de configuração da zona de pouso. Essa opção elimina a necessidade de o AWS Control Tower criar contas novas e compartilhadas. A conta de segurança, chamada de conta de auditoria por padrão, é uma conta restrita que dá às equipes de segurança e conformidade acesso a todas as contas na zona de pouso. A conta de registro em log, chamada de conta de arquivamento de logs por padrão, funciona como um repositório. Ela armazena logs de atividades de API e configurações de recursos de todas as contas na zona de pouso.
Ao trazer suas contas existentes de segurança e de registro em log, é mais fácil estender a governança do AWS Control Tower para suas organizações existentes ou migrar de uma zona de pouso alternativa para o AWS Control Tower. A opção de usar contas existentes é exibida durante a configuração inicial da zona de pouso. Ela inclui verificações durante o processo de configuração, que garantem a implantação bem-sucedida. O AWS Control Tower implementa os perfil e os controles necessários nas contas existentes. Ele não remove nem mescla nenhum recurso ou dado existente nessas contas.
Limitação: se você planeja trazer contas da AWS existentes para o AWS Control Tower como contas de auditoria e de arquivamento de logs, e se essas contas tiverem recursos do AWS Config existentes, será necessário excluir os recursos do AWS Config existentes antes de poder inscrevê-las no AWS Control Tower.
Versão 2.9 da zona de pouso do AWS Control Tower
22 de abril de 2022
(É necessário atualizar a zona de pouso do AWS Control Tower para a versão 2.9. Consulte informações em Atualizar a zona de pouso)
A versão 2.9 da zona de pouso do AWS Control Tower atualiza o encaminhador de notificações do Lambda para usar o runtime do Python versão 3.9. Essa atualização aborda a desativação da versão 3.6 do Python, planejada para julho de 2022. Consulte as informações mais recentes na página de desativação do Python.
Versão 2.8 da zona de pouso do AWS Control Tower
10 de fevereiro de 2022
(É necessário atualizar a zona de pouso do AWS Control Tower para a versão 2.8. Consulte informações em Atualizar a zona de pouso)
A versão 2.8 da zona de pouso do AWS Control Tower adiciona uma funcionalidade que se alinha às atualizações recentes de AWS Foundational Security Best Practices.
Nesse lançamento:
-
O registro em log de acesso é configurado para o bucket de log de acesso na conta de arquivamento de logs, para acompanhar o acesso ao bucket de log de acesso existente do S3.
-
Suporte adicionado para políticas de ciclo de vida. O log de acesso do bucket de log de acesso existente do S3 está definido para um tempo de retenção padrão de 10 anos.
-
Além disso, esse lançamento atualiza o AWS Control Tower para usar o perfil vinculado ao serviço (SLR) da AWS fornecido pelo AWS Config em todas as contas gerenciadas (sem incluir a conta de gerenciamento), para que você possa configurar e gerenciar as regras do Config de acordo com as práticas recomendadas do AWS Config. Os clientes que não fizerem upgrade continuarão usando o perfil atual.
-
Esse lançamento simplifica o processo de configuração do KMS do AWS Control Tower para criptografar dados do AWS Config e aprimora as mensagens de status relacionadas no CloudTrail.
-
O lançamento inclui uma atualização do controle de negação de região, para permitir o recurso
route53-application-recoveryna regiãous-west-2. -
Atualização: em 15 de fevereiro de 2022, removemos a fila de mensagens não entregues das funções do AWS Lambda.
Outros detalhes:
-
Se você desativar a zona de pouso, o AWS Control Tower não removerá o perfil vinculado ao serviço do AWS Config.
-
Se você desprovisionar uma conta do Account Factory, o AWS Control Tower não removerá o perfil vinculado ao serviço do AWS Config.
Para atualizar a zona de pouso para 2.8, acesse a página Configurações de zona inicial, selecione a versão 2.8 e escolha Atualizar. Depois de atualizar a zona de pouso, você deve atualizar todas as contas que são administradas pelo AWS Control Tower, conforme indicado em Gerenciamento de atualizações de configuração no AWS Control Tower.
