2024 年 1 月——至今 - AWS Control Tower
AWSControl Tower 每个 OU 最多支持 1000 个账户AWSControl Tower 增加了着陆区域版本选择API提供描述性控件,扩展了对区域和控件的访问权限AWSControl Tower 支持选择加入区域AFT和 cfcTAWSControl Tower 添加了 ListLandingZoneOperations APIAWSControl Tower 支持多达 100 个并发控制操作AWSControl Tower 在 AWS 加拿大西部(卡尔加里)AWSControl Tower 支持自助服务配额调整AWSControl Tower 发布了《控件参考指南》AWSControl Tower 更新并重命名了两个主动控件已弃用的控件不再可用AWSControl Tower 支持在以下位置标记EnabledControl资源 AWS CloudFormationAWSControl Tower APIs 支持使用基准进行组织单位注册和配置

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

2024 年 1 月——至今

自 2024 年 1 月以来,Cont AWS rol Tower 发布了以下更新:

AWSControl Tower 每个 OU 最多支持 1000 个账户

2024年8月30日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 已将每个组织单位 (OU) 允许的最大账户数从 300 个增加到 1000 个。现在,您最多可以注册 1000 AWS 账户 立即进入 Cont AWS rol Tower 治理,无需更改 OU 结构。OU 注册和重新注册流程也更加高效,在您的账户中部署 Cont AWS rol Tower 基准资源所需的时间明显减少。

由于账户数量的限制,某些账户限制仍然适用 AWS CloudFormation 堆栈集可用。具体而言,您可以在 OU 中注册的最大账户数量可能会有所不同,具体取决于您所管理的区域数量。要了解更多信息,请访问基于底层资产的限制 AWS Cont AWSrol Tower 用户指南中的服务。如需查看完整清单 AWS 区域 在 Cont AWS rol Tower 可用的地方,请参阅 AWS 区域 桌子

AWSControl Tower 增加了着陆区域版本选择

2024年8月15日

(Cont AWS rol Tower 着陆区无需更新。)

如果您运行的是 Cont AWS rol Tower 着陆区版本 3.1 及更高版本,则可以在当前版本上更新或修复您的着陆区,也可以升级到您选择的版本。以前,任何着陆区更新或修复都需要升级到最新的着陆区版本。

借助 landing zone 版本选择,您可以更灵活地规划版本升级,同时评估环境的潜在变化。您无需在修复漂移以保持合规性、更新着陆区配置或升级到最新着陆区版本之间做出选择。如果您运行的是着陆区版本 3.1 或更高版本,则在更新或重置着陆区配置时,可以选择保持当前版本或升级到新版本。

API提供描述性控件,扩展了对区域和控件的访问权限

2024年8月6日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 添加了两个新API操作,可帮助您以编程方式查找有关可用控件的更多信息。此功能使通过自动化部署控件变得更加容易。

  • GetControlAPI返回有关已启用控件的详细信息,包括目标标识符、控制信息摘要、目标区域列表和偏移状态。

  • ListControlsAPI返回 Control Tower 控件库中所有可用AWS控件的分页列表。

这些APIs都是通过以下方式获得的 AWS 控制目录命名空间。这些区域有: AWS 控制目录是 Contro AWS l Tower 的一部分,其中包含可帮助您管理其他 Control Tower 的控件 AWS 服务,而不仅仅是 Cont AWS rol Tower。这个扩展后的目录整合了来自多个控件的控件 AWS 服务,以便您可以查看 AWS 根据一些常见用例进行控制,例如:安全性、成本、耐久性和操作。有关更多信息,请参阅《控制目录API参考》。

扩展了区域可用性

从此版本开始,您可以将 Cont AWS rol Tower 的治理扩展到 AWS 区域 其中一些(已经)启用的控件不可用。此外,你现在可以在更多区域启用某些控件,尽管并非所有受管辖的区域都支持该控件。

以前,当 Cont AWS rol Tower 无法在所有已启用的控件和受管控区域之间提供一致性时,Control Tower 会阻止您将监管扩展到区域或启用控制。在此版本中,您既有更大的灵活性,又有更多的责任来确保您的配置对于所有已启用的控件和所有受管辖的区域都是正确的。Cont rol Tower AWS 控件APIs和控制目录APIs可以帮助您获取有关控制的信息 AWS 受已启用控件保护的区域,以及可能部署其他控件的区域。区域和控制信息也可在 Contro AWS l Tower 控制台中找到。

AWSControl Tower 支持选择加入区域AFT和 cfcT

2024年7月18日

(Cont AWS rol Tower 着陆区无需更新。)

如今,Cont AWS rol Tower 定制框架 Account Factory for Terraform (AFT) 和 Cont AWS rol Tower 定制框架 (cfcT) 还有另外五个版本可用 AWS 区域: 亚太地区(海得拉巴、雅加达和大阪)、以色列(特拉维夫)和中东(UAE)。

Account Factory for Terraform (AFT) 设置了 Terraform 管道来帮助你在 Control Tower 中配置和自定义账户。AWSCont AWS rol Tower (cfcT) 的自定义设置可帮助您自定义AWS控制塔着陆区和帐户 AWS CloudFormation 模板和服务控制策略 (SCPs)。

要了解更多信息,请访问 Cont AWS rol Tower 用户指南中的 Terraform Account Factory 和 Contro AWS l Tower 的自定义页面。你还不妨查看 AFT Github 页面和 cfcT Github 页面上的发行说明。AFT而且全部支持氟氯化碳 AWS 区域,但有一些例外。有关详细信息,请参阅区域限制

AWSControl Tower 添加了 ListLandingZoneOperations API

2024年6月26日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 添加了一个API允许您检索最近应用于着陆区的操作列表以及当前正在进行的操作的列表。API可以返回 landing zone 的操作历史及其标识符,最长可保存 90 天。有关用法示例,请参阅查看 landing zone 操作的状态

有关更多信息 ListLandingZoneOperationsAPI,请参阅《Cont AWSrol Tower API 参考ListLandingZoneOperations中的。

AWSControl Tower 支持多达 100 个并发控制操作

2024年5月20日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 现在支持具有更高并发度的多个控制操作。您可以同时通过AWS控制台或使用跨多个组织单位 (OUs) 提交最多 100 个 Control Tower 控制操作APIs。最多可以同时运行十 (10) 个操作,其他操作将排队。通过这种方式,您可以跨多个设置更加标准化的配置 AWS 账户,没有重复控制操作的操作负担。

要监控正在进行的和排队的控制操作的状态,您可以在 Control Tower AWS 控制台中导航到新的 “近期操作” 页面,也可以调用新ListControlOperationsAPI的 “最近操作” 页面。

Cont AWS rol Tower 库包含 500 多个控件,这些控件对应于不同的控制目标、框架和服务。对于特定的控制目标,例如加密静态数据,您可以通过单个控制操作启用多个控件,以帮助您实现目标。此功能有助于加快开发速度,允许更快地采用最佳实践控制措施,并降低运营复杂性。

AWSControl Tower 在 AWS 加拿大西部(卡尔加里)

2024年5月3日

(Cont AWS rol Tower 着陆区无需更新。)

从今天开始,您可以在加拿大西部(卡尔加里)地区激活 Cont AWS rol Tower。如果您已经部署了 Cont AWS rol Tower,并且想要将其治理功能扩展到该区域,则可以使用AWS控制塔着陆区来实现APIs。或者在主机上,前往 Cont AWS rol Tower 控制面板的 “设置” 页面,选择您的区域,然后更新您的着陆区。

加拿大西部(卡尔加里)区域不支持 AWS Service Catalog。 因此,Cont AWS rol Tower 的某些功能有所不同。最显著的功能变化是 Account Factory 不可用。如果您选择加拿大西部(卡尔加里)作为您的主区域,则更新账户、设置账户自动化以及任何其他涉及 Service Catalog 的流程将与其他地区不同。

配置账户

要在加拿大西部(卡尔加里)地区创建和配置新账户,我们建议您在 Cont AWS rol Tower 之外创建一个账户,然后将其注册到注册的 OU。有关更多信息,请参阅注册现有账户注册账户的步骤

Service Catalog APIs 不在加拿大西部(卡尔加里)区域提供。Serv ice Catalog 在 Contro AWS l Tower 中自动配置帐户中显示的示例脚本APIs不可行。

由于加拿大西部(卡尔加里AFC)缺少其他底层依赖项,Control Factory Customizations (AFT)、Terraform 的账户工厂 () 和 Cont AWS rol Tower 的自定义 (cfcT) 不可用。AWS如果您将治理范围扩展到加拿大西部(卡尔加里)地区,则只要您所在的地区提供 Service Catalog,您就可以继续管理 Cont AWS rol Tower 支持的所有区域的AFC蓝图。

控件

主动控制和控制 AWS Security Hub 服务管理标准:Cont AWS rol Tower 不在加拿大西部(卡尔加里)区域提供。加拿大西部(卡尔加里)CT.CLOUDFORMATION.PR.1不提供预防性控制,因为只有激活基于挂钩的主动控制才需要预防性控制。某些侦探控制基于 AWS Config 不可用。有关详细信息,请参阅控制限制

身份提供商

IAM加拿大西部(卡尔加里)不提供身份中心。最佳做法建议是在有IAM身份中心的区域设置着陆区。或者,如果您在加拿大西部(卡尔加里)使用外部身份提供商,则可以选择自行管理账户访问配置。

加拿大西部(卡尔加里)地区的 Service Catalog 不可用对 Cont AWS rol Tower 支持的其他区域没有影响。仅当您的家乡地区为加拿大西部(卡尔加里)时,这些差异才适用。

有关提供 Cont AWS rol Tower 的区域的完整列表,请参阅 AWS 区域表

AWSControl Tower 支持自助服务配额调整

2024年4月25日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 现在支持通过服务配额控制台进行自助配额调整。有关更多信息,请参阅 请求提高限额

AWSControl Tower 发布了《控件参考指南》

2024年4月21日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 发布了《控件参考指南》,这是一份新文档,您可以在其中找到有关特定于AWS控制塔环境的控件的详细信息。此前,该材料已包含在《Cont AWSrol Tower 用户指南》中。《控件参考指南》涵盖了扩展格式的控件。有关更多信息,请参阅《Cont AWSrol Tower 控件参考指南》

AWSControl Tower 更新并重命名了两个主动控件

2024年3月26日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 重命名了两个主动控件,以适应亚马逊 OpenSearch 服务的更新。

我们更新了这两个控件的控件名称和构件,以与 Amazon S OpenSearch ervice 的最新版本保持一致。Amazon Service 现在在其域终端节点安全的传输安全选项中支持传输层安全 (TLS) 版本 1.3

为了增加对这些控件的 TLSv1 .3 的支持,我们更新了控件的构件和名称以反映控件的意图。他们现在评估服务域的最低TLS版本。要在您的环境中进行此更新,必须禁用启用控件以部署最新的构件。

此变更不会影响其他主动控制措施。我们建议您查看这些控制措施,以确保它们符合您的控制目标。

如有疑问或疑虑,请联系 AWS Suppor t。

已弃用的控件不再可用

2024年3月12日

(Cont AWS rol Tower 着陆区无需更新。)

AWSControl Tower 已弃用某些控件。这些控件不再可用。

  • CT.ATHENA.PR.1

  • CT.CODEBUILD.PR.4

  • CT.AUTOSCALING.PR.3

  • SH.Athena.1

  • SH.Codebuild.5

  • SH.AutoScaling.4

  • SH.SNS.1

  • SH.SNS.2

AWSControl Tower 支持在以下位置标记EnabledControl资源 AWS CloudFormation

2024年2月22日

(Cont AWS rol Tower 着陆区无需更新。)

此 Cont AWS rol Tower 版本更新了EnabledControl资源的行为,以更好地与可配置控件保持一致,并提高了通过自动化管理AWS控制塔环境的能力。在此版本中,您可以通过以下方式向可配置EnabledControl资源添加标签 AWS CloudFormation 模板。以前,您APIs只能通过 Control Tower AWS 控制台添加标签。

Cont AWS rol Tower GetEnabledControlListTagsforResourceAPI操作在此版本中进行了更新,因为它们依赖于EnabledControl资源功能。EnableControl

有关更多信息,请参阅在 Cont AWSrol Tower 中标记EnabledControl资源EnabledControlAWS CloudFormation 用户指南

AWSControl Tower APIs 支持使用基准进行组织单位注册和配置

2024年2月14日

(Cont AWS rol Tower 着陆区无需更新。)

它们APIs支持通过EnableBaseline呼叫进行编程 OU 注册。在 OU 上启用基准后,组织单位内的成员账户将注册到 Cont AWS rol Tower 治理中。某些注意事项可能适用。例如,通过 Cont AWS rol Tower 控制台注册 OU 可以启用可选控件和强制控件。拨打电话时APIs,您可能需要完成一个额外的步骤才能启用可选控件。

Cont AWS rol Tower 基准体现了 OU 和成员账户的 Cont AWS rol Tower 治理的最佳实践。例如,当您在 OU 上启用基准时,OU 内的成员账户会收到一组已定义的资源,包括 AWS CloudTrail, AWS Config、IAM身份中心和必填项 AWS IAM角色。

特定的基准与特定的 Cont AWS rol Tower 着陆区版本兼容。AWS当您更改着陆区设置时,Control Tower 可以将最新的兼容基准应用于您的着陆区。有关更多信息,请参阅 OU 基准和 landing zone 版本的兼容性

此版本包括四个基本内容 基线的类型

  • AWSControlTowerBaseline

  • AuditBaseline

  • LogArchiveBaseline

  • IdentityCenterBaseline

使用新的APIs和已定义的基准,您可以注册OUs并自动化 OU 配置工作流程。APIs也可以管理OUs已经在 Cont AWS rol Tower 管理之下的内容,因此你可以在着陆区更新OUs后重新注册。APIs包括对的支持 AWS CloudFormation EnabledBaseline资源,它允许您OUs使用基础设施即代码 (IaC) 进行管理。

基线 APIs

  • EnableBaseline, UpdateEnabledBaseline, DisableBaseline: 对 OU 的基线采取行动。

  • GetEnabledBaselineListEnabledBaselines: 发现已启用的基准的配置。

  • GetBaselineOperation:查看特定基线操作的状态。

  • ResetEnabledBaseline:使用已启用的基准修复 OU 上的资源偏移(包括嵌套OUs和强制控制偏差)。还修复了 landing-zone-level 区域拒绝控制的偏差

  • GetBaselineListBaselines: 发现 Cont AWS rol Tower 基准的内容。

要了解有关这些内容的更多信息APIs,请查看 Cont AWS rol Tower 用户指南中的基线API参考资料。新版本APIs已在 AWS 区域 在 Cont AWS rol Tower 上线的地方, GovCloud (美国)地区除外。有关清单 AWS 区域 在 Cont AWS rol Tower 可用的地方,请参阅 AWS 区域 桌子。