2022 年 1 月至 12 月 - AWS Control Tower
并发账户操作Account Factory 定制 (AFC)全面的控制有助于 AWS 资源配置和管理所有人均可查看合规状态 AWS Config 规则API用于控件和一个新的 AWS CloudFormation 资源cfCT 支持删除堆栈集自定义日志保留角色偏差修复可用AWSControl Tower 着陆区 3.0 版“组织” 页面结合了账户OUs和账户的视图更轻松地注册和更新个人会员账户AFT支持对共享的 Cont AWS rol Tower 账户进行自动自定义所有可选控件的并行操作现有的安全和日志账户AWSControl Tower 着陆区版本 2.9AWSControl Tower 着陆区 2.8 版

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

2022 年 1 月至 12 月

2022 年,Cont AWS rol Tower 发布了以下更新:

并发账户操作

2022年12月16日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 现在支持账户工厂中的并发操作。您一次最多可以创建、更新或注册五 (5) 个账户。连续提交最多五个操作并查看每个请求的完成状态,同时您的账户将在后台完成构建。例如,在更新其他账户或重新注册整个组织单位 (OU) 之前,您不必再等待每个流程完成。

Account Factory 定制 (AFC)

2022年11月28日

(Cont AWS rol Tower 着陆区无需更新。)

账户出厂自定义允许您在 Control Tower AWS 控制台中自定义新账户和现有账户。这些新的自定义功能使您可以灵活地定义账户蓝图,这些蓝图是 AWS CloudFormation 包含在专门的 Service Catalog 产品中的模板。蓝图提供完全自定义的资源和配置。您也可以选择使用由以下人员构建和管理的预定义蓝图 AWS 合作伙伴,可帮助您针对特定用例自定义账户。

以前,Cont AWS rol Tower 账户工厂不支持在控制台中自定义帐户。通过此次账户工厂更新,您可以预定义账户要求并将其作为明确定义的工作流程的一部分来实施。你可以应用蓝图来创建新账户,注册其他 AWS 账户存入 Cont AWS rol Tower,并更新现有的 Cont AWS rol Tower 账户。

在账户工厂中配置、注册或更新账户时,您将选择要部署的蓝图。蓝图中指定的资源是在您的账户中配置的。当您的账户完成构建后,所有自定义配置均可立即使用。

要开始自定义帐户,您可以在 Service Catalog 产品中为预期用例定义资源。您也可以从中选择合作伙伴管理的解决方案 AWS 入门库。有关更多信息,请参阅 使用 Account Factory 自定义 (AFC) 自定义账户

全面的控制有助于 AWS 资源配置和管理

2022年11月28日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 现在支持全面的控制管理,包括通过以下方式实施的全新、可选的主动控制 AWS CloudFormation 钩子。这些控制措施之所以被称为主动控制,是因为它们会在部署资源之前检查您的资源,以确定新资源是否符合在您的环境中激活的控制措施。

130 多种新的主动控制措施可帮助您实现 Cont AWS rol Tower 环境的特定策略目标;满足行业标准合规框架的要求;以及管理其他 20 多个其他环境的 Cont AWS rol Tower 互动 AWS 服务的支持。

Cont AWS rol Tower 控件库根据相关的控件对这些控件进行分类 AWS 服务和资源。有关更多详细信息,请参阅主动控制

在此版本中,Cont AWS rol Tower 还集成了 AWS Security Hub,采用新的 Security Hub 服务托管标准:Cont AWS rol Tower,该标准支持 AWS 基础安全最佳实践 (FSBP) 标准。你可以在AWS控制台中查看 160 多个 Security Hub 控件以及控制塔控件,还可以获得 Cont AWS rol Tower 环境的 Security Hub 安全分数。有关更多信息,请参阅 S ecurity Hub 控件

所有人均可查看合规状态 AWS Config 规则

2022年11月18日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 现在可以显示所有人的合规状态 AWS Config 将规则部署到在 Cont AWS rol Tower 中注册的组织单位中。您可以查看所有人的合规状态 AWS Config 这些规则会影响您在 Cont AWS rol Tower 中注册或取消注册的帐户,无需导航到AWS控制塔控制台之外。客户可以选择在 Control Tower 中设置 Config 规则(称为侦探AWS控件),也可以直接通过 Control Tower 进行设置 AWS Config 服务。部署的规则 AWS Config 显示了以及 Cont AWS rol Tower 部署的规则。

以前, AWS Config 通过部署的规则 AWS Config 在 Cont AWS rol Tower 控制台中看不到服务。客户必须导航到 AWS Config 识别违规行为的服务 AWS Config 规则。现在,您可以识别任何不合规行为 AWS Config Cont AWS rol Tower 控制台中的规则。要查看所有配置规则的合规性状态,请导航到 Cont AWS rol Tower 控制台中的账户详情页面。您将看到一个列表,其中显示了由 Control Tower 管理的AWS控件和部署在控制塔之外的配置规则的AWS合规性状态。

API用于控件和一个新的 AWS CloudFormation 资源

2022 年 9 月 1 日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 现在支持通过一组调用对控件(也称为护栏)进行编程管理。API一个新的 AWS CloudFormation 资源支持控件的API功能。有关更多详细信息,请参阅 在 AWS Control Tower 中自动执行任务 使用创建 AWS Control Tower 资源 AWS CloudFormation

它们APIs允许您启用、禁用和查看 Contro AWS l Tower 库中控件的应用程序状态。APIs包括对以下内容的支持 AWS CloudFormation,这样你就可以管理 AWS 资源作为 infrastructure-as-code (IaC)。AWSControl Tower 提供可选的预防和侦查控制措施,以表达您对整个组织单位 (OU) 和每个组织单位 (OU) 的政策意图 AWS OU 中的账户。当您创建新账户或更改现有账户时,这些规则仍然有效。

APIs包含在本版本中

  • EnableControl— 此API调用激活控件。它启动一个异步操作,该操作创建 AWS 指定组织单位的资源及其包含的账户。

  • DisableControl— 此API调用关闭控件。它会启动一个异步操作来删除 AWS 指定组织单位的资源及其包含的账户。

  • GetControlOperation— 返回特定EnableControlDisableControl操作的状态。

  • ListEnabledControls— 列出 Cont AWS rol Tower 对指定组织单位启用的控件及其包含的帐户。

要查看可选控件的控件名称列表,请参阅 Control T ower 用户指南中的APIs和AWS控件的资源标识符

cfCT 支持删除堆栈集

2022年8月26日

(Cont AWS rol Tower 着陆区无需更新。)

Cont AWS rol Tower (cfcT) 的自定义现在支持通过在文件中设置参数来删除堆栈集。manifest.yaml有关更多信息,请参阅 删除堆栈集

重要

最初将的值设置为时true,下次调用 cfcT 时,将暂存enable_stack_set_deletion以前缀开头CustomControlTower-、具有关联密钥标签Key:AWS_Solutions, Value: CustomControlTowerStackSet且未在清单文件中声明的ALL资源以供删除。

自定义日志保留

2022年8月15日

(Cont AWS rol Tower 着陆区需要更新。 有关信息,请参阅更新你的着陆区

AWSControl Tower 现在可以为存储AWS控制塔 CloudTrail 日志的 Amazon S3 存储桶自定义保留策略。您可以自定义 Amazon S3 日志保留策略,以天或年为增量,最长不超过 15 年。

如果您选择不自定义日志保留期,则标准账户日志记录的默认设置为 1 年,访问日志记录的默认设置为 10 年。

当您更新或修复着陆区时,现有客户可通过 Cont AWS rol Tower 使用此功能,而新客户则可以通过AWS控制塔设置过程使用此功能。

角色偏差修复可用

2022年8月11日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 现在支持修复角色漂移。无需完全修复 landing zone 即可恢复所需的角色。如果需要这种类型的漂移修复,控制台错误页面会提供恢复角色的步骤,以便您的着陆区再次可用。

AWSControl Tower 着陆区 3.0 版

2022年7月29日

(需要将 Cont AWS rol Tower 着陆区更新到 3.0 版。 有关信息,请参阅更新你的着陆区

AWSControl Tower 着陆区 3.0 版包括以下更新:

  • 选择组织级别的选项 AWS CloudTrail 步道,或者选择退出 Cont AWS rol Tower 管理的 CloudTrail 步道。

  • 两个新的侦探控件用于确定是否 AWS CloudTrail 正在记录您账户中的活动。

  • 聚合选项 AWS Config 仅提供有关您所在地区的全球资源的信息。

  • 区域拒绝控制的更新。

  • 托管策略的更新,AWSControlTowerServiceRolePolicy

  • 我们不再在每个注册账户aws-controltower/CloudTrailLogs中创建IAM角色aws-controltower-CloudWatchLogsRole和 CloudWatch 日志组。以前,我们在每个账户中为其账户追踪创建了这些账户。对于组织跟踪,我们只在管理账户中创建一个。

以下各节提供了有关每项新功能的更多详细信息。

Control Tower 中的AWS组织级 CloudTrail 跟踪

在 landing zone 3.0 版本中,Cont AWS rol Tower 现在支持组织级别 AWS CloudTrail 小径。

当你将 Cont AWS rol Tower 着陆区更新到 3.0 版本时,你可以选择组织级别 AWS CloudTrail 跟踪作为您的记录首选项,或者选择退出由 Cont AWS rol Tower 管理的 CloudTrail 跟踪。当您更新到 3.0 版时,Cont AWS rol Tower 会在等待 24 小时后删除已注册账户的现有账户级别跟踪。AWSControl Tower 不会删除未注册账户的账户级别跟踪。如果您的着陆区域更新失败,但失败发生在 Cont AWS rol Tower 已创建组织级跟踪之后,则在更新操作能够成功完成之前,您可能会为组织级别和账户级别的跟踪支付重复费用。

从 3.0 着陆区 3.0 开始,Cont AWS rol Tower 不再支持账户级别的跟踪 AWS 管理。相反,C AWS ontrol Tower 会根据您的选择创建组织级别的跟踪,该跟踪处于活动状态或非活动状态。

注意

更新到 3.0 或更高版本后,您将无法选择继续使用由 Cont AWS rol Tower 管理的账户级 CloudTrail 跟踪。

您的汇总账户日志不会丢失任何日志数据,因为这些日志仍保留在存储它们的现有 Amazon S3 存储桶中。仅删除跟踪,不删除现有日志。如果您选择添加组织级跟踪的选项,Cont AWS rol Tower 会在 Amazon S3 存储桶中打开新文件夹的新路径,并继续向该位置发送日志信息。如果您选择退出 Cont AWS rol Tower 管理的跟踪,则现有日志将保留在存储桶中,保持不变。

日志存储的路径命名约定

  • 账户跟踪日志以以下格式存储路径:/org id/AWSLogs/…

  • 组织跟踪日志以以下格式存储路径:/org id/AWSLogs/org id/…

Cont AWS rol Tower 为组织级 CloudTrail 跟踪创建的路径与手动创建的组织级跟踪的默认路径不同,后者的格式如下:

  • /AWSLogs/org id/…

有关 CloudTrail 路径命名的更多信息,请参阅查找 CloudTrail 日志文件

提示

如果您计划创建和管理自己的账户级跟踪,我们建议您在完成 Cont AWS rol Tower 着陆区版本 3.0 的更新之前创建新的路线,以便立即开始记录。

您可以随时选择创建新的账户级或组织级 CloudTrail跟踪并自行管理。在 3.0 或更高版本的任何着陆区更新期间,都可以选择由 Cont AWS rol Tower 管理的组织级 CloudTrail路线。每当你更新 landing zone 时,你都可以选择加入和选择退组织级别的路线。

如果您的日志由第三方服务管理,请务必为您的服务指定新的路径名。

注意

对于 3.0 或更高版本的着陆区,账号级别 AWS CloudTrail Cont AWS rol Tower 不支持跟踪。您可以随时创建和维护自己的账户级跟踪,也可以选择使用 Control Tower 管理的组织级跟踪。AWS

记录 AWS Config 仅限所在区域的资源

在着陆区 3.0 版本中,Cont AWS rol Tower 更新了以下内容的基准配置 AWS Config 因此它只记录本地区的全球资源。更新到 3.0 版后,仅在您所在的地区启用全球资源的资源记录。

此配置被认为是最佳实践。推荐的是 AWS Security Hub 以及 AWS Config,而且它通过减少创建、修改或删除全局资源时创建的配置项目的数量来节省成本。以前,每次创建、更新或删除全球资源时,无论是由客户还是由客户创建、更新或删除 AWS 服务,为每个受管辖区域中的每个项目创建了一个配置项目。

两个新的侦探控件 AWS CloudTrail 记录

作为向组织层面变更的一部分 AWS CloudTrail trails,Cont AWS rol Tower 推出了两个新的侦探控件,用于检查 CloudTrail 是否已启用。第一个控件具有强制性指导,在 3.0 及更高版本的设置或 landing zone 更新期间,它会在安全 OU 上启用。第二个控件具有强烈推荐的指导方针,可以选择将其应用于除已强制实施强制控制保护的安全 OU 以外的任何OUs其他控件。

强制控制:检测安全组织单位下的共享账户是否有 AWS CloudTrail 或启用 CloudTrail Lake

强烈推荐的控制措施:检测账户是否有 AWS CloudTrail 或启用 CloudTrail Lake

有关新控件的更多信息,请参阅 Cont AWSrol Tower 控件库

区域拒绝控制的更新

我们更新了区域拒绝控制中的NotAction列表,以包括一些其他服务的操作,如下所示:


            “chatbot:*”,
            "s3:GetAccountPublic",
            "s3:DeleteMultiRegionAccessPoint", 
            "s3:DescribeMultiRegionAccessPointOperation", 
            "s3:GetMultiRegionAccessPoint", 
            "s3:GetMultiRegionAccessPointPolicy", 
            "s3:GetMultiRegionAccessPointPolicyStatus",
            "s3:ListMultiRegionAccessPoints",
            "s3:GetStorageLensConfiguration", 
            “s3:GetStorageLensDashboard", 
            “s3:ListStorageLensConfigurations”
            “s3:GetAccountPublicAccessBlock“,,
            “s3:PutAccountPublic", 
            “s3:PutAccountPublicAccessBlock“,

视频演练

此视频 (3:07) 描述了如何将现有的 Cont AWS rol Tower 着陆区更新到版本 3。为了更好地观看,请选择视频右下角的图标以将其放大为全屏。可以使用字幕。

“组织” 页面结合了账户OUs和账户的视图

2022年7月18日

(Cont AWS rol Tower 着陆区无需更新)

Cont AWS rol Tower 中的新组织页面显示了所有组织单位 (OUs) 和账户的分层视图。它结合了以前存在的 “OUs帐户” 页面中的信息。

在新页面上,您可以看到父项OUs与其嵌套OUs和帐户之间的关系,您可以对资源分组采取行动。您可以配置页面视图。例如,您可以展开或折叠分层视图,筛选视图以查看账户或OUs仅查看账户,选择仅查看您的注册账户和注册账户OUs,或者您可以查看相关资源组。可以更轻松地确保整个组织得到正确更新。

更轻松地注册和更新个人会员账户

2022年5月31日

(Cont AWS rol Tower 着陆区无需更新)

AWSControl Tower 现在增强了单独更新和注册成员帐户的功能。每个账户都会显示何时可以更新,因此您可以更轻松地确保您的成员账户包含最新配置。只需几个简化的步骤,您就可以更新您的 landing zone、纠正账户偏差或将账户注册到已注册的 OU。

更新账户时,无需在每次更新操作中都包含账户的整个组织单位 (OU)。因此,更新个人账户所需的时间大大缩短。

在AWS控制塔OUs控制台的更多帮助下,你可以将账户注册到AWS控制塔。您在 Contro AWS l Tower 中注册的现有账户仍必须满足账户前提条件,并且必须添加该AWSControlTowerExecution角色。然后,您可以选择任何已注册的 OU,然后通过选择 “注册” 按钮将该帐户注册到该组织中。

我们已将注册账户功能与账户工厂中的创建账户工作流程分开,以进一步区分这些类似的流程,并帮助避免在输入账户信息时出现设置错误。

AFT支持对共享的 Cont AWS rol Tower 账户进行自动自定义

2022年5月27日

(Cont AWS rol Tower 着陆区无需更新)

Account Factory for Terraform (AFT) 现在可以通过编程方式自定义和更新由 Cont AWS rol Tower 管理的任何账户,包括管理账户、审计账户和日志存档账户,以及你注册的账户。您可以集中进行账户自定义和更新管理,同时保护账户配置的安全,因为您可以确定执行工作的角色范围。

现有AWSAFTExecution角色现在可以在所有账户中部署自定义设置。您可以根据您的业务和安全要求设置IAM权限,从而限制AWSAFTExecution角色的访问权限。您还可以通过编程方式为可信用户委派该角色中已批准的自定义权限。作为最佳实践,我们建议您将权限限制为部署所需自定义项所必需的权限。

AFT现在创建了AFT用于在所有托管账户(包括共享账户和管理账户)中部署资源的新AWSAFTService角色。之前的资源是由该AWSAFTExecution角色部署的。

Cont AWS rol Tower 共享账户和管理账户不是通过账户工厂配置的,因此它们中没有相应的预配置产品 AWS Service Catalog。 因此,您无法更新 Service Catalog 中的共享账户和管理账户。

所有可选控件的并行操作

2022年5月18日

(Cont AWS rol Tower 着陆区无需更新)

AWSControl Tower 现在支持预防性控制和侦探控制的并行操作。

有了这项新功能,现在可以同时应用或删除任何可选控件,从而提高了所有可选控件的易用性和性能。您可以启用多个可选控件,而无需等待单个控制操作完成。唯一的限制时间是 Cont AWS rol Tower 正在设置着陆区或将治理范围扩展到新组织时。

支持的预防性控制功能:

  • 在同一 OU 上应用和移除不同的预防控制措施。

  • 同时对不同的预防控制措施应用和移除不同的OUs预防控制措施。

  • 同时对多个OUs产品应用和移除相同的预防控制。

  • 您可以同时应用和删除任何预防和侦查控制。

您可以在所有已发布的 Control Tower 版本中体验这些AWS控制并发性改进。

当您对嵌套应用预防性控制时OUs,预防性控制会影响OUs嵌套在目标 OU 下的所有帐户,即使这些帐户未在 Cont AWS rol Tower 中注册也是如此。OUs使用服务控制策略 (SCPs) 实施预防性控制,服务控制策略是其中的一部分 AWS Organizations。 Detective 控件是使用实现的 AWS Config 规则。当您创建新账户或更改现有账户时,防护措施仍然有效,Cont AWS rol Tower 会提供一份摘要报告,说明每个账户如何遵守您启用的政策。有关可用控件的完整列表,请参阅 Cont AWSrol Tower 控件库

现有的安全和日志账户

2022年5月16日

(在初始设置期间可用。)

AWSControl Tower 现在提供了指定现有控制台的选项 AWS 在最初的着陆区设置过程中,账户作为 Cont AWS rol Tower 安全账户或登录帐户。此选项使得 Cont AWS rol Tower 无需创建新的共享帐户。安全账户(默认为审核账户)是一个受限账户,允许您的安全和合规团队访问您的 landing zone 中的所有账户。日志帐户(默认情况下称为日志存档帐户)用作存储库。它存储您的 landing zone 中所有账户的API活动和资源配置日志。

通过使用现有的安全和日志帐户,可以更轻松地将 Cont AWS rol Tower 管理扩展到现有组织,或者从备用着陆区迁移到 Cont AWS rol Tower。在最初的 landing zone 设置过程中,会显示您使用现有账户的选项。它包括在设置过程中进行检查,以确保成功部署。AWSControl Tower 对您的现有账户实施必要的角色和控制。它不会删除或合并这些账户中存在的任何现有资源或数据。

限制:如果你打算带上现有的 AWS 帐户作为审计和日志存档帐户存放到 Cont AWS rol Tower 中,以及这些帐户是否已存在 AWS Config 资源,必须删除现有的 AWS Config 资源,然后才能将账户注册到 Cont AWS rol Tower。

AWSControl Tower 着陆区版本 2.9

2022年4月22日

(需要将 Cont AWS rol Tower 着陆区更新到 2.9 版。 有关信息,请参阅更新你的着陆区

AWSControl Tower 着陆区版本 2.9 将通知转发器 Lambda 更新为使用 Python 版本 3.9 运行时。此更新解决了 Python 3.6 版本的弃用问题,该版本计划于 2022 年 7 月发布。有关最新信息,请参阅 Python 弃用页面

AWSControl Tower 着陆区 2.8 版

2022年2月10日

(需要将 Cont AWS rol Tower 着陆区更新到 2.8 版。 有关信息,请参阅更新你的着陆区

AWSControl Tower 着陆区 2.8 版增加了与最新更新一致的功能 AWS 基础安全最佳实践

在此版本中:

  • 已为日志存档账户中的访问日志存储桶配置访问日志记录,以跟踪对现有 S3 访问日志存储桶的访问权限。

  • 添加了对生命周期策略的 Support 支持。现有 S3 访问日志存储桶的访问日志的默认保留时间设置为 10 年。

  • 此外,此版本将 Cont AWS rol Tower 更新为使用 AWS 服务关联角色 (SLR) 由 AWS Config,在所有托管账户(不包括管理账户)中,这样您就可以设置和管理匹配的 Config 规则 AWS Config 最佳实践。不升级的客户将继续使用其现有角色。

  • 此版本简化了 Cont AWS rol Tower 的加密KMS配置流程 AWS Config 数据,它改进了中的相关状态消息 CloudTrail。

  • 该版本包括对区域拒绝控件的更新,以允许在中route53-application-recovery使用该功能us-west-2

  • 更新:2022 年 2 月 15 日,我们删除了死信队列 AWS Lambda 函数。

其他详细信息:

  • 如果你停用着陆区,Cont AWS rol Tower 不会移除 AWS Config 服务相关角色。

  • 如果您取消配置 Account Factory 帐户,则 Cont AWS rol Tower 不会删除 AWS Config 服务相关角色。

要将着陆区更新到 2.8,请导航至着陆区设置页面,选择 2.8 版本,然后选择更新。更新着陆区域后,必须更新受 Cont AWS rol Tower 管理的所有账户,如中所示Cont AWS rol Tower 中的配置更新管理