De janeiro a dezembro de 2023

• Transição para um novo tipo de produto AWS Service Catalog externo (fase 3)

• Versão 3.3 da zona de pouso do AWS Control Tower

• Transição para um novo tipo de produto AWS Service Catalog externo (fase 2)

• AWS Control Tower anuncia controles para auxiliar a soberania digital

• O AWS Control Tower é compatível com landing zone APIs

• AWS Control Tower permite a marcação de controles habilitados

• AWS Control Tower disponível na região Ásia-Pacífico (Melbourne)

• Transição para um novo tipo de produto AWS Service Catalog externo (fase 1)

• Nova API de controle disponível

• AWS Control Tower adiciona outros controles

• Novo tipo de desvio relatado: acesso confiável desabilitado

• Quatro adicionais Regiões da AWS

• AWS Control Tower disponível na região Tel Aviv

• AWS Control Tower lança 28 novos controles proativos

• AWS Control Tower desativa dois controles

• Versão 3.2 da zona de pouso do AWS Control Tower

• AWS Control Tower gerencia contas com base em ID

• Controles de detecção adicionais do Security Hub disponíveis na biblioteca de controles do AWS Control Tower

• AWS Control Tower publica tabelas de metadados de controle

• Suporte do Terraform para o Account Factory Customization

• AWS Autogerenciamento do IAM Identity Center disponível para landing zone

• O AWS Control Tower aborda a governança mista para OUs

• Controles proativos adicionais disponíveis

• Controles EC2 proativos atualizados da Amazon

• Sete adicionais Regiões da AWS disponíveis

• Rastreamento de solicitações de personalização de conta do Account Factory for Terraform (AFT)

• Versão 3.1 da zona de pouso do AWS Control Tower

• Controles proativos disponíveis ao público

Atualizações no controle de negação de região da zona de pouso

• discovery-marketplace: removido. Essa ação é coberta pela isenção aws-marketplace:*.

• quicksight:DescribeAccountSubscription adicionado

Novos controles proativos

• CT.APIGATEWAY.PR.6: Exija um domínio REST do Amazon API Gateway para usar uma política de segurança que especifique uma versão mínima do protocolo TLS de .2 TLSv1

• CT.APPSYNC.PR.2: Exigir que uma API AWS AppSync GraphQL seja configurada com visibilidade privada

• CT.APPSYNC.PR.3: Exija que uma API AWS AppSync GraphQL não seja autenticada com chaves de API

• CT.APPSYNC.PR.4: Exigir um cache da API AWS AppSync GraphQL para ter a criptografia em trânsito ativada.

• CT.APPSYNC.PR.5: Exigir um cache da API AWS AppSync GraphQL para ter a criptografia em repouso ativada.

• CT.AUTOSCALING.PR.9: Exija um volume do Amazon EBS configurado por meio de uma configuração de lançamento do Amazon EC2 Auto Scaling para criptografar dados em repouso

• CT.AUTOSCALING.PR.10: Exija que um grupo do Amazon EC2 Auto Scaling use somente tipos de instância AWS Nitro ao substituir um modelo de execução

• CT.AUTOSCALING.PR.11: Exija que somente os tipos de instância AWS Nitro que suportem criptografia de tráfego de rede entre instâncias sejam adicionados a um grupo do Amazon EC2 Auto Scaling, ao substituir um modelo de execução

• CT.DAX.PR.3: exija um cluster do DynamoDB Accelerator para criptografar dados em trânsito com o Transport Layer Security (TLS).

• CT.DMS.PR.2: Exigir um endpoint do AWS Database Migration Service (DMS) para criptografar conexões para endpoints de origem e destino

• CT.EC2.PR.15: Exija que uma EC2 instância da Amazon use um tipo de instância AWS Nitro ao criar a partir do tipo de AWS::EC2::LaunchTemplate recurso

• CT.EC2.PR.16: Exija que uma EC2 instância da Amazon use um tipo de instância AWS Nitro quando criada usando o tipo AWS::EC2::Instance de recurso

• CT.EC2.PR.17: Exigir um host EC2 dedicado da Amazon para usar um tipo de instância do AWS Nitro

• CT.EC2.PR.18: Exija que uma EC2 frota da Amazon substitua somente os modelos de lançamento pelos tipos de instância AWS Nitro

• CT.EC2.PR.19: Exija que uma EC2 instância da Amazon use um tipo de instância nitro que ofereça suporte à criptografia em trânsito entre instâncias quando criada usando o AWS::EC2::Instance tipo de recurso

• CT.EC2.PR.20: Exija que uma EC2 frota da Amazon substitua somente os modelos de lançamento pelos tipos de instância AWS Nitro que ofereçam suporte à criptografia em trânsito entre instâncias

• CT.ELASTICACHE.PR.8: Exija que um grupo de ElastiCache replicação da Amazon de versões posteriores do Redis tenha a autenticação RBAC ativada

• CT.MQ.PR.1: exija que um agente do Amazon MQ ActiveMQ use o modo de implantação ativo/em espera para alta disponibilidade.

• CT.MQ.PR.2: exija que um agente do Amazon MQ Rabbit MQ use o modo de cluster multi-AZ para alta disponibilidade.

• CT.MSK.PR.1: exija um cluster do Amazon Managed Streaming for Apache Kafka (MSK) para aplicar a criptografia em trânsito entre os nós do agente de cluster.

• CT.MSK.PR.2: Exija que um cluster Amazon Managed Streaming for Apache Kafka (MSK) seja configurado com desativado PublicAccess

• CT.NETWORK-FIREWALL.PR.5: Exigir que um firewall de Firewall de AWS Rede seja implantado em várias zonas de disponibilidade

• CT.RDS.PR.26: exija um proxy de banco de dados do Amazon RDS para requerer conexões de Transport Layer Security (TLS).

• CT.RDS.PR.27: exija um grupo de parâmetros de cluster de banco de dados do Amazon RDS para requerer conexões de Transport Layer Security (TLS) para tipos de mecanismos compatíveis.

• CT.RDS.PR.28: exija um grupo de parâmetros de banco de dados do Amazon RDS para requerer conexões de Transport Layer Security (TLS) para tipos de mecanismos compatíveis.

• CT.RDS.PR.29: Exija que um cluster Amazon RDS não esteja configurado para ser acessível publicamente por meio da propriedade 'PubliclyAccessible'

• CT.RDS.PR.30: exija que uma instância de banco de dados do Amazon RDS tenha a criptografia em repouso configurada para usar uma chave do KMS que você especifique para os tipos de mecanismos compatíveis.

• CT.S3.PR.12: exija que um ponto de acesso Amazon S3 tenha uma configuração de Bloqueio de Acesso Público (BPA) com todas as opções definidas como verdadeiras.

Novos controles preventivos

• CT.APPSYNC.PV.1 Exija que uma API AWS AppSync GraphQL esteja configurada com visibilidade privada

• CT.EC2.PV.1 Exija que um snapshot do Amazon EBS seja criado a partir de um volume criptografado EC2

• CT.EC2.PV.2 Exija que um volume anexado do Amazon EBS esteja configurado para criptografar dados em repouso

• CT.EC2.PV.3 Exija que um snapshot do Amazon EBS não possa ser restaurado publicamente

• CT.EC2.PV.4 Exija que o Amazon EBS direct não APIs seja chamado

• CT.EC2.PV.5 Proibir o uso da importação e exportação da Amazon EC2 VM

• CT.EC2.PV.6 Proibir o uso de ações obsoletas da Amazon e da API EC2 RequestSpotFleet RequestSpotInstances

• CT.KMS.PV.1 Exija que uma política AWS KMS fundamental tenha uma declaração que limite a criação de AWS KMS subsídios a AWS serviços

• CT.KMS.PV.2 Exija que uma chave AWS KMS assimétrica com material de chave RSA usado para criptografia não tenha um comprimento de chave de 2048 bits

• CT.KMS.PV.3 Exija que uma AWS KMS chave seja configurada com a verificação de segurança de bloqueio de política de desvio ativada

• CT.KMS.PV.4 Exija que uma chave AWS KMS gerenciada pelo cliente (CMK) seja configurada com material de chave proveniente do CloudHSM AWS

• CT.KMS.PV.5 Exigir que uma chave AWS KMS gerenciada pelo cliente (CMK) seja configurada com material de chave importado

• CT.KMS.PV.6 Exija que uma chave AWS KMS gerenciada pelo cliente (CMK) seja configurada com material de chaves proveniente de um armazenamento de chaves externo (XKS)

• CT.LAMBDA.PV.1 Exigir um URL de AWS Lambda função para usar a autenticação AWS baseada em IAM

• CT.LAMBDA.PV.2 Exija que um URL de AWS Lambda função seja configurado para acesso somente por diretores dentro de seu Conta da AWS

• CT.MULTISERVICE.PV.1: Negar acesso AWS com base na solicitação de uma unidade organizacional Região da AWS

Novos controles de detecção

• SH.ACM.2: os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

• SH.AppSync.5: O AWS AppSync GraphQL não APIs deve ser autenticado com chaves de API

• SH.CloudTrail.6: certifique-se de que o bucket do S3 usado para armazenar CloudTrail registros não esteja acessível ao público:

• SH.DMS.9: os endpoints do DMS devem usar SSL.

• SH.DocumentDB.3: os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos.

• SH.DynamoDB.3: os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso.

• SH.EC2.23: os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC

• SH.EKS.1: os endpoints do cluster do EKS não devem ser acessíveis ao público.

• SH.ElastiCache.3: os grupos ElastiCache de replicação devem ter o failover automático ativado

• SH.ElastiCache.4: os grupos ElastiCache de replicação deveriam estar habilitados encryption-at-rest

• SH.ElastiCache.5: os grupos ElastiCache de replicação deveriam estar habilitados encryption-in-transit

• SH.ElastiCache.6: grupos ElastiCache de replicação de versões anteriores do Redis devem ter o Redis AUTH ativado

• SH.EventBridge.3: os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada

• SH.KMS.4: a rotação de AWS KMS chaves deve estar ativada

• SH.Lambda.3: as funções do Lambda devem estar em uma VPC.

• SH.MQ.5: os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera.

• SH.MQ.6: os agentes do RabbitMQ devem usar o modo de implantação de cluster.

• SH.MSK.1: os clusters do MSK devem ser criptografados em trânsito entre os nós do agente.

• SH.RDS.12: a autenticação do IAM deve ser configurada para clusters do RDS.

• SH.RDS.15: os clusters de banco de dados do RDS devem ser configurados com várias zonas de disponibilidade.

• SH.S3.17: os buckets S3 devem ser criptografados em repouso com chaves AWS KMS

• A API EnableControl atualizada pode configurar controles que são configuráveis.

• A API GetEnabledControl atualizada mostra os parâmetros configurados em um controle habilitado.

• A nova API UpdateEnabledControl pode alterar os parâmetros em um controle habilitado.

• CreateLandingZone: essa chamada de API cria uma zona de pouso usando uma versão da zona de pouso e um arquivo de manifesto.

• GetLandingZoneOperation: essa chamada de API retorna o status de uma operação de zona de pouso especificada.

• GetLandingZone: essa chamada de API retorna detalhes sobre a zona de pouso especificada, incluindo a versão, o arquivo de manifesto e o status.

• UpdateLandingZone: essa chamada de API atualiza a versão da zona de pouso ou o arquivo de manifesto.

• ListLandingZone: essa chamada de API retorna um identificador da zona de pouso (ARN) para uma configuração da zona de pouso na conta de gerenciamento.

• ResetLandingZone: essa chamada de API redefine a zona de pouso para os parâmetros especificados na atualização mais recente, o que pode reparar o desvio. Se a zona de pouso não tiver sido atualizada, essa chamada a redefinirá para os parâmetros especificados na criação.

• DeleteLandingZone: essa chamada de API desativa a zona de pouso.

• TagResource: essa chamada de API adiciona tags aos controles habilitados no AWS Control Tower.

• UntagResource: essa chamada de API remove as tags dos controles habilitados no AWS Control Tower.

• ListTagsForResource: essa chamada de API retorna tags para controles habilitados no AWS Control Tower.

• GetEnabledControl: a chamada de API fornece detalhes sobre um controle habilitado.

• Consulte uma lista de todos os controles que você habilitou na biblioteca de controles do AWS Control Tower.

• Para qualquer controle habilitado, é possível ter informações sobre as regiões compatíveis com o controle, além do identificador (ARN), do status de desvio e do resumo do status do controle.

Novos controles proativos

• [CT.ATHENA.PR.1] Exija que um grupo de trabalho do Amazon Athena criptografe os resultados da consulta do Athena em repouso

• [CT.ATHENA.PR.2] Exija que um grupo de trabalho do Amazon Athena criptografe os resultados da consulta do Athena em repouso com uma chave (KMS) AWS Key Management Service

• [CT.CLOUDTRAIL.PR.4] Exigir um armazenamento de dados de eventos do AWS CloudTrail Lake para habilitar a criptografia em repouso com uma AWS KMS chave

• [CT.DAX.PR.2] Exigir um cluster Amazon DAX para implantar nós em pelo menos três zonas de disponibilidade

• [CT.EC2.PR.14] Exigir um volume do Amazon EBS configurado por meio de um modelo de EC2 lançamento da Amazon para criptografar dados em repouso

• [CT.EKS.PR.2] Exigir que um cluster Amazon EKS seja configurado com criptografia secreta usando AWS chaves do Key Management Service (KMS)

• [CT.ELASTICLOADBALANCING.PR.14] Exigir que um Network Load Balancer tenha o balanceamento de carga entre zonas ativado

• [CT.ELASTICLOADBALANCING.PR.15] Exija que um grupo-alvo do Elastic Load Balancing v2 não desabilite explicitamente o balanceamento de carga entre zonas

• [CT.EMR.PR.1] Exija que uma configuração de segurança do Amazon EMR (EMR) esteja configurada para criptografar dados em repouso no Amazon S3

• [CT.EMR.PR.2] Exija que uma configuração de segurança do Amazon EMR (EMR) esteja configurada para criptografar dados em repouso no Amazon S3 com uma chave AWS KMS

• [CT.EMR.PR.3] Exija que uma configuração de segurança do Amazon EMR (EMR) seja configurada com criptografia de disco local de volume do EBS usando uma chave AWS KMS

• [CT.EMR.PR.4] Exija que uma configuração de segurança do Amazon EMR (EMR) esteja configurada para criptografar dados em trânsito

• [CT.GLUE.PR.1] Exigir que uma tarefa AWS Glue tenha uma configuração de segurança associada

• [CT.GLUE.PR.2] Exija uma configuração de segurança do AWS Glue para criptografar dados em destinos do Amazon S3 usando chaves KMS AWS

• [CT.KMS.PR.2] Exigir que uma chave AWS KMS assimétrica com material de chave RSA usado para criptografia tenha um comprimento de chave maior que 2048 bits

• [CT.KMS.PR.3] Exigir que uma política AWS KMS fundamental tenha uma declaração que limite a criação de AWS KMS subsídios a AWS serviços

• [CT.LAMBDA.PR.4] Exigir uma permissão de AWS Lambda camada para conceder acesso a uma AWS organização ou AWS conta específica

• [CT.LAMBDA.PR.5] Exigir um URL de AWS Lambda função para usar a autenticação AWS baseada em IAM

• [CT.LAMBDA.PR.6] Exigir uma política de URL CORS de AWS Lambda função para restringir o acesso a origens específicas

• [CT.NEPTUNE.PR.4] Exija um cluster de banco de dados Amazon Neptune para permitir a exportação de logs da CloudWatch Amazon para registros de auditoria

• [CT.NEPTUNE.PR.5] Exija um cluster de banco de dados Amazon Neptune para definir um período de retenção de backup maior ou igual a sete dias

• [CT.REDSHIFT.PR.9] Exija que um grupo de parâmetros de cluster do Amazon Redshift esteja configurado para usar o Secure Sockets Layer (SSL) para criptografia de dados em trânsito

• [SH.Athena.1] Os grupos de trabalho do Athena devem ser criptografados em repouso

• [SH.Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso

• [SH.Neptune.2] Os clusters de banco de dados Neptune devem publicar registros de auditoria no Logs CloudWatch

• [SH.Neptune.3] Os instantâneos do cluster de banco de dados Neptune não devem ser públicos

• [SH.Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada

• [SH.Neptune.5] Os clusters de banco de dados Neptune devem ter backups automatizados habilitados

• [SH.Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso

• [SH.Neptune.7] Os clusters de banco de dados Neptune devem ter a autenticação de banco de dados do IAM habilitada

• [SH.Neptune.8] Os clusters de banco de dados Neptune devem ser configurados para copiar tags para instantâneos

• [SH.RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso

Aqui está uma lista completa dos novos controles:

• [CT.APPSYNC.PR.1] Exigir que uma AWS AppSync API GraphQL tenha o registro ativado

• [CT.CLOUDWATCH.PR.1] Exija que um alarme da CloudWatch Amazon tenha uma ação configurada para o estado do alarme

• [CT.CLOUDWATCH.PR.2] Exija que um grupo de registros da CloudWatch Amazon seja mantido por pelo menos um ano

• [CT.CLOUDWATCH.PR.3] Exija que um grupo de registros da CloudWatch Amazon seja criptografado em repouso com uma chave KMS AWS

• [CT.CLOUDWATCH.PR.4] Exigir que uma ação de alarme da Amazon seja ativada CloudWatch

• [CT.DOCUMENTDB.PR.1]: exija que um cluster Amazon DocumentDB seja criptografado em repouso.

• [CT.DOCUMENTDB.PR.2]: exija que um cluster do Amazon DocumentDB tenha backups automáticos habilitados.

• [CT.DYNAMODB.PR.2] Exija que uma tabela do Amazon DynamoDB seja criptografada em repouso usando chaves AWS KMS

• [CT. EC2.PR.13] Exija que uma EC2 instância da Amazon tenha o monitoramento detalhado ativado

• [CT.EKS.PR.1]: exija que um cluster do Amazon EKS seja configurado com o acesso público desabilitado ao endpoint do servidor da API do Kubernetes do cluster.

• [CT.ELASTICACHE.PR.1] Exija que um cluster Amazon ElastiCache for Redis tenha os backups automáticos ativados

• [CT.ELASTICACHE.PR.2] Exija que um cluster ElastiCache Amazon for Redis tenha as atualizações automáticas de versões secundárias ativadas

• [CT.ELASTICACHE.PR.3] Exija que um grupo de replicação ElastiCache Amazon for Redis tenha o failover automático ativado

• [CT.ELASTICACHE.PR.4] Exija que um grupo de replicação da Amazon tenha a criptografia em repouso ElastiCache ativada

• [CT.ELASTICACHE.PR.5] Exija que um grupo de replicação ElastiCache Amazon for Redis tenha a criptografia em trânsito ativada

• [CT.ELASTICACHE.PR.6] Exigir um cluster de cache da Amazon para usar um grupo de sub-rede personalizado ElastiCache

• [CT.ELASTICACHE.PR.7] Exija que um grupo de replicação da ElastiCache Amazon de versões anteriores do Redis tenha a autenticação do Redis AUTH

• [CT.ELASTICBEANSTALK.PR.3]: exija que um ambiente do AWS Elastic Beanstalk tenha uma configuração de registro em log.

• [CT.LAMBDA.PR.3]: exija que uma função do AWS Lambda esteja em uma Amazon Virtual Private Cloud (VPC) gerenciada pelo cliente.

• [CT.NEPTUNE.PR.1] Exija que um cluster de banco de dados Amazon Neptune tenha autenticação de banco de dados (IAM) AWS Identity and Access Management

• [CT.NEPTUNE.PR.2]: exija que um cluster de banco de dados do Amazon Neptune tenha a proteção contra exclusão habilitada.

• [CT.NEPTUNE.PR.3]: exija que um cluster de banco de dados do Amazon Neptune tenha a criptografia de armazenamento habilitada.

• [CT.REDSHIFT.PR.8]: exija que um cluster do Amazon Redshift seja criptografado.

• [CT.S3.PR.9]: exija que um bucket do Amazon S3 tenha o Bloqueio de Objetos do S3 ativado.

• [CT.S3.PR.10] Exija que um bucket Amazon S3 tenha a criptografia do lado do servidor configurada usando chaves AWS KMS

• [CT.S3.PR.11]: exija que um bucket do Amazon S3 tenha o versionamento habilitado.

• [CT.STEPFUNCTIONS.PR.1]: exija que uma máquina de estado do AWS Step Functions tenha o registro em log ativado.

• [CT.STEPFUNCTIONS.PR.2] Exigir que uma máquina de estado tenha o rastreamento ativado AWS Step Functions AWS X-Ray

• [SH.S3.4]: os buckets do S3 devem ter a criptografia no lado do servidor habilitada.

• [CT.S3.PR.7]: exija que um bucket do Amazon S3 tenha a criptografia do lado do servidor configurada.

Serviços globais e APIs adicionados

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail (cloudtrail:LookupEvents) para permitir a visibilidade de eventos globais nas contas dos membros.

• AWS Faturamento consolidado () consolidatedbilling:*

• AWS Management Console Mobile Application (consoleapp:*)

• AWS Nível gratuito (freetier:*)

• Faturamento da AWS (invoicing:*)

• AWS QI () iq:*

• AWS Notificações do usuário (notifications:*)

• AWS Contatos de notificações do usuário (notifications-contacts:*)

• Pagamentos da Amazon (payments:*)

• AWS Configurações fiscais (tax:*)

Serviços globais e APIs removidos

• Remoção de s3:GetAccountPublic porque não é uma ação válida.

• Remoção de s3:PutAccountPublic porque não é uma ação válida.

• [sh.Account.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS

• [ELA. APIGateway.8] As rotas do API Gateway devem especificar um tipo de autorização

• [ELA. APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API Gateway

• [ELA. CodeBuild.3] Os registros CodeBuild do S3 devem ser criptografados

• [ELA. EC2.25] os modelos de EC2 lançamento não devem atribuir interfaces públicas IPs às de rede

• [SH.ELB.1]: o Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS.

• [SH.Redshift.10]: os clusters do Redshift devem ser criptografados em repouso.

• [ELA. SageMaker.2] As instâncias do notebook SageMaker AI devem ser iniciadas em uma VPC personalizada

• [ELA. SageMaker.3] Os usuários não devem ter acesso root às instâncias do notebook SageMaker AI

• [SH.WAF.10] Uma ACL WAFV2 da web deve ter pelo menos uma regra ou grupo de regras

• Você pode aceitar o padrão e permitir que o AWS Control Tower configure e gerencie o Centro de Identidade do AWS IAM para você.

• Você pode optar por autogerenciar o AWS IAM Identity Center para refletir seus requisitos comerciais específicos.

• Opcionalmente, você pode trazer e autogerenciar um provedor de identidades de terceiros, conectando-o por meio do Centro de Identidade do IAM, se necessário. Você deve usar a opção de provedor de identidade se seu ambiente regulatório exigir o uso de um provedor específico ou se você operar em um Regiões da AWS local onde o AWS IAM Identity Center não esteja disponível.

OpenSearch Serviço Amazon

• [CT.OPENSEARCH.PR.1]: exija um domínio do Elasticsearch para criptografar dados em repouso.

• [CT.OPENSEARCH.PR.2]: exija que um domínio do Elasticsearch seja criado em uma Amazon VPC especificada pelo usuário.

• [CT.OPENSEARCH.PR.3]: exija um domínio do Elasticsearch para criptografar dados enviados entre os nós.

• [CT.OPENSEARCH.PR.4] Exigir um domínio do Elasticsearch para enviar registros de erros para o Amazon Logs CloudWatch

• [CT.OPENSEARCH.PR.5] Exigir um domínio do Elasticsearch para enviar registros de auditoria para o Amazon Logs CloudWatch

• [CT.OPENSEARCH.PR.6]: exija que um domínio do Elasticsearch tenha reconhecimento de zona e pelo menos três nós de dados.

• [CT.OPENSEARCH.PR.7]: exija que um domínio do Elasticsearch tenha pelo menos três nós principais dedicados.

• [CT.OPENSEARCH.PR.8] Exija que um domínio do Elasticsearch Service use .2 TLSv1

• [CT.OPENSEARCH.PR.9] Exigir um domínio do OpenSearch Amazon Service para criptografar dados em repouso

• [CT.OPENSEARCH.PR.10] Exija que um domínio do Amazon Service seja criado em uma OpenSearch Amazon VPC especificada pelo usuário

• [CT.OPENSEARCH.PR.11] Exigir um domínio do OpenSearch Amazon Service para criptografar dados enviados entre os nós

• [CT.OPENSEARCH.PR.12] Exigir um domínio do Amazon Service para enviar registros de erros para o OpenSearch Amazon Logs CloudWatch

• [CT.OPENSEARCH.PR.13] Exigir um domínio do Amazon Service para enviar registros de auditoria para o OpenSearch Amazon Logs CloudWatch

• [CT.OPENSEARCH.PR.14] Exija que um domínio do OpenSearch Amazon Service tenha reconhecimento de zona e pelo menos três nós de dados

• [CT.OPENSEARCH.PR.15] Exija um domínio do OpenSearch Amazon Service para usar um controle de acesso refinado

• [CT.OPENSEARCH.PR.16] Exigir um domínio do Amazon Service para usar .2 OpenSearch TLSv1

Amazon EC2 Auto Scaling

• [CT.AUTOSCALING.PR.1] Exija que um grupo do Amazon Auto EC2 Scaling tenha várias zonas de disponibilidade

• [CT.AUTOSCALING.PR.2] Exija uma configuração de lançamento de grupo do Amazon Auto EC2 Scaling para configurar instâncias da Amazon para EC2 IMDSv2

• [CT.AUTOSCALING.PR.3] Exija que uma configuração de lançamento do Amazon Auto EC2 Scaling tenha um limite de resposta de metadados de salto único

• [CT.AUTOSCALING.PR.4] Exija que um grupo do Amazon Auto EC2 Scaling associado a um Amazon Elastic Load Balancing (ELB) tenha as verificações de saúde do ELB ativadas

• [CT.AUTOSCALING.PR.5] Exija que uma configuração de lançamento de grupo do Amazon Auto EC2 Scaling não tenha instâncias da Amazon com endereços IP públicos EC2

• [CT.AUTOSCALING.PR.6] Exija que qualquer grupo do Amazon Auto EC2 Scaling use vários tipos de instância

• [CT.AUTOSCALING.PR.8] Exija que um grupo do Amazon Auto EC2 Scaling tenha modelos de lançamento configurados EC2

SageMaker Inteligência Artificial da Amazon

• [CT.SAGEMAKER.PR.1] Exija uma instância de notebook Amazon SageMaker AI para impedir o acesso direto à Internet

• [CT.SAGEMAKER.PR.2] Exija que as instâncias do notebook Amazon AI sejam implantadas em uma SageMaker Amazon VPC personalizada

• [CT.SAGEMAKER.PR.3] Exija que as instâncias do notebook Amazon AI tenham acesso root não permitido SageMaker

Amazon API Gateway

• [CT.APIGATEWAY.PR.5]: exija rotas de Websocket e HTTP do Amazon API Gateway V2 para especificar um tipo de autorização.

Amazon Relational Database Service (RDS)

• [CT.RDS.PR.25]: exija que um cluster de banco de dados do Amazon RDS tenha o registro em log configurado.

• O que é o Amazon CloudWatch Logs? no Guia do usuário do Amazon CloudWatch Logs

• O que AWS Step Functionsé no Guia do AWS Step Functions desenvolvedor

• Com esse lançamento, o AWS Control Tower desativa o registro em log de acesso desnecessário para o bucket de registro em log de acesso, que é o bucket do Amazon S3 em que os logs de acesso são armazenados na conta de arquivamento de logs, enquanto continua habilitando o registro em log de acesso ao servidor para buckets do S3. Esta versão também inclui atualizações no controle Region Deny que permitem ações adicionais para serviços globais, como Suporte Planos AWS Artifact e.

• A desativação do registro em log de acesso ao servidor para o bucket de registro em log de acesso do AWS Control Tower faz com que o Security Hub crie uma descoberta para o bucket de registro em log de acesso da conta de arquivamento de logs, devido a uma regra do AWS Security Hub : [S3.9] O registro em log de acesso ao servidor do bucket do S3 deve ser habilitado. Em alinhamento com o Security Hub, recomendamos que você suprima essa descoberta específica, conforme declarado na descrição dessa regra no Security Hub. Consulte informações adicionais sobre descobertas suprimidas.

• O registro em log de acesso para o bucket de registro em log (regular) na conta de arquivamento de logs permanece inalterado na versão 3.1. De acordo com as práticas recomendadas, os eventos de acesso desse bucket são registrados como entradas de log no bucket de registro em log de acesso. Consulte mais informações sobre o registro em log de acesso em Registrar em log as solicitações com registro em log de acesso ao servidor na documentação do Amazon S3.

• Fizemos uma atualização no controle de negação de região. Essa atualização permite ações de mais serviços globais. Para obter detalhes sobre esse SCP, consulte Negar acesso AWS com base na solicitação Região da AWS e Controles que aprimoram a proteção da residência de dados.

  Serviços globais adicionados:

  • AWS Account Management (account:*)

  • AWS Ativar (activate:*)

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • Amazon ECR (ecr-public:*)

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS lightsail:Get*Lightsail ()

  • Explorador de recursos da AWS (resource-explorer-2:*)

  • Amazon S3 (s3:CreateMultiRegionAccessPoint, s3:GetBucketPolicyStatus, s3:PutMultiRegionAccessPointPolicy)

  • AWS Savings Plans (savingsplans:*)

  • Centro de Identidade do IAM (sso:*)

  • AWS Support App (supportapp:*)

  • Suporte Planos (supportplans:*)

  • AWS Sustentabilidade (sustainability:*)

  • AWS Resource Groups Tagging API (tag:GetResources)

  • AWS Marketplace Informações do fornecedor () vendor-insights:ListEntitledSecurityProfiles