2023 年 1 月 – 12 月

• 过渡到新的 AWS Service Catalog 外部产品类型（第 3 阶段）

• AWS Control Tower 登录区版本 3.3

• 过渡到新的 AWS Service Catalog 外部产品类型（第 2 阶段）

• AWS Control Tower 宣布推出有助于实现数字主权的控件

• AWS Control Tower 支持登录区 API

• AWS Control Tower 支持为已启用的控件添加标签

• AWS Control Tower 在亚太地区（墨尔本）区域推出

• 过渡到新的 AWS Service Catalog 外部产品类型（第 1 阶段）

• 新的控件 API 可用

• AWS Control Tower 添加了额外的控件

• 报告了新的偏移类型：已禁用可信访问

• 新增四个 AWS 区域

• AWS Control Tower 在特拉维夫区域推出

• AWS Control Tower 推出 28 种新的主动性控件

• AWS Control Tower 弃用 2 个控件

• AWS Control Tower 登录区版本 3.2

• AWS Control Tower 根据 ID 处理账户

• AWS Control Tower 控件库中提供其他 Security Hub 检测性控件

• AWS Control Tower 发布控件元数据表

• Terraform 支持 Account Factory Customization

• AWS IAM Identity Center 自我管理功能可用于登录区

• AWS Control Tower 解决了 OU 的混合监管问题

• 推出其他主动性控件

• 更新了 Amazon EC2 主动性控件

• 新增 7 个可用 AWS 区域

• Account Factory for Terraform（AFT）账户自定义请求跟踪

• AWS Control Tower 登录区版本 3.1

• 主动性控件正式发布

登录区区域拒绝控件的更新

• 删除了 discovery-marketplace:。此操作已包含在 aws-marketplace:* 豁免范围内。

• 添加了 quicksight:DescribeAccountSubscription

新的主动性控件

• CT.APIGATEWAY.PR.6：要求 Amazon API Gateway REST 域使用指定最低 TLS 协议版本为 TLSv1.2 的安全策略

• CT.APPSYNC.PR.2：要求将 AWS AppSync GraphQL API 配置为具有私有可见性

• CT.APPSYNC.PR.3：要求不使用 API 密钥对 AWS AppSync GraphQL API 进行身份验证

• CT.APPSYNC.PR.4：要求 AWS AppSync GraphQL API 缓存启用传输中加密。

• CT.APPSYNC.PR.5：要求 AWS AppSync GraphQL API 缓存启用静态加密。

• CT.AUTOSCALING.PR.9：要求通过 Amazon EC2 Auto Scaling 启动配置将 Amazon EBS 卷配置为加密静态数据

• CT.AUTOSCALING.PR.10：要求 Amazon EC2 Auto Scaling 组在覆盖启动模板时仅使用 AWS Nitro 实例类型

• CT.AUTOSCALING.PR.11：在覆盖启动模板时，要求仅将支持实例间网络流量加密的 AWS Nitro 实例类型添加到 Amazon EC2 Auto Scaling 组中

• CT.DAX.PR.3：要求 DynamoDB Accelerator 集群使用传输层安全性协议（TLS）对传输中数据进行加密。

• CT.DMS.PR.2：要求 AWS Database Migration Service（DMS）端点对源端点和目标端点的连接进行加密

• CT.EC2.PR.15：要求在使用 AWS::EC2::LaunchTemplate 资源类型创建 Amazon EC2 实例时，必须使用 AWS Nitro 实例类型。

• CT.EC2.PR.16：要求在使用 AWS::EC2::Instance 资源类型创建 Amazon EC2 实例时，必须使用 AWS Nitro 实例类型。

• CT.EC2.PR.17：要求 Amazon EC2 专属主机使用 AWS Nitro 实例类型

• CT.EC2.PR.18：要求 Amazon EC2 Fleet 仅覆盖具有 AWS Nitro 实例类型的启动模板

• CT.EC2.PR.19：要求在使用 AWS::EC2::Instance 资源类型创建 Amazon EC2 实例时，必须使用支持实例间传输中加密的 Nitro 实例类型。

• CT.EC2.PR.20：要求 Amazon EC2 Fleet 仅覆盖具有 AWS Nitro 实例类型（支持实例间传输中加密）的启动模板

• CT.ELASTICACHE.PR.8：要求使用较新版本 Redis 的 Amazon ElastiCache 复制组激活 RBAC 身份验证

• CT.MQ.PR.1：要求 Amazon MQ ActiveMQ 代理使用主动/备用部署模式以实现高可用性

• CT.MQ.PR.2：要求 Amazon MQ Rabbit MQ 代理使用多可用区集群模式以实现高可用性

• CT.MSK.PR.1：要求 Amazon Managed Streaming for Apache Kafka（MSK）集群在集群代理节点间强制实施传输中加密。

• CT.MSK.PR.2：要求 Amazon Managed Streaming for Apache Kafka（MSK）集群配置为禁用 PublicAccess

• CT.NETWORK-FIREWALL.PR.5：要求跨多个可用区部署 AWS Network Firewall 防火墙

• CT.RDS.PR.26：要求 Amazon RDS 数据库代理必须使用传输层安全性协议（TLS）连接

• CT.RDS.PR.27：要求 Amazon RDS 数据库集群参数组必须针对支持的引擎类型使用传输层安全性协议（TLS）连接

• CT.RDS.PR.28：要求 Amazon RDS 数据库参数组必须针对支持的引擎类型使用传输层安全性协议（TLS）连接

• CT.RDS.PR.29：要求不得通过“PubliclyAccessible”属性将 Amazon RDS 集群配置为可公开访问。

• CT.RDS.PR.30：要求 Amazon RDS 数据库实例配置静态加密，以针对所支持的引擎类型使用您指定的 KMS 密钥

• CT.S3.PR.12：要求 Amazon S3 接入点设置屏蔽公共访问（BPA）配置，并将所有选项都设置为 true

新的预防性控件

• CT.APPSYNC.PV.1 要求将 AWS AppSync GraphQL API 配置为具有私有可见性

• CT.EC2.PV.1 要求从加密的 EC2 卷创建 Amazon EBS 快照

• CT.EC2.PV.2 要求将连接的 Amazon EBS 卷配置为对静态数据进行加密

• CT.EC2.PV.3 要求 Amazon EBS 快照不可公开还原

• CT.EC2.PV.4 要求不得调用 Amazon EBS 直接 API

• CT.EC2.PV.5 禁止使用 Amazon EC2 虚拟机导入和导出

• CT.EC2.PV.6 禁止使用已弃用的 Amazon EC2 RequestSpotFleet 和 RequestSpotInstances API 操作

• CT.KMS.PV.1 要求 AWS KMS 密钥策略包含一项声明，将 AWS KMS 授权的创建限制于 AWS 服务范围内

• CT.KMS.PV.2 要求用于加密且带有 RSA 密钥材料的 AWS KMS 非对称密钥的长度不能为 2048 位

• CT.KMS.PV.3 要求对 AWS KMS 密钥进行配置，使其启用绕过策略锁定安全检查功能

• CT.KMS.PV.4 要求将 AWS KMS 客户自主管理型密钥（CMK）配置为使用源自 AWS CloudHSM 的密钥材料

• CT.KMS.PV.5 要求将 AWS KMS 客户自主管理型密钥（CMK）配置为使用导入的密钥材料

• CT.KMS.PV.6 要求将 AWS KMS 客户自主管理型密钥（CMK）配置为使用源自外部密钥存储（XKS）的密钥材料

• CT.LAMBDA.PV.1 要求 AWS Lambda 函数 URL 使用基于 AWS IAM 的身份验证

• CT.LAMBDA.PV.2 要求将 AWS Lambda 函数 URL 配置为仅供您 AWS 账户 内的主体进行访问

• CT.MULTISERVICE.PV.1：基于所请求的 AWS 区域，拒绝组织单位对 AWS 的访问。

新的检测性控件

• SH.ACM.2：由 ACM 托管的 RSA 证书应使用至少 2,048 位的密钥长度

• SH.AppSync.5：不应使用 API 密钥对 AWS AppSync GraphQL API 进行身份验证

• SH.CloudTrail.6：确保用于存储 CloudTrail 日志的 S3 存储桶不可公开访问

• SH.DMS.9：DMS 端点应使用 SSL

• SH.DocumentDB.3：Amazon DocumentDB 手动集群快照不应公开

• SH.DynamoDB.3：DynamoDB Accelerator（DAX）集群应在静态状态下进行加密

• SH.EC2.23：EC2 中转网关不应自动接受 VPC 附件请求

• SH.EKS.1：EKS 集群端点不可供公共访问

• SH.ElastiCache.3：ElastiCache 复制组应启用自动失效转移

• SH.ElastiCache.4：ElastiCache 复制组应启用静态加密

• SH.ElastiCache.5：ElastiCache 复制组应启用传输中加密

• SH.ElastiCache.6：早期 Redis 版本的 ElastiCache 复制组应启用 Redis AUTH

• SH.EventBridge.3：EventBridge 自定义事件总线应附加基于资源的策略

• SH.KMS.4：应启用 AWS KMS 密钥轮换

• SH.Lambda.3：Lambda 函数应位于 VPC 中

• SH.MQ.5：ActiveMQ 代理应使用主动/备用部署模式

• SH.MQ.6：RabbitMQ 代理应使用集群部署模式

• SH.MSK.1：MSK 集群应在代理节点之间传输时进行加密

• SH.RDS.12：应为 RDS 集群配置 IAM 身份验证

• SH.RDS.15：应为多个可用区配置 RDS 数据库集群

• SH.S3.17：S3 存储桶应使用 AWS KMS 进行静态加密

• 更新后的 EnableControl API 可以配置可配置的控件。

• 更新后的 GetEnabledControl API 可显示已启用控件上的已配置参数。

• 新 UpdateEnabledControl API 可以更改已启用控件上的参数。

• CreateLandingZone - 此 API 调用会使用登录区版本和清单文件来创建一个登录区。

• GetLandingZoneOperation - 此 API 调用会返回指定登录区操作的状态。

• GetLandingZone - 此 API 调用会返回有关指定登录区的详细信息，包括版本、清单文件和状态。

• UpdateLandingZone - 此 API 调用会更新登录区版本或清单文件。

• ListLandingZone - 此 API 调用会返回管理账户中设置的登录区的一个登录区标识符（ARN）。

• ResetLandingZone - 此 API 调用会将登录区重置为最新更新中指定的参数，从而修复偏移。如果登录区未曾更新过，则此调用会将登录区重置为创建时指定的参数。

• DeleteLandingZone - 此 API 调用会停用登录区。

• TagResource - 此 API 调用会向 AWS Control Tower 中启用的控件添加标签。

• UntagResource - 此 API 调用会从 AWS Control Tower 中已启用的控件中删除标签。

• ListTagsForResource - 此 API 调用会返回 AWS Control Tower 中已启用控件的标签。

• GetEnabledControl - 该 API 调用会提供有关已启用控件的详细信息。

• 从 AWS Control Tower 控件库中获取您已启用的所有控件的列表。

• 对于任何已启用的控件，您可以获取以下相关信息：支持该控件的区域、控件的标识符（ARN）、控件的偏移状态以及控件的状态摘要。

新的主动性控件

• [CT.ATHENA.PR.1] 要求 Amazon Athena 工作组对 Athena 查询结果进行静态加密

• [CT.ATHENA.PR.2] 要求 Amazon Athena 工作组使用 AWS Key Management Service（KMS）密钥对 Athena 查询结果进行静态加密

• [CT.CLOUDTRAIL.PR.4] 要求 AWS CloudTrail Lake 事件数据存储使用 AWS KMS 密钥启用静态加密

• [CT.DAX.PR.2] 要求 Amazon DAX 集群将节点部署到至少三个可用区

• [CT.EC2.PR.14] 要求通过 Amazon EC2 启动模板将 Amazon EBS 卷配置为加密静态数据

• [CT.EKS.PR.2] 要求将 Amazon EKS 集群配置为使用 AWS Key Management Service（KMS）密钥进行密钥加密

• [CT.ELASTICLOADBALANCING.PR.14] 要求网络负载均衡器激活跨区域负载均衡

• [CT.ELASTICLOADBALANCING.PR.15] 要求 Elastic Load Balancing V2 目标组不要显式禁用跨区域负载均衡

• [CT.EMR.PR.1] 要求对 Amazon EMR（EMR）安全配置进行设置，以对 Amazon S3 中的静态数据进行加密

• [CT.EMR.PR.2] 要求对 Amazon EMR（EMR）安全配置进行设置，以使用 AWS KMS 密钥对 Amazon S3 中的静态数据进行加密

• [CT.EMR.PR.3] 要求对 Amazon EMR（EMR）安全配置进行设置，以使用 AWS KMS 密钥进行 EBS 卷本地磁盘加密

• [CT.EMR.PR.4] 要求对 Amazon EMR（EMR）安全配置进行设置，以对传输中数据进行加密

• [CT.GLUE.PR.1] 要求 AWS Glue 作业具备相关联的安全配置

• [CT.GLUE.PR.2] 要求使用 AWS Glue 安全配置使用 AWS KMS 密钥对 Amazon S3 目标中的数据进行加密

• [CT.KMS.PR.2] 要求用于加密且带有 RSA 密钥材料的 AWS KMS 非对称密钥的长度大于 2048 位

• [CT.KMS.PR.3] 要求 AWS KMS 密钥策略包含一项声明，将 AWS KMS 授权的创建限制于 AWS 服务范围内

• [CT.LAMBDA.PR.4] 要求 AWS Lambda 层权限授予对 AWS 组织或特定 AWS 账户的访问权限

• [CT.LAMBDA.PR.5] 要求 AWS Lambda 函数 URL 使用基于 AWS IAM 的身份验证

• [CT.LAMBDA.PR.6] 要求 AWS Lambda 函数 URL CORS 策略限制对特定来源的访问

• [CT.NEPTUNE.PR.4] 要求 Amazon Neptune 数据库集群针对审计日志启用 Amazon CloudWatch 日志导出

• [CT.NEPTUNE.PR.5] 要求 Amazon Neptune 数据库集群将备份保留期设置为大于或等于七天

• [CT.REDSHIFT.PR.9] 要求将 Amazon Redshift 集群参数组配置为使用安全套接字层（SSL）对传输中数据进行加密

• [SH.Athena.1] Athena 工作组应进行静态加密

• [SH.Neptune.1] 应对 Neptune 数据库集群进行静态加密

• [SH.Neptune.2] Neptune 数据库集群应将审计日志发布到 CloudWatch Logs

• [SH.Neptune.3] Neptune 数据库集群快照不应公开

• [SH.Neptune.4] Neptune 数据库集群应启用删除保护

• [SH.Neptune.5] Neptune 数据库集群应启用自动备份

• [SH.Neptune.6] 应对 Neptune 数据库集群快照进行静态加密

• [SH.Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证

• [SH.Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照

• [SH.RDS.27] 应对 RDS 数据库集群进行静态加密

以下是新控件的完整列表：

• [CT.APPSYNC.PR.1] 要求 AWS AppSync GraphQL API 启用日志记录

• [CT.CLOUDWATCH.PR.1] 要求 Amazon CloudWatch 警报针对警报状态配置一项操作

• [CT.CLOUDWATCH.PR.2] 要求 Amazon CloudWatch 日志组保留至少一年

• [CT.CLOUDWATCH.PR.3] 要求使用 AWS KMS 密钥对 Amazon CloudWatch 日志组进行静态加密

• [CT.CLOUDWATCH.PR.4] 要求激活一项 Amazon CloudWatch 警报操作

• [CT.DOCUMENTDB.PR.1] 要求对 Amazon DocumentDB 集群进行静态加密

• [CT.DOCUMENTDB.PR.2] 要求 Amazon DocumentDB 集群启用自动备份

• [CT.DYNAMODB.PR.2] 要求使用 AWS KMS 密钥对 Amazon DynamoDB 表进行静态加密

• [CT.EC2.PR.13] 要求 Amazon EC2 实例启用详细监控

• [CT.EKS.PR.1] 要求对 Amazon EKS 集群进行配置，禁用对集群 Kubernetes API 服务器端点的公共访问。

• [CT.ELASTICACHE.PR.1] 要求 Amazon ElastiCache for Redis 集群激活自动备份

• [CT.ELASTICACHE.PR.2] 要求 Amazon ElastiCache for Redis 集群激活次要版本升级

• [CT.ELASTICACHE.PR.3] 要求 Amazon ElastiCache for Redis 复制组激活自动失效转移

• [CT.ELASTICACHE.PR.4] 要求 Amazon ElastiCache 复制组激活静态加密

• [CT.ELASTICACHE.PR.5] 要求 Amazon ElastiCache for Redis 复制组激活传输中加密

• [CT.ELASTICACHE.PR.6] 要求 Amazon ElastiCache 缓存集群使用自定义子网组

• [CT.ELASTICACHE.PR.7] 要求使用早期 Redis 版本的 Amazon ElastiCache 复制组进行 Redis 身份验证

• [CT.ELASTICBEANSTALK.PR.3] 要求 AWS Elastic Beanstalk 环境进行日志记录配置

• [CT.LAMBDA.PR.3] 要求 AWS Lambda 函数位于客户管理的 Amazon Virtual Private Cloud（VPC）中

• [CT.NEPTUNE.PR.1] 要求 Amazon Neptune 数据库集群具有 AWS Identity and Access Management（IAM）数据库身份验证

• [CT.NEPTUNE.PR.2] 要求 Amazon Neptune 数据库集群启用删除保护

• [CT.NEPTUNE.PR.3] 要求 Amazon Neptune 数据库集群启用存储加密

• [CT.REDSHIFT.PR.8] 要求对 Amazon Redshift 集群进行加密

• [CT.S3.PR.9] 要求 Amazon S3 存储桶激活 S3 对象锁定

• [CT.S3.PR.10] 要求 Amazon S3 存储桶使用 AWS KMS 密钥配置服务器端加密

• [CT.S3.PR.11] 要求 Amazon S3 存储桶启用版本控制

• [CT.STEPFUNCTIONS.PR.1] 要求 AWS Step Functions 状态机激活日志记录

• [CT.STEPFUNCTIONS.PR.2] 要求 AWS Step Functions 状态机激活 AWS X-Ray 跟踪

• [SH.S3.4] S3 存储桶应启用服务器端加密

• [CT.S3.PR.7] 要求 Amazon S3 存储桶配置服务器端加密

添加的全局服务和 API

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail (cloudtrail:LookupEvents)，可允许查看成员账户中的全局事件。

• AWS 整合账单 (consolidatedbilling:*)

• AWS 管理控制台移动应用程序 (consoleapp:*)

• AWS 免费套餐 (freetier:*)

• AWS 开票 (invoicing:*)

• AWS IQ (iq:*)

• AWS 用户通知 (notifications:*)

• AWS 用户通知联系人 (notifications-contacts:*)

• Amazon Payments (payments:*)

• AWS 税务设置 (tax:*)

删除的全局服务和 API

• 已删除 s3:GetAccountPublic，因为它不是一个有效的操作。

• 已删除 s3:PutAccountPublic，因为它不是一个有效的操作。

• [SH.Account.1] 应为 AWS 账户 提供安全联系人信息

• [SH.APIGateway.8] API Gateway 路由应指定授权类型

• [SH.APIGateway.9] 应为 API Gateway V2 阶段配置访问日志记录

• [SH.CodeBuild.3] CodeBuild S3 日志应加密

• [SH.EC2.25] EC2 启动模板不应将公共 IP 分配给网络接口

• [SH.ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS

• [SH.Redshift.10] Redshift 集群应进行静态加密

• [SH.SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动

• [SH.SageMaker.3] 用户不应拥有对 SageMaker 笔记本实例的根访问权限

• [SH.WAF.10] 一个 WAFV2 Web ACL 应至少有一个规则或规则组

• 您可以接受默认设置，允许 AWS Control Tower 为您设置和管理 AWS IAM Identity Center。

• 您可以选择自行管理 AWS IAM Identity Center，以体现您的特定业务需求。

• 如果需要，您可以选择通过 IAM Identity Center 连接第三方身份提供商并对其进行自我管理。如果您的监管环境要求您使用特定的提供商，或者您在 AWS IAM Identity Center 不可用的 AWS 区域 开展业务，则应使用身份提供商可选性设置。

Amazon OpenSearch Service

• [CT.OPENSEARCH.PR.1] 要求 Elasticsearch 域加密静态数据

• [CT.OPENSEARCH.PR.2] 要求在用户指定的 Amazon VPC 中创建 Elasticsearch 域

• [CT.OPENSEARCH.PR.3] 要求 Elasticsearch 域加密节点之间发送的数据

• [CT.OPENSEARCH.PR.4] 要求 Elasticsearch 域将错误日志发送到 Amazon CloudWatch Logs

• [CT.OPENSEARCH.PR.5] 要求 Elasticsearch 域将审计日志发送到 Amazon CloudWatch Logs

• [CT.OPENSEARCH.PR.6] 要求 Elasticsearch 域具备区域感知能力，并且一个域至少包含三个数据节点

• [CT.OPENSEARCH.PR.7] 要求一个 Elasticsearch 域至少有三个专用的主节点

• [CT.OPENSEARCH.PR.8] 要求 Elasticsearch Service 域使用 TLSv1.2

• [CT.OPENSEARCH.PR.9] 要求 Amazon OpenSearch Service 域加密静态数据

• [CT.OPENSEARCH.PR.10] 要求在用户指定的 Amazon VPC 中创建 Amazon OpenSearch Service 域

• [CT.OPENSEARCH.PR.11] 要求 Amazon OpenSearch Service 域加密节点之间发送的数据

• [CT.OPENSEARCH.PR.12] 要求 Amazon OpenSearch Service 域将错误日志发送到 Amazon CloudWatch Logs

• [CT.OPENSEARCH.PR.13] 要求 Amazon OpenSearch Service 域将审计日志发送到 Amazon CloudWatch Logs

• [CT.OPENSEARCH.PR.14] 要求 Amazon OpenSearch Service 域具备区域感知能力，并且一个域至少包含三个数据节点

• [CT.OPENSEARCH.PR.15] 要求 Amazon OpenSearch Service 域使用精细的访问控制

• [CT.OPENSEARCH.PR.16] 要求 Amazon OpenSearch Service 域使用 TLSv1.2

Amazon EC2 Auto Scaling

• [CT.AUTOSCALING.PR.1] 要求一个 Amazon EC2 Auto Scaling 组拥有多个可用区

• [CT.AUTOSCALING.PR.2] 要求 Amazon EC2 Auto Scaling 组启动配置必须为 IMDSv2 配置 Amazon EC2 实例

• [CT.AUTOSCALING.PR.3] 要求 Amazon EC2 Auto Scaling 启动配置中设置单跳元数据响应限制

• [CT.AUTOSCALING.PR.4] 要求与 Amazon Elastic Load Balancing（ELB）关联的 Amazon EC2 Auto Scaling 组激活 ELB 运行状况检查

• [CT.AUTOSCALING.PR.5] 要求 Amazon EC2 Auto Scaling 组启动配置中没有具有公有 IP 地址的 Amazon EC2 实例

• [CT.AUTOSCALING.PR.6] 要求任何 Amazon EC2 Auto Scaling 组使用多种实例类型

• [CT.AUTOSCALING.PR.8] 要求 Amazon EC2 Auto Scaling 组配置 EC2 启动模板

Amazon SageMaker

• [CT.SAGEMAKER.PR.1] 要求 Amazon SageMaker Notebook 实例阻止直接访问 Internet

• [CT.SAGEMAKER.PR.2] 要求在自定义 Amazon VPC 中部署 Amazon SageMaker Notebook 实例

• [CT.SAGEMAKER.PR.3] 要求禁止Amazon SageMaker Notebook 实例具有根访问权限

Amazon API Gateway

• [CT.APIGATEWAY.PR.5] 要求 Amazon API Gateway V2 Websocket 和 HTTP 路由指定授权类型

Amazon Relational Database Service（RDS）

• [CT.RDS.PR.25] 要求 Amazon RDS 数据库集群配置日志记录

• 《Amazon CloudWatch Logs 用户指南》中的 What is Amazon CloudWatch Logs?

• 《AWS Step Functions 开发人员指南》中的 What is AWS Step Functions?

• 随着此次发布，AWS Control Tower 将针对您的访问日志记录存储桶（即日志归档账户中存储访问日志的 Amazon S3 存储桶）停用不必要的访问日志记录，同时继续为 S3 存储桶启用服务器访问日志记录。此次发布还包括对区域拒绝控件的更新，允许对全局服务（如 AWS Support 计划和 AWS Artifact）执行更多操作。

• 由于 AWS Security Hub 规则“[S3.9] 应启用 S3 存储桶服务器访问日志记录”，停用 AWS Control Tower 访问日志记录存储桶的服务器访问日志记录会导致 Security Hub 为日志存档账户的访问日志记录存储桶创建一个调查发现。为了与 Security Hub 保持一致，建议您按照 Security Hub 对此规则的描述中所述，抑制这一特定调查发现。有关其他信息，请参阅有关抑制的调查发现的信息。

• 在 3.1 版本中，日志存档账户中（常规）日志记录存储桶的访问日志记录保持不变。根据最佳实践，该存储桶的访问事件将作为日志条目记录在访问日志存储桶中。有关访问日志记录的更多信息，请参阅 Amazon S3 文档中的 Logging requests using server access logging。

• 我们更新了区域拒绝控件。此更新允许更多全局服务执行相关操作。有关此 SCP 的详细信息，请参阅 Deny access to AWS based on the requested AWS 区域 和 Controls that enhance data residency protection。

  添加的全局服务：

  • AWS Account Management (account:*)

  • AWS Activate (activate:*)

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • Amazon ECR (ecr-public:*)

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS Lightsail (lightsail:Get*)

  • AWS 资源探索器 (resource-explorer-2:*)

  • Amazon S3（s3:CreateMultiRegionAccessPoint、s3:GetBucketPolicyStatus、s3:PutMultiRegionAccessPointPolicy）

  • AWS 节省计划 (savingsplans:*)

  • IAM Identity Center (sso:*)

  • AWS Support App (supportapp:*)

  • AWS Support 计划 (supportplans:*)

  • AWS 可持续性 (sustainability:*)

  • AWS Resource Groups Tagging API (tag:GetResources)

  • AWS Marketplace Vendor Insights (vendor-insights:ListEntitledSecurityProfiles)