De janeiro a dezembro de 2023

• Transição para o novo tipo de produto External do AWS Service Catalog (fase 3)

• Versão 3.3 da zona de pouso do AWS Control Tower

• Transição para o novo tipo de produto External do AWS Service Catalog (fase 2)

• AWS Control Tower anuncia controles para auxiliar a soberania digital

• AWS Control Tower é compatível com APIs da zona de pouso

• AWS Control Tower permite a marcação de controles habilitados

• AWS Control Tower disponível na região Ásia-Pacífico (Melbourne)

• Transição para o novo tipo de produto External do AWS Service Catalog (fase 1)

• Nova API de controle disponível

• AWS Control Tower adiciona outros controles

• Novo tipo de desvio relatado: acesso confiável desabilitado

• Quatro Regiões da AWS adicionais

• AWS Control Tower disponível na região Tel Aviv

• AWS Control Tower lança 28 novos controles proativos

• AWS Control Tower desativa dois controles

• Versão 3.2 da zona de pouso do AWS Control Tower

• AWS Control Tower gerencia contas com base em ID

• Controles de detecção adicionais do Security Hub disponíveis na biblioteca de controles do AWS Control Tower

• AWS Control Tower publica tabelas de metadados de controle

• Suporte do Terraform para o Account Factory Customization

• Autogerenciamento do Centro de Identidade do AWS IAM disponível para zona de pouso

• AWS Control Tower aborda a governança mista para UOs

• Controles proativos adicionais disponíveis

• Atualização de controles proativos do Amazon EC2

• Sete Regiões da AWS adicionais disponíveis

• Rastreamento de solicitações de personalização de conta do Account Factory for Terraform (AFT)

• Versão 3.1 da zona de pouso do AWS Control Tower

• Controles proativos disponíveis ao público

Atualizações no controle de negação de região da zona de pouso

• discovery-marketplace: removido. Essa ação é coberta pela isenção aws-marketplace:*.

• quicksight:DescribeAccountSubscription adicionado

Novos controles proativos

• CT.APIGATEWAY.PR.6: exija um domínio REST do Amazon API Gateway para usar uma política de segurança que especifique uma versão mínima do protocolo TLS do TLSv1.2

• CT.APPSYNC.PR.2: exija que uma API do AWS AppSync GraphQL seja configurada com visibilidade privada.

• CT.APPSYNC.PR.3: exija que uma API do AWS AppSync GraphQL não seja autenticada com chaves de API.

• CT.APPSYNC.PR.4: exija um cache da API do AWS AppSync GraphQL para ter a criptografia em trânsito ativada.

• CT.APPSYNC.PR.5: exija um cache da API do AWS AppSync GraphQL para ter a criptografia em trânsito habilitada.

• CT.AUTOSCALING.PR.9: exija um volume do Amazon EBS configurado por meio de uma configuração de lançamento do Amazon EC2 Auto Scaling para criptografar dados em repouso.

• CT.AUTOSCALING.PR.10: exija que um grupo do Amazon EC2 Auto Scaling use somente tipos de instância AWS Nitro ao substituir um modelo de execução.

• CT.AUTOSCALING.PR.11: exija que somente os tipos de instância AWS Nitro que permitem criptografia de tráfego de rede entre instâncias sejam adicionados a um grupo do Amazon EC2 Auto Scaling, ao substituir um modelo de execução.

• CT.DAX.PR.3: exija um cluster do DynamoDB Accelerator para criptografar dados em trânsito com o Transport Layer Security (TLS).

• CT.DMS.PR.2: exija um endpoint do AWS Database Migration Service (DMS) para criptografar conexões para endpoints de origem e destino.

• CT.EC2.PR.15: exija que uma instância do Amazon EC2 use um tipo de instância do AWS Nitro ao criar do tipo de recurso AWS::EC2::LaunchTemplate.

• CT.EC2.PR.16: exija que uma instância do Amazon EC2 use um tipo de instância do AWS Nitro quando criada usando o tipo de recurso AWS::EC2::Instance.

• CT.EC2.PR.17: exija um host dedicado do Amazon EC2 para usar um tipo de instância do AWS Nitro.

• CT.EC2.PR.18: exija que uma frota do Amazon EC2 substitua somente os modelos de execução com os tipos de instância do AWS Nitro.

• CT.EC2.PR.19: exija que uma instância do Amazon EC2 use um tipo de instância do Nitro que seja compatível com a criptografia em trânsito entre instâncias quando criada usando o tipo de recurso AWS::EC2::Instance.

• CT.EC2.PR.20: exija que uma frota do Amazon EC2 substitua somente os modelos de execução por tipos de instância do AWS Nitro que sejam compatíveis com a criptografia em trânsito entre instâncias.

• CT.ELASTICACHE.PR.8: exija que um grupo de replicação do Amazon ElastiCache de versões posteriores do Redis tenha a autenticação RBAC ativada.

• CT.MQ.PR.1: exija que um agente do Amazon MQ ActiveMQ use o modo de implantação ativo/em espera para alta disponibilidade.

• CT.MQ.PR.2: exija que um agente do Amazon MQ Rabbit MQ use o modo de cluster multi-AZ para alta disponibilidade.

• CT.MSK.PR.1: exija um cluster do Amazon Managed Streaming for Apache Kafka (MSK) para aplicar a criptografia em trânsito entre os nós do agente de cluster.

• CT.MSK.PR.2: exija que um cluster do Amazon Managed Streaming for Apache Kafka (MSK) seja configurado com PublicAccess desabilitado.

• CT.NETWORK-FIREWALL.PR.5: exija que um firewall do AWS Network Firewall seja implantado em várias zonas de disponibilidade.

• CT.RDS.PR.26: exija um proxy de banco de dados do Amazon RDS para requerer conexões de Transport Layer Security (TLS).

• CT.RDS.PR.27: exija um grupo de parâmetros de cluster de banco de dados do Amazon RDS para requerer conexões de Transport Layer Security (TLS) para tipos de mecanismos compatíveis.

• CT.RDS.PR.28: exija um grupo de parâmetros de banco de dados do Amazon RDS para requerer conexões de Transport Layer Security (TLS) para tipos de mecanismos compatíveis.

• CT.RDS.PR.29: exija que um cluster do Amazon RDS não esteja configurado para ser acessível publicamente por meio da propriedade “PubliclyAccessible”

• CT.RDS.PR.30: exija que uma instância de banco de dados do Amazon RDS tenha a criptografia em repouso configurada para usar uma chave do KMS que você especifique para os tipos de mecanismos compatíveis.

• CT.S3.PR.12: exija que um ponto de acesso Amazon S3 tenha uma configuração de Bloqueio de Acesso Público (BPA) com todas as opções definidas como verdadeiras.

Novos controles preventivos

• CT.APPSYNC.PV.1: exija que uma API do AWS AppSync GraphQL seja configurada com visibilidade privada.

• CT.EC2.PV.1: exija que um snapshot do Amazon EBS seja criado com base em um volume do EC2 criptografado.

• CT.EC2.PV.2: exija que um volume anexado do Amazon EBS esteja configurado para criptografar dados em repouso.

• CT.EC2.PV.3: exija que um snapshot do Amazon EBS não possa ser restaurado publicamente.

• CT.EC2.PV.4: exija que APIs diretas do Amazon EBS não sejam chamadas.

• CT.EC2.PV.5: proíba o uso da importação e exportação de VMs do Amazon EC2.

• CT.EC2.PV.6: proíba o uso das ações de API RequestSpotFleet e RequestSpotInstances obsoletas do Amazon EC2

• CT.KMS.PV.1: exija que uma política de chave do AWS KMS tenha uma instrução que limite a criação de concessões AWS KMS a serviços da AWS.

• CT.KMS.PV.2: exija que uma chave assimétrica do AWS KMS com material de chave RSA usado para criptografia não tenha um comprimento de chave de 2.048 bits.

• CT.KMS.PV.3: exija que uma chave do AWS KMS seja configurada com a verificação de segurança de bloqueio de política de desvio habilitada.

• CT.KMS.PV.4: exija que uma chave gerenciada pelo cliente (CMK) do AWS KMS seja configurada com material de chave proveniente do AWS CloudHSM.

• CT.KMS.PV.5: exija que uma chave gerenciada pelo cliente (CMK) do AWS KMS seja configurada com material de chave importado.

• CT.KMS.PV.6: exija que uma chave gerenciada pelo cliente (CMK) do AWS KMS seja configurada com material de chave proveniente de um repositório de chaves externo (XKS).

• CT.LAMBDA.PV.1: exija um URL da função do AWS Lambda para usar a autenticação baseada no AWS IAM.

• CT.LAMBDA.PV.2: exija que um URL da função do AWS Lambda seja configurado para acesso somente por entidades principais em sua Conta da AWS.

• CT.MULTISERVICE.PV.1: negue acesso à AWS com base na Região da AWSsolicitada para uma unidade organizacional.

Novos controles de detecção

• SH.ACM.2: os certificados RSA gerenciados pelo ACM devem usar um comprimento de chave de pelo menos 2.048 bits

• SH.AppSync.5: as APIs do AWS AppSync GraphQL não devem ser autenticadas com chaves de API.

• SH.CloudTrail.6: assegure que o bucket do S3 usado para armazenar logs do CloudTrail não seja acessível publicamente.

• SH.DMS.9: os endpoints do DMS devem usar SSL.

• SH.DocumentDB.3: os snapshots manuais do cluster do Amazon DocumentDB não devem ser públicos.

• SH.DynamoDB.3: os clusters do DynamoDB Accelerator (DAX) devem ser criptografados em repouso.

• SH.EC2.23: os EC2 Transit Gateways não devem aceitar automaticamente solicitações de anexos de VPC.

• SH.EKS.1: os endpoints do cluster do EKS não devem ser acessíveis ao público.

• SH.ElastiCache.3: os grupos de replicação do ElastiCache devem ter o failover automático habilitado.

• SH.ElastiCache.4: os grupos de replicação do ElastiCache devem ter a criptografia em repouso habilitada.

• SH.ElastiCache.5: os grupos de replicação do ElastiCache devem ter a criptografia em trânsito habilitada.

• SH.ElastiCache.6: os grupos de replicação do ElastiCache de versões anteriores do Redis devem ter o Redis AUTH habilitado.

• SH.EventBridge.3: os barramentos de eventos personalizados do EventBridge devem ter uma política baseada em recursos anexada.

• SH.KMS.4: a alternância de chaves do AWS KMS deve ser habilitada.

• SH.Lambda.3: as funções do Lambda devem estar em uma VPC.

• SH.MQ.5: os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera.

• SH.MQ.6: os agentes do RabbitMQ devem usar o modo de implantação de cluster.

• SH.MSK.1: os clusters do MSK devem ser criptografados em trânsito entre os nós do agente.

• SH.RDS.12: a autenticação do IAM deve ser configurada para clusters do RDS.

• SH.RDS.15: os clusters de banco de dados do RDS devem ser configurados com várias zonas de disponibilidade.

• SH.S3.17: os buckets do S3 devem ser criptografados em repouso com chaves do AWS KMS.

• A API EnableControl atualizada pode configurar controles que são configuráveis.

• A API GetEnabledControl atualizada mostra os parâmetros configurados em um controle habilitado.

• A nova API UpdateEnabledControl pode alterar os parâmetros em um controle habilitado.

• CreateLandingZone: essa chamada de API cria uma zona de pouso usando uma versão da zona de pouso e um arquivo de manifesto.

• GetLandingZoneOperation: essa chamada de API retorna o status de uma operação de zona de pouso especificada.

• GetLandingZone: essa chamada de API retorna detalhes sobre a zona de pouso especificada, incluindo a versão, o arquivo de manifesto e o status.

• UpdateLandingZone: essa chamada de API atualiza a versão da zona de pouso ou o arquivo de manifesto.

• ListLandingZone: essa chamada de API retorna um identificador da zona de pouso (ARN) para uma configuração da zona de pouso na conta de gerenciamento.

• ResetLandingZone: essa chamada de API redefine a zona de pouso para os parâmetros especificados na atualização mais recente, o que pode reparar o desvio. Se a zona de pouso não tiver sido atualizada, essa chamada a redefinirá para os parâmetros especificados na criação.

• DeleteLandingZone: essa chamada de API desativa a zona de pouso.

• TagResource: essa chamada de API adiciona tags aos controles habilitados no AWS Control Tower.

• UntagResource: essa chamada de API remove as tags dos controles habilitados no AWS Control Tower.

• ListTagsForResource: essa chamada de API retorna tags para controles habilitados no AWS Control Tower.

• GetEnabledControl: a chamada de API fornece detalhes sobre um controle habilitado.

• Consulte uma lista de todos os controles que você habilitou na biblioteca de controles do AWS Control Tower.

• Para qualquer controle habilitado, é possível ter informações sobre as regiões compatíveis com o controle, além do identificador (ARN), do status de desvio e do resumo do status do controle.

Novos controles proativos

• [CT.ATHENA.PR.1]: exija que um grupo de trabalho do Amazon Athena criptografe os resultados da consulta do Athena em repouso.

• [CT.ATHENA.PR.2]: exija que um grupo de trabalho do Amazon Athena criptografe os resultados da consulta do Athena com uma chave do AWS Key Management Service (KMS).

• [CT.CLOUDTRAIL.PR.4]: exija um armazenamento de dados de eventos do AWS CloudTrail Lake para habilitar a criptografia em repouso com uma chave do AWS KMS.

• [CT.DAX.PR.2]: exija um cluster Amazon DAX para implantar nós em pelo menos três zonas de disponibilidade.

• [CT.EC2.PR.14]: exija um volume do Amazon EBS configurado por meio de um modelo de execução do Amazon EC2 para criptografar dados em repouso.

• [CT.EKS.PR.2]: exija que um cluster Amazon EKS seja configurado com criptografia secreta usando chaves do AWS Key Management Service (KMS).

• [CT.ELASTICLOADBALANCING.PR.14]: exija que um Network Load Balancer tenha o balanceamento de carga entre zonas ativado.

• [CT.ELASTICLOADBALANCING.PR.15]: exija que um grupo de destino do Elastic Load Balancing v2 não desabilite explicitamente o balanceamento de carga entre zonas.

• [CT.EMR.PR.1]: exija que uma configuração de segurança do Amazon EMR (EMR) esteja configurada para criptografar dados em repouso no Amazon S3.

• [CT.EMR.PR.2]: exija que uma configuração de segurança do Amazon EMR (EMR) esteja configurada para criptografar dados em repouso no Amazon S3 com uma chave do AWS KMS.

• [CT.EMR.PR.3]: exija que uma configuração de segurança do Amazon EMR (EMR) seja configurada com a criptografia de disco local de volume do EBS usando uma chave do AWS KMS.

• [CT.EMR.PR.4]: exija que uma configuração de segurança do Amazon EMR (EMR) esteja configurada para criptografar dados em trânsito.

• [CT.GLUE.PR.1]: exija que um trabalho do AWS Glue tenha uma configuração de segurança associada.

• [CT.GLUE.PR.2]: exija uma configuração de segurança do AWS Glue para criptografar dados em destinos do Amazon S3 usando chaves do AWS KMS.

• [CT.KMS.PR.2]: exija que uma chave assimétrica do AWS KMS com material de chave RSA usado para criptografia tenha um comprimento de chave maior que 2.048 bits.

• [CT.KMS.PR.3]: exija que uma política de chave do AWS KMS tenha uma instrução que limite a criação de concessões AWS KMS a serviços da AWS.

• [CT.LAMBDA.PR.4]: exija uma permissão de camada do AWS Lambda para conceder acesso a uma organização da AWS ou a uma conta da AWS específica.

• [CT.LAMBDA.PR.5]: exija um URL da função do AWS Lambda para usar a autenticação baseada no AWS IAM.

• [CT.LAMBDA.PR.6]: exija uma política de CORS do URL da função do AWS Lambda função para restringir o acesso a origens específicas.

• [CT.NEPTUNE.PR.4]: exija um cluster de banco de dados do Amazon Neptune para permitir a exportação de logs do Amazon CloudWatch para logs de auditoria.

• [CT.NEPTUNE.PR.5]: exija um cluster de banco de dados do Amazon Neptune para definir um período de retenção de backup maior ou igual a sete dias.

• [CT.REDSHIFT.PR.9]: exija que um grupo de parâmetros de cluster do Amazon Redshift esteja configurado para usar o Secure Sockets Layer (SSL) para criptografia de dados em trânsito.

• [SH.Athena.1]: os grupos de trabalho do Athena devem ser criptografados em repouso.

• [SH.Neptune.1]: os clusters de banco de dados Neptune devem ser criptografados em repouso.

• [SH.Neptune.2]: os clusters do banco de dados do Neptune devem publicar logs de auditoria no CloudWatch Logs.

• [SH.Neptune.3]: os snapshots do cluster de banco de dados do Neptune não devem ser públicos.

• [SH.Neptune.4]: o cluster de banco de dados do Neptune deve ter a proteção contra exclusão habilitada.

• [SH.Neptune.5]: os clusters de banco de dados do Neptune devem ter backups automatizados habilitados.

• [SH.Neptune.6]: os snapshots do cluster de banco de dados do Neptune devem ser criptografados em repouso.

• [SH.Neptune.7]: os clusters de banco de dados do Neptune devem ter a autenticação de banco de dados do IAM habilitada.

• [SH.Neptune.8]: os clusters de banco de dados do Neptune devem ser configurados para copiar tags para snapshots.

• [SH.RDS.27]: os clusters de banco de dados do RDS devem ser criptografados em repouso.

Aqui está uma lista completa dos novos controles:

• [CT.APPSYNC.PR.1]: exija que uma API do AWS AppSync GraphQL tenha o registro em log habilitado.

• [CT.CLOUDWATCH.PR.1]: exija que um alarme do Amazon CloudWatch tenha uma ação configurada para o estado do alarme.

• [CT.CLOUDWATCH.PR.2]: exija que um grupo de logs do Amazon CloudWatch seja retido por pelo menos um ano.

• [CT.CLOUDWATCH.PR.3]: exija que um grupo de logs do Amazon CloudWatch seja criptografado em repouso com uma chave do AWS KMS.

• [CT.CLOUDWATCH.PR.4]: exija que uma ação de alarme do Amazon CloudWatch seja ativada.

• [CT.DOCUMENTDB.PR.1]: exija que um cluster Amazon DocumentDB seja criptografado em repouso.

• [CT.DOCUMENTDB.PR.2]: exija que um cluster do Amazon DocumentDB tenha backups automáticos habilitados.

• [CT.DYNAMODB.PR.2]: exija que uma tabela do Amazon DynamoDB seja criptografada em repouso usando chaves do AWS KMS.

• [CT.EC2.PR.13]: exija que uma instância do Amazon EC2 tenha o monitoramento detalhado habilitado.

• [CT.EKS.PR.1]: exija que um cluster do Amazon EKS seja configurado com o acesso público desabilitado ao endpoint do servidor da API do Kubernetes do cluster.

• [CT.ELASTICACHE.PR.1]: exija que um cluster do Amazon ElastiCache para Redis tenha backups automáticos ativados.

• [CT.ELASTICACHE.PR.2]: exija que um cluster do Amazon ElastiCache para Redis tenha as atualizações automáticas de versões secundárias ativadas.

• [CT.ELASTICACHE.PR.3]: exija que um grupo de replicação do Amazon ElastiCache para Redis tenha o failover automático ativado.

• [CT.ELASTICACHE.PR.4]: exija que um grupo de replicação do Amazon ElastiCache tenha a criptografia em repouso ativada.

• [CT.ELASTICACHE.PR.5]: exija que um grupo de replicação do Amazon ElastiCache para Redis tenha a criptografia em trânsito ativada.

• [CT.ELASTICACHE.PR.6]: exija um cluster de cache do Amazon ElastiCache para usar um grupo de sub-rede personalizado.

• [CT.ELASTICACHE.PR.7]: exija que um grupo de replicação do Amazon ElastiCache de versões anteriores do Redis tenha a autenticação AUTH do Redis.

• [CT.ELASTICBEANSTALK.PR.3]: exija que um ambiente do AWS Elastic Beanstalk tenha uma configuração de registro em log.

• [CT.LAMBDA.PR.3]: exija que uma função do AWS Lambda esteja em uma Amazon Virtual Private Cloud (VPC) gerenciada pelo cliente.

• [CT.NEPTUNE.PR.1]: exija que um cluster de banco de dados do Amazon Neptune tenha a autenticação de banco de dados do AWS Identity and Access Management (IAM).

• [CT.NEPTUNE.PR.2]: exija que um cluster de banco de dados do Amazon Neptune tenha a proteção contra exclusão habilitada.

• [CT.NEPTUNE.PR.3]: exija que um cluster de banco de dados do Amazon Neptune tenha a criptografia de armazenamento habilitada.

• [CT.REDSHIFT.PR.8]: exija que um cluster do Amazon Redshift seja criptografado.

• [CT.S3.PR.9]: exija que um bucket do Amazon S3 tenha o Bloqueio de Objetos do S3 ativado.

• [CT.S3.PR.10]: exija que um bucket do Amazon S3 tenha a criptografia do lado do servidor configurada usando chaves do AWS KMS.

• [CT.S3.PR.11]: exija que um bucket do Amazon S3 tenha o versionamento habilitado.

• [CT.STEPFUNCTIONS.PR.1]: exija que uma máquina de estado do AWS Step Functions tenha o registro em log ativado.

• [CT.STEPFUNCTIONS.PR.2]: exija que uma máquina de estado do AWS Step Functions tenha o rastreamento AWS X-Ray ativado.

• [SH.S3.4]: os buckets do S3 devem ter a criptografia no lado do servidor habilitada.

• [CT.S3.PR.7]: exija que um bucket do Amazon S3 tenha a criptografia do lado do servidor configurada.

Serviços globais e APIs adicionados

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail (cloudtrail:LookupEvents) para permitir a visibilidade de eventos globais nas contas-membros.

• Faturamento Consolidado da AWS (consolidatedbilling:*)

• Aplicativo Móvel do Console de Gerenciamento da AWS (consoleapp:*)

• Nível gratuito da AWS (freetier:*)

• Faturamento da AWS (invoicing:*)

• AWS IQ (iq:*)

• Notificações de Usuários da AWS (notifications:*)

• Contatos de Notificações de Usuários da AWS (notifications-contacts:*)

• Pagamentos da Amazon (payments:*)

• Configurações fiscais da AWS (tax:*)

Serviços globais e APIs removidos

• Remoção de s3:GetAccountPublic porque não é uma ação válida.

• Remoção de s3:PutAccountPublic porque não é uma ação válida.

• [SH.Account.1]: as informações de contato de segurança devem ser fornecidas para uma Conta da AWS.

• [SH.APIGateway.8]: as rotas do API de Gateway devem especificar um tipo de autorização.

• [SH.APIGateway.9]: o registro em log de acesso deve ser configurado para os estágios V2 do API Gateway.

• [SH.CodeBuild.3]: os logs do CodeBuild S3 devem ser criptografados.

• [SH.EC2.25]: os modelos de execução do EC2 não devem atribuir IPs públicos às interfaces de rede.

• [SH.ELB.1]: o Application Load Balancer deve ser configurado para redirecionar todas as solicitações HTTP para HTTPS.

• [SH.Redshift.10]: os clusters do Redshift devem ser criptografados em repouso.

• [SH.SageMaker.2]: as instâncias de caderno do SageMaker devem ser iniciadas em uma VPC personalizada.

• [SH.SageMaker.3]: os usuários não devem ter acesso raiz às instâncias de caderno do SageMaker.

• [SH.WAF.10]: a ACL da Web do WAFV2 devem ter pelo menos uma regra ou um grupo de regras.

• Você pode aceitar o padrão e permitir que o AWS Control Tower configure e gerencie o Centro de Identidade do AWS IAM para você.

• Você pode optar por autogerenciar o Centro de Identidade do AWS IAM para refletir seus requisitos comerciais específicos.

• Opcionalmente, você pode trazer e autogerenciar um provedor de identidades de terceiros, conectando-o por meio do Centro de Identidade do IAM, se necessário. Você deverá optar pelo provedor de identidades se o ambiente regulatório exigir o uso de um provedor específico ou se você operar em Regiões da AWS onde o Centro de Identidade do AWS IAM não esteja disponível.

Amazon OpenSearch Service

• [CT.OPENSEARCH.PR.1]: exija um domínio do Elasticsearch para criptografar dados em repouso.

• [CT.OPENSEARCH.PR.2]: exija que um domínio do Elasticsearch seja criado em uma Amazon VPC especificada pelo usuário.

• [CT.OPENSEARCH.PR.3]: exija um domínio do Elasticsearch para criptografar dados enviados entre os nós.

• [CT.OPENSEARCH.PR.4]: exija um domínio do Elasticsearch para enviar logs de erro ao Amazon CloudWatch Logs.

• [CT.OPENSEARCH.PR.5]: exija um domínio do Elasticsearch para enviar registros de auditoria ao Amazon CloudWatch Logs.

• [CT.OPENSEARCH.PR.6]: exija que um domínio do Elasticsearch tenha reconhecimento de zona e pelo menos três nós de dados.

• [CT.OPENSEARCH.PR.7]: exija que um domínio do Elasticsearch tenha pelo menos três nós principais dedicados.

• [CT.OPENSEARCH.PR.8]: exija um domínio do Elasticsearch Service para usar o TLSv1.2.

• [CT.OPENSEARCH.PR.9]: exija um domínio do Amazon OpenSearch Service para criptografar dados em repouso.

• [CT.OPENSEARCH.PR.10]: exija que um domínio do Amazon OpenSearch Service seja criado em uma Amazon VPC especificada pelo usuário.

• [CT.OPENSEARCH.PR.11]: exija um domínio do Amazon OpenSearch Service para criptografar dados enviados entre os nós.

• [CT.OPENSEARCH.PR.12]: exija um domínio do Amazon OpenSearch Service para enviar logs de erro ao Amazon CloudWatch Logs.

• [CT.OPENSEARCH.PR.13]: exija um domínio do Amazon OpenSearch Service para enviar registros de auditoria ao Amazon CloudWatch Logs.

• [CT.OPENSEARCH.PR.14]: exija que um domínio do Amazon OpenSearch Service tenha reconhecimento de zonas e pelo menos três nós de dados.

• [CT.OPENSEARCH.PR.15]: exija um domínio do Amazon OpenSearch Service para usar um controle de acesso refinado.

• [CT.OPENSEARCH.PR.16]: exija um domínio do Amazon OpenSearch Service para usar o TLSv1.2.

Amazon EC2 Auto Scaling

• [CT.AUTOSCALING.PR.1]: exija que um grupo do Amazon EC2 Auto Scaling tenha várias zonas de disponibilidade.

• [CT.AUTOSCALING.PR.2]: exija uma configuração de execução de grupo do Amazon EC2 Auto Scaling para configurar instâncias do Amazon EC2 para IMDSv2.

• [CT.AUTOSCALING.PR.3]: exija que uma configuração de execução do Amazon EC2 Auto Scaling tenha um limite de resposta de metadados de salto único.

• [CT.AUTOSCALING.PR.4]: exija que um grupo do Amazon EC2 Auto Scaling associado a um Amazon Elastic Load Balancing (ELB) tenha as verificações de integridade do ELB ativadas.

• [CT.AUTOSCALING.PR.5]: exija que uma configuração de execução de grupo do Amazon EC2 Auto Scaling não tenha instâncias do Amazon EC2 com endereços IP públicos.

• [CT.AUTOSCALING.PR.6]: exija que qualquer grupo do Amazon EC2 Auto Scaling use vários tipos de instância.

• [CT.AUTOSCALING.PR.8]: exija que um grupo do Amazon EC2 Auto Scaling tenha modelos de execução do EC2 configurados.

Amazon SageMaker

• [CT.SAGEMAKER.PR.1]: exija uma instância de caderno do Amazon SageMaker para impedir o acesso direto à internet.

• [CT.SAGEMAKER.PR.2]: exija que as instâncias de caderno do Amazon SageMaker sejam implantadas em uma Amazon VPC personalizada.

• [CT.SAGEMAKER.PR.3]: exija que as instâncias de caderno do Amazon SageMaker tenham acesso raiz não permitido.

Amazon API Gateway

• [CT.APIGATEWAY.PR.5]: exija rotas de Websocket e HTTP do Amazon API Gateway V2 para especificar um tipo de autorização.

Amazon Relational Database Service (RDS)

• [CT.RDS.PR.25]: exija que um cluster de banco de dados do Amazon RDS tenha o registro em log configurado.

• O que é o Amazon CloudWatch Logs? no Guia do usuário do Amazon CloudWatch Logs

• O que é o AWS Step Functions? no Guia do desenvolvedor do AWS Step Functions

• Com esse lançamento, o AWS Control Tower desativa o registro em log de acesso desnecessário para o bucket de registro em log de acesso, que é o bucket do Amazon S3 em que os logs de acesso são armazenados na conta de arquivamento de logs, enquanto continua habilitando o registro em log de acesso ao servidor para buckets do S3. Esse lançamento também inclui atualizações no controle de negação de região que permitem ações adicionais para serviços globais, como planos do AWS Support e AWS Artifact.

• A desativação do registro em log de acesso ao servidor para o bucket de registro em log de acesso do AWS Control Tower faz com que o Security Hub crie uma descoberta para o bucket de registro em log de acesso da conta de arquivamento de logs, devido a uma regra do AWS Security Hub: [S3.9] O registro em log de acesso ao servidor do bucket do S3 deve ser habilitado. Em alinhamento com o Security Hub, recomendamos que você suprima essa descoberta específica, conforme declarado na descrição dessa regra no Security Hub. Consulte informações adicionais sobre descobertas suprimidas.

• O registro em log de acesso para o bucket de registro em log (regular) na conta de arquivamento de logs permanece inalterado na versão 3.1. De acordo com as práticas recomendadas, os eventos de acesso desse bucket são registrados como entradas de log no bucket de registro em log de acesso. Consulte mais informações sobre o registro em log de acesso em Registrar em log as solicitações com registro em log de acesso ao servidor na documentação do Amazon S3.

• Fizemos uma atualização no controle de negação de região. Essa atualização permite ações de mais serviços globais. Consulte detalhes sobre essa SCP em Deny access to AWS based on the requested Região da AWS e em Controls that enhance data residency protection.

  Serviços globais adicionados:

  • AWS Account Management (account:*)

  • AWS Activate (activate:*)

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • Amazon ECR (ecr-public:*)

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS Lightsail (lightsail:Get*)

  • Explorador de recursos da AWS (resource-explorer-2:*)

  • Amazon S3 (s3:CreateMultiRegionAccessPoint, s3:GetBucketPolicyStatus, s3:PutMultiRegionAccessPointPolicy)

  • AWS Savings Plans (savingsplans:*)

  • Centro de Identidade do IAM (sso:*)

  • AWS Support App (supportapp:*)

  • Planos do AWS Support (supportplans:*)

  • Sustentabilidade da AWS (sustainability:*)

  • AWS Resource Groups Tagging API (tag:GetResources)

  • AWS Marketplace Vendor Insights (vendor-insights:ListEntitledSecurityProfiles)