本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
2021 年 1 月至 12 月
2021 年,Cont AWS rol Tower 发布了以下更新:
区域拒绝功能
2021年11月30日
(Cont AWS rol Tower 着陆区无需更新。)
AWSControl Tower 现在提供区域拒绝功能,可帮助您限制对区域的访问 AWS 在 Cont AWS rol Tower 环境中为已注册账户提供的服务和操作。区域拒绝功能是对 Cont AWS rol Tower 中现有区域选择和区域取消选择功能的补充。这些功能共同帮助您解决合规和监管问题,同时平衡与扩展到其他地区相关的成本。
例如, AWS 德国的客户可以拒绝访问 AWS 在法兰克福地区以外的地区提供服务。您可以在 Cont AWS rol Tower 设置过程中或在着陆区域设置页面中选择受限区域。当您更新 Cont AWS rol Tower 着陆区版本时,区域拒绝功能可用。Select AWS 服务不受区域拒绝功能的约束。要了解更多信息,请参阅配置区域拒绝控制。
数据驻留功能
2021年11月30日
(Cont AWS rol Tower 着陆区无需更新)
AWSControl Tower 现在提供专门构建的控件,以帮助确保您上传到的任何客户数据都可以 AWS 服务仅位于 AWS 您指定的区域。你可以选择 AWS 存储和处理您的客户数据的一个或多个区域。如需查看完整清单 AWS 提供 Cont AWS rol Tower 的区域,请参阅 AWS 区域表
为了实现精细控制,您可以应用其他控制措施,例如禁止亚马逊虚拟专用网络 (VPN) 连接或禁止亚马逊实例访问互联网。VPC您可以在 Contro AWS l Tower 控制台中查看控件的合规性状态。有关可用控件的完整列表,请参阅 Cont AWSrol Tower 控件库。
AWSControl Tower 推出了 Terraform 账户配置和自定义
2021年11月29日
(Cont AWS rol Tower 着陆区的可选更新)
现在,你可以使用 Terraform 通过 Control Tower 和 Ter raform 的 Cont AWS rol Tower Accoun AWS t Factory () 来配置和更新自定义账户。AFT
AFT提供单个 Terraform 基础设施即代码 (IaC) 管道,用于配置由 Control Tower AWS 管理的账户。在将帐户提供给最终用户之前,在配置期间进行自定义有助于满足您的业务和安全策略的要求。
AFT自动帐户创建管道会监控直到帐户配置完成,然后继续运行,触发其他Terraform模块,通过任何必要的自定义来增强帐户。作为自定义过程的另一部分,您可以将管道配置为安装自己的自定义 Terraform 模块,也可以选择添加任何AFT功能选项,这些选项由 AWS 用于常见的自定义。
按照AWS控制塔用户指南中提供的步骤开始使用适用于 Terraform 的 Cont AWS rol Tower Account Factory为 Terraform 部署 Cont AWS rol Tower Account Factory () AFT,然后下载AFT你的 Terraform 实例。AFT支持 Terraform Cloud、Terraform Enterprise 和 Terraform 开源发行版。
新的生命周期事件可用
2021年11月18日
(Cont AWS rol Tower 着陆区无需更新)
该PrecheckOrganizationalUnit事件记录是否有任何资源阻止 E xtend 管理任务成功,包括嵌套资源OUs。有关更多信息,请参阅 PrecheckOrganizationalUnit。
AWSControl Tower 支持嵌套 OUs
2021年11月16日
(Cont AWS rol Tower 着陆区无需更新)
AWSControl Tower 现在允许你将嵌套OUs作为着陆区的一部分。
AWSControl Tower 支持嵌套的组织单元 (OUs),允许您将帐户组织为多个层次结构级别,并按层次结构实施预防性控制。您可以注册OUs包含嵌套的OUs、OUs在父项下创建和注册的 OUOUs,以及对任何已注册的 OU 启用控件,无论深度如何。为了支持此功能,控制台会显示受监管账户的数量和OUs。
通过嵌套OUs,你可以将你的 Cont AWS rol Tower 对齐OUs到 AWS 多账户策略,您可以通过在父 OU 级别实施控制来缩短启用多OUs账户控制所需的时间。
重要注意事项:
-
您可以一次向 Cont AWS rol Tower 注册一个现有多级OUs组织单位,从顶层 OU 开始,然后向下移动。有关更多信息,请参阅 从扁平的 OU 结构扩展到嵌套的 OU 结构。
-
直接注册的 OU 下的账户将自动注册。再往下走,可以通过注册其直系父OU来注册账户。
-
预防性控制 (SCPs) 会自动沿着层次结构向下继承;SCPs应用于父级的控制由所有嵌套继承OUs。
-
Detective 控件 (AWS Config 规则)是自动NOT继承的。
-
每个 OU 都要报告遵守侦探控制的情况。
-
SCPOU 上的漂移会影响所有账户及其OUs下方。
-
您无法在安全 OU(核心 OU)OUs下创建新的嵌套。
Detective 控制并发性
2021年11月5日
(Cont AWS rol Tower 着陆区的可选更新)
AWSControl Tower 侦探控件现在支持侦探控件的并行操作,从而提高了易用性和性能。您可以启用多个侦测控件,而无需等待单个控制操作完成。
支持的功能:
-
在同一 OU 上启用不同的侦测控件(例如,检测是否MFA为根用户启用并检测是否允许对 Amazon S3 存储桶进行公共写入访问)。
-
同时在不同的侦探控件上启用不同的OUs侦探控件。
-
Guardrail 错误消息已得到改进,可为支持的控制并发操作提供更多指导。
此版本不支持:
-
不支持同时在多个上启用相同的侦OUs测控件。
-
不支持@@ 预防性控制并发。
你可以在所有版本的 Control Tower 中体验侦探AWS控制并发性的改进。建议当前未使用 2.7 版本的客户执行着陆区更新,以利用最新版本中提供的其他功能,例如区域选择和取消选择。
两个新区域可用
2021年7月29日
(Cont AWS rol Tower 着陆区需要更新)
AWSControl Tower 现已推出另外两个版本 AWS 地区:南美洲(圣保罗)和欧洲(巴黎)。此更新将 Cont AWS rol Tower 的可用性扩展到 15 AWS 区域。
如果您不熟悉 Cont AWS rol Tower,则可以在任何支持的区域立即启动它。在启动期间,您可以选择希望 Cont AWS rol Tower 在其中构建和管理您的多账户环境的区域。
如果您已经拥有 C ont AWS rol Tower 环境,并且想要在一个或多个支持区域中扩展或移除AWS控制塔治理功能,请前往 Cont AWS rol Tower 控制面板中的 “着陆区域设置” 页面,然后选择区域。更新着陆区域后,您必须更新受 Cont AWS rol Tower 管理的所有账户。
取消区域选择
2021年7月29日
(Cont AWS rol Tower 着陆区的可选更新)
AWS取消选择控制塔区域可增强您管理AWS控制塔资源的地理足迹的能力。你可以取消选择你不想让 Cont AWS rol Tower 管理的区域。此功能使您能够解决合规性和监管问题,同时平衡与扩展到其他地区相关的成本。
当你更新 Contro AWS l Tower 着陆区版本时,可以取消区域选择。
当您使用 Account Factory 创建新账户或注册先前存在的成员账户时,或者当您选择 “扩展治理” 在已存在的组织单位中注册账户时,Cont AWS rol Tower 会在您选择的账户区域部署其治理功能,包括集中记录、监控和控制。选择取消选择某个区域并从该区域移除 Cont AWS rol Tower 治理会移除该监管功能,但这不会限制用户的部署能力 AWS 资源或工作负载进入这些区域。
AWSControl Tower 可与 AWS 密钥管理系统
2021年7月28日
(Cont AWS rol Tower 着陆区的可选更新)
AWSControl Tower 为你提供了使用 AWS 密钥管理服务 (AWS KMS) 密钥。密钥由您提供并管理,用于保护 Cont AWS rol Tower 部署的服务,包括 AWS CloudTrail, AWS Config,以及相关的亚马逊 S3 数据。 AWS KMS加密是比 Cont AWS rol Tower 默认使用的 SSE-S3 加密更高级的加密级别。
的整合 AWS KMS对 Cont AWS rol Tower 的支持与 AWS 基础安全最佳实践,其中建议为您的敏感日志文件增加一层安全保护。你应该使用 AWS KMS—用于静态加密的托管密钥 (SSE-KMS)。 AWS KMS当您设置新的着陆区或更新现有的 Cont AWS rol Tower 着陆区时,可以使用加密支持。
要配置此功能,您可以在初始 landing zone 设置期间选择 “KMS密钥配置”。您可以选择现有的按KMS键,也可以选择一个按钮将您定向到 AWS KMS控制台来创建一个新的。您还可以灵活地从默认加密更改为 SSE-KMS 或其他 SSE-KMS 密钥。
对于现有的 Cont AWS rol Tower 着陆区,您可以执行更新以开始使用 AWS KMS钥匙。
控件已重命名,功能未更改
2021年7月26日
(Cont AWS rol Tower 着陆区无需更新)
AWSControl Tower 正在修改某些控件名称和描述,以更好地反映控件的策略意图。修改后的名称和描述可帮助您更直观地了解控件如何体现您的账户政策。例如,我们将部分侦探控件的名称从 “不允许” 更改为 “检测”,因为侦探控件本身不会停止特定的操作,它只会检测违反策略的行为并通过控制面板提供警报。
控制功能、指导和实现保持不变。仅修改了控件名称和描述。
AWSControl Tower SCPs 每天扫描以检查是否存在偏差
2021年5月11日
(Cont AWS rol Tower 着陆区无需更新)
AWS现在,Control Tower 会对您的托管控件执行每日自动扫描,SCPs以验证相应的控件是否正确应用以及它们是否存在偏差。如果扫描发现偏差,您将收到通知。AWS对于每个漂移问题,Control Tower 仅发送一条通知,因此,如果您的着陆区已经处于漂移状态,则除非找到新的漂移物品,否则您将不会收到其他通知。
OUs和账户的自定义名称
2021年4月16日
(Cont AWS rol Tower 着陆区无需更新)
AWSControl Tower 现在允许你自定义着陆区的命名。您可以保留 Cont AWS rol Tower 为组织单位 (OUs) 和核心账户推荐的名称,也可以在最初的着陆区设置过程中修改这些名称。
Contro AWS l Tower 为OUs和核心账户提供的默认名称与 AWS 多账户最佳实践指南。 但是,如果您的公司有特定的命名政策,或者您已经拥有现有的 OU 或具有相同推荐名称的账户,则新的 OU 和账户命名功能可让您灵活地解决这些限制。
除了设置期间的工作流程更改外,以前称为核心 OU 的 OU 现在被称为安全 OU,而以前称为自定义 OU 的 OU 现在称为沙盒 OU。我们进行此项更改是为了提高我们与整体的一致性 AWS 命名最佳实践指南。
新客户将看到这些新的 OU 名称。现有客户将继续看到它们的原始名称OUs。在我们将文档更新为新名称时,您可能会在 OU 命名中遇到一些不一致之处。
要从中开始使用 Cont AWS rol Tower AWS 管理控制台,前往 Cont AWS rol Tower 控制台,然后选择右上角的设置着陆区。如需了解更多信息,您可以阅读有关规划 Contro AWS l Tower 着陆区的信息。
AWSControl Tower 着陆区版本 2.7
2021年4月8日
(需要将 Cont AWS rol Tower 着陆区更新到 2.7 版。 有关信息,请参阅更新你的着陆区)
在 Cont AWS rol Tower 版本 2.7 中,Cont AWS rol Tower 引入了四个新的强制性预防性日志存档控件,这些控件仅针对AWS控制塔资源实施策略。我们已将四个现有日志存档控制措施的指导方针从强制性调整为选择性,因为它们为 Cont AWS rol Tower 之外的资源设定了策略。通过这种控制变更和扩展,可以将控制塔内资源的日志存档管理与AWS控制塔外部资源的管理区分开来。AWS
四项变更后的控制措施可以与新的强制性控制措施结合使用,为更广泛的一组控制措施提供治理 AWS 日志档案。为了保持环境一致性,现有的 Contro AWS l Tower 环境将自动启用这四个已更改的控件;但是,现在可以禁用这些选修控件。新的 Cont AWS rol Tower 环境必须启用所有可选控件。在向 Control Tower 未部署的 Amazon S3 存储桶添加加密之前,现有环境必须禁用以前必需的AWS控件。
新的强制性控制措施:
-
不允许更改 Cont AWS rol Tower 在日志存档中创建的 S3 存储桶的加密配置
-
不允许更改 Cont AWS rol Tower 在日志存档中创建的 S3 存储桶的日志配置
-
不允许更改 Cont AWS rol Tower 在日志存档中创建的 S3 存储桶的存储桶策略
-
不允许更改 Cont AWS rol Tower 在日志存档中创建的 S3 存储桶的生命周期配置
指导从必修课改为选修课:
-
不允许更改所有 Amazon S3 存储桶的加密配置 [以前:为日志存档启用静态加密]
-
不允许更改所有 Amazon S3 存储桶的日志配置 [以前:为日志存档启用访问日志记录]
-
不允许更改所有 Amazon S3 存储桶的存储桶策略 [以前:不允许对日志存档进行策略更改]
-
不允许更改所有 Amazon S3 存储桶的生命周期配置 [以前:为日志存档设置保留策略]
AWSControl Tower 版本 2.7 包括对AWS控制塔着陆区蓝图的更改,这些更改可能会导致在升级到 2.7 后与以前的版本不兼容。
-
特别是,Cont AWS rol Tower 版本 2.7 在控制塔部署的 S3 存储桶上
BlockPublicAccess自动启用。AWS如果您的工作负载需要跨账户访问权限,则可以关闭此默认设置。有关BlockPublicaccess启用后会发生什么情况的更多信息,请参阅阻止公众访问您的 Amazon S3 存储。 -
AWSControl Tower 版本 2.7 包括一项要求HTTPS。发送到 Cont AWS rol Tower 部署的 S3 存储桶的所有请求都必须使用安全套接字层 (SSL)。只允许HTTPS请求通过。如果您使用HTTP(不带SSL)作为发送请求的终端节点,则此更改会给您一个拒绝访问的错误,这可能会中断您的工作流程。在您的 landing zone 2.7 更新之后,此更改将无法恢复。
我们建议您将请求更改为使用,TLS而不是HTTP。
三款新品 AWS 区域可用性
2021年4月8日
(Cont AWS rol Tower 着陆区需要更新)
AWSControl Tower 还有另外三个版本可供选择 AWS 区域:亚太地区(东京)区域、亚太地区(首尔)区域和亚太地区(孟买)区域。要将监管扩展到这些区域,需要将 landing zone 更新到 2.7 版。
当您对版本 2.7 进行更新时,您的着陆区域不会自动扩展到这些区域,您必须在 Regions 表中查看并选择它们才能包含在内。
仅管理选定区域
2021年2月19日
(Cont AWS rol Tower 着陆区无需更新)
AWS选择控制塔区域可以更好地管理AWS控制塔资源的地理足迹。扩大您托管的区域数量 AWS 资源或工作负载(出于合规性、监管、成本或其他原因),您现在可以选择其他区域进行管理。
当您设置新的着陆区或更新您的 Cont AWS rol Tower 着陆区版本时,可以选择区域。当您使用 Account Factory 创建新账户或注册先前存在的成员账户时,或者当您使用 Extend Governance 在已存在的组织单位中注册账户时,Cont AWS rol Tower 会在您选择的账户区域部署集中记录、监控和控制的治理功能。有关选择区域的更多信息,请参阅配置您的 Cont AWS rol Tower 区域。
AWSControl Tower 现在可以将治理范围扩展到你的现有OUs控制范围 AWS 组织
2021年1月28日
(Cont AWS rol Tower 着陆区无需更新)
从 Control Tower AWS 控制台中将治理范围扩展到现有组织单位 (OUs)(不在 Cont AWS rol Tower 中的单位)。使用此功能,您可以将顶级账户OUs和包含账户置于 Cont AWS rol Tower 的管理之下。有关将监管扩展到整个 OU 的信息,请参阅在 Cont AWS rol Tower 中注册现有组织单位。
当您注册 OU 时,Cont AWS rol Tower 会执行一系列检查,以确保成功扩展管控范围并在 OU 内注册帐户。有关与 OU 初始注册相关的常见问题的更多信息,请参阅注册或重新注册期间失败的常见原因。
你也可以访问 Cont AWS rol Tower 产品网页
AWSControl Tower 提供批量账户更新
2021年1月28日
(Cont AWS rol Tower 着陆区无需更新)
使用批量更新功能,您现在可以更新已注册账户中的所有账户 AWS Organizations 在 Control Tower AWS 控制面板中,只需单击一下即可包含多达 300 个账户的组织单位 (OU)。如果您更新了 Cont AWS rol Tower 着陆区,并且还必须更新注册的帐户以使其与当前的着陆区版本保持一致,则此功能特别有用。
当你更新 Cont AWS rol Tower 着陆区以扩展到新区域时,或者当你想要重新注册 OU 以确保该 OU 中的所有账户都应用了最新的控制措施时,此功能还可以帮助你保持账户的最新状态。批量账户更新无需一次更新一个账户或使用外部脚本对多个账户执行更新。
有关更新着陆区的信息,请参阅更新你的着陆区。
有关注册或重新注册 OU 的信息,请参阅在 Cont AWS rol Tower 中注册现有组织单位。
