本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
2024 年 1 月至 12 月
2024 年,AWS Control Tower 发布了以下更新:
AWS Control Tower cfcT 支持和 GitHub RCPs
2024年12月9日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持 GitHub 作为第三方版本控制系统 (VCS) 的选项和 AWS 控制塔定制 (CFCT) 的配置源。有关更多信息,请参阅 设置 GitHub 为配置源。
AWS Control Tower 现在支持 AWS 控制塔 (CFCTRCPs) 的自定义项的资源控制策略 ()。有关更多信息,请参阅 CfCT 自定义指南。
AWS Control Tower 通过声明性策略添加了预防性控制措施
2024年12月1日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持通过中的声明性策略实施的预防性控制。 AWS Organizations声明式策略直接应用于服务级别。这种方法可确保强制执行指定的配置,即使服务引入了新功能或 APIs 新功能也是如此。有关更多信息,请参阅使用声明式策略实现的控件。
AWS Control Tower 增加了规范性的备份计划选项
2024年11月25日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持规范性 AWS Backup 计划,允许您将数据备份和恢复工作流程直接整合到您的着陆区。备份计划包括预定义的规则,例如保留天数、备份频率和备份的时间窗口。这些规则定义了如何在所有受监管的成员账户中备份您的 AWS 资源。当您将备份计划应用于着陆区时,AWS Control Tower 可确保该计划适用于所有成员账户,并与 AWS Backup 的最佳实践建议保持一致。
有关更多信息,请参阅 AWS Backup 和 AWS Control Tower。
AWS Control Tower 集成了 AWS Config 控件
2024年11月21日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 集成了选定的 AWS Config 控件,因此 AWS Control Tower 可以查看和管理这些控件。
有关更多信息,请参阅 AWS Control Tower 中提供的集成 AWS Config 控件
AWS Control Tower 改进了挂钩管理并增加了主动控制区域
2024年11月20日
(AWS Control Tower 登录区无需更新。)
在此版本中,为主动控制部署的挂钩由 AWS Control Tower 管理。此外,加拿大西部(卡尔加里)地区和亚太地区(马来西亚)地区也提供主动控制。
以前,AWS Control Tower 依靠 AWS CloudFormation 挂钩来实现主动控制功能。因此,部署的挂钩受到保护,因此只有 AWS Control Tower 可以对其进行修改。在此版本中,由主动控制部署的挂钩由 AWS Control Tower 服务管理。您可以自己编写挂钩,同时您仍然可以从 AWS Control Tower 的主动控制中受益。
如果您当前部署了主动控制,则可以改用这种经过改进的挂钩功能。为此,请通过调用 ResetEnabledControl API 或使用重置功能从控制台更新控件来重置每个 OU 上处于活动状态的主动控制。当您执行此任务时,AWS Control Tower 会将主动控制挂钩移至新功能,在该功能中,挂钩由 AWS Control Tower 直接管理。
此外,如果您不将 CT.CLOUDFORMATION.PR.1 控件用于任何其他目的,则可以在重置主动控制后将其删除。这种控制是保护 AWS CloudFormation 钩子所必需的。
AWS Control Tower 推出托管资源控制策略
2024年11月15日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 提供了一种新型的预防性控制,通过资源控制策略实施 (RCPs)。这些控制措施可帮助您在 AWS Control Tower 环境中建立数据边界,以保护您的资源免遭意外访问。
例如,您可以为 Amazon S3、、 AWS Security Token Service、 AWS Key Management Service Amazon SQS 和服务启用基于 RCP 的控制。 AWS Secrets Manager 基于 RCP 的控件可以强制执行诸如 “要求组织的 Amazon S3 资源只能由属于该组织的 IAM 委托人或某项 AWS 服务访问” 之类的要求,而不管对各个存储桶策略授予的权限如何。
您可以配置新的基于 RCP 的控件和某些基于 SCP 的现有预防性控制,为委托人和资源指定 AWS IAM 豁免。如果您不希望委托人或资源受控件的管理,则可以配置豁免。
通过在 AWS Control Tower 中结合预防性、主动性和侦查控制,您可以监控您的多账户 AWS 环境是否安全,并按照最佳实践(例如AWS 基础安全最佳实践标准)进行管理。
这些新的基于 RCP 的预防性控制措施可在提供 AWS Control Tower AWS 区域 的地方使用。有关 AWS Con AWS 区域 trol Tower 可用区域的完整列表,请参阅AWS 区域 表格
AWS Control Tower 报告控制策略偏差
2024年11月15日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在报告控制策略偏差,包括使用资源控制策略 (RCPs) 实施的控制,以及属于 Sec urity Hub 服务托管标准:AWS Control Tower 的控件。这种偏差可以通过新的 ResetEnabledControl API 进行补救。有关更多信息,请参阅 Types of governance drift。
全新 ResetEnabledControl API
2024年11月14日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 宣布推出一款新的 API,可帮助您以编程方式管理控制偏差。您可以修复控制偏差并将控件重置为其预期配置。该 ResetEnabledControl API 可与可选的 AWS Control Tower 控件配合使用,包括强烈推荐控件和选修控件。
控制异常
-
使用服务控制策略 (SCPs) 实现的控件无法使用此 API 重置。有关更多信息,请参阅
ResetEnabledControl。 -
强制控制无法重置,因为它们可以保护 AWS Control Tower 的资源。
-
必须通过控制台重置 landing zone 的区域拒绝控制。
当在 AWS 控制塔外修改 AWS Control Tower 控件时,例如从控制台修改 AWS Control Tower 控件时,就会发生 AWS Organizations 控制偏差。解决偏移问题有助于确保符合监管要求。
控制目录更新 GetControl API
2024年11月8日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持更新后的 GetControl API,其中包括两个新字段:所有控件Parameters的Implementation类型和可以配置的某些控件的类型。
该 GetControl API 是 AWS Control Tower controlcatalog 命名空间的一部分。
有关更多信息,请参阅《控制目录 GetControlAPI 参考》中的 API。
此版本包括 AWS Control Tower 控制台中显示的相关更改。
-
所有现有 AWS Security Hub 控件的
Implementation参数值都从 AWS Config 规则更改为 AWS Security Hub。相应的控制台帮助面板已修改以反映此更改。 -
所有现有的 Hook 控件的
Implementation参数值都从一个 AWS CloudFormation 保护规则更改为另一个 AWS CloudFormation 挂钩。相应的控制台帮助面板已修改以反映此更改。
AWS Control Tower AFT 支持 GitLab
2024 年 10 月 23 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持 GitLab 和 GitLab 自我管理作为第三方版本控制系统 (VCS) 的选项和适用于 Terraform 的 Account Factory (AFT) 的配置源。
AWS Control Tower 已在 AWS 亚太地区(马来西亚)地区上线
2024 年 10 月 21 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 在 AWS 亚太地区(马来西亚)区域推出。
有关 AWS Control Tower 可用区域的完整列表,请参阅 AWS 区域表
AWS Control Tower 支持每个 OU 最多包含 1000 个账户
2024 年 8 月 30 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 已将每个组织单位(OU)所允许的最大账户数量从 300 个增加到 1000 个。现在,您一次最多可以注册 1000 个 AWS 账户 AWS Control Tower 治理,而无需更改组织单元结构。OU 注册和重新注册流程也变得更加高效,在账户中部署 AWS Control Tower 基准资源所需的时间显著减少。
由于可用 AWS CloudFormation
堆栈集的数量存在限制,某些账户限制仍然适用。具体而言,您可以在 OU 中注册的账户最大数量可能会有所不同,具体取决于您所监管的区域数量。要了解更多信息,请访问 AWS Control Tower 用户指南中的基于底层 AWS 服务的限制。有关 AWS Control Tower 可用 AWS 区域 的完整列表,请参阅 AWS 区域 表
AWS Control Tower 增加了登录区版本选择
2024 年 8 月 15 日
(AWS Control Tower 登录区无需更新。)
如果您运行的是 AWS Control Tower 登录区版本 3.1 及更高版本,则可以在当前版本上就地更新或修复登录区,也可以升级到您选择的版本。此前,任何登录区更新或修复都需要升级到最新的登录区版本。
有了登录区版本选择功能,您可以在评估环境潜在变化的同时,更灵活地规划版本升级。您无需在修复偏移以保持合规性、更新登录区配置或升级到最新登录区版本之间做出选择。如果您运行的是登录区版本 3.1 或更高版本,那么在更新或重置登录区配置时,既可以选择继续使用当前版本,也可以选择升级到更新的版本。
提供描述性控件 API,扩展了对区域和控件的访问权限
2024 年 8 月 6 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 添加了两个新的 API 操作,可帮助您以编程方式查找有关可用控件的更多信息。这一功能使得自动部署控件变得更加容易。
-
GetControlAPI 会返回有关已启用控件的详细信息,包括目标标识符、控件信息摘要、目标区域列表和偏移状态。 -
ListControlsAPI 会返回 AWS Control Tower 控件库中所有可用控件的分页列表。
APIs 它们可通过AWS 控制目录命名空间进行访问。 AWS 控制目录是 AWS Control Tower 的一部分,其中包括可帮助您管理其他 AWS 服务的控件,而不仅仅是 AWS Control Tower。此扩展后的目录整合了来自多个 AWS 服务的控件,因此您可以根据一些常见用例查看 AWS 控件,例如:安全性、成本、耐久性和操作。有关更多信息,请参阅 Control Catalog API 参考。
扩展了区域可用性
从本次发布开始,您可以将 AWS Control Tower 的监管范围扩展到某些已启用的控件不可用的 AWS 区域 。此外,您现在可以在更多的区域中启用某些控件,即使这些控件并非在您所有监管区域中都得到支持。
此前,当 AWS Control Tower 无法在所有已启用的控件和受监管区域之间提供一致性时,AWS Control Tower 会阻止您将监管扩展到某些区域或启用控件。随着此次发布,您将拥有更大的灵活性,同时也将肩负起更大的责任,需要确保对所有已启用的控件和所有受监管区域进行正确的配置。AWS Control Tower 控件 APIs和控制目录 APIs可以帮助您获取有关受启用控件保护的区域,以及可能部署其他控件的区域的信息。 AWS AWS Control Tower 控制台中还提供区域和控件信息。
AWS Control Tower 在选择加入的区域支持 AFT 和 CfCT
2024 年 7 月 18 日
(AWS Control Tower 登录区无需更新。)
如今,AWS Control Tower 定制框架 Account Factory for Terraform (AFT) 和 AWS Control Tower 定制框架 (cfcT) 已在另外五个地区推出 AWS 区域:亚太地区(海得拉巴、雅加达和大阪)、以色列(特拉维夫)和中东(阿联酋)。
Account Factory for Terraform(AFT)设置 Terraform 管道来帮助您在 AWS Control Tower 中预置和自定义账户。AWS Control Tower (cfcT) 的自定义可帮助您使用 AWS CloudFormation 模板和服务控制策略 () 自定义 AWS Control Tower 着陆区和账户 () SCPs。
要了解更多信息,请访问《AWS Control Tower 用户指南》中的“Account Factory for Terraform”和“Customizations for AWS Control Tower”页面。您还可以查看 AFT Github 页面和 CfCT Github 页面上的发行说明。除一些例外情况外,所有 AWS 地区都支持 AFT 和 CfCT。有关详细信息,请参阅 Region limitations。
AWS Control Tower 添加了 ListLandingZoneOperations API
2024 年 6 月 26 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 添加了一个 API,可用于检索最近应用于登录区的操作列表以及当前正在进行的操作。该 API 可以返回长达 90 天的登录区操作历史记录及其标识符。有关用法示例,请参阅 View the status of your landing zone operations。
有关 ListLandingZoneOperations API 的更多信息,请参阅 AWS Control Tower API Reference 中的 ListLandingZoneOperations。
AWS Control Tower 支持最多 100 个并发控件操作
2024 年 5 月 20 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持以更高的并发度执行多项控件操作。您可以同时通过控制台或使用跨多个组织单位 (OUs) 提交最多 100 个 AWS Control Tower 控制操作 APIs。最多可有十(10)个操作同时运行,其余的操作则会排队等候。通过这种方式,您可以跨多个设置更加标准化的配置 AWS 账户,而不必承担重复控制操作的操作负担。
要监控正在进行和排队等候的控件操作的状态,您可以在 AWS Control Tower 控制台中导航到新的最近的操作页面,也可以调用新的 ListControlOperations API。
AWS Control Tower 库包含 500 多个控件,对应于不同的控制目标、框架和服务。对于特定的控制目标,例如加密静态数据,您可以通过单个控件操作启用多个控件,以帮助您实现目标。此功能有助于加快开发速度,更快地采用最佳实践控件,并降低操作的复杂性。
AWS Control Tower 在 AWS 加拿大西部(卡尔加里)推出
2024 年 5 月 3 日
(AWS Control Tower 登录区无需更新。)
自今日起,您可以在加拿大西部(卡尔加里)区域激活 AWS Control Tower。如果您已经部署了 AWS Control Tower,并且想要将其监管功能扩展到该区域,则可以使用 AWS Control Tower 着陆区来实现 APIs。或者,您也可以在控制台中前往 AWS Control Tower 控制面板的设置页面,选择相应区域,然后更新登录区。
加拿大西部(卡尔加里)区域不支持 AWS Service Catalog。因此,AWS Control Tower 的某些功能会有所不同。最显著的功能变化是 Account Factory 不可用。如果您选择加拿大西部(卡尔加里)作为主区域,那么更新账户、设置账户自动化以及任何其他涉及 Service Catalog 的流程与其他区域相比都会有所不同。
预置账户
要在加拿大西部(卡尔加里)区域创建和预置新账户,建议您在 AWS Control Tower 之外创建一个账户,然后将其注册到一个已注册的 OU。有关更多信息,请参阅 Enroll an existing account 和 Steps to enroll an account。
Service Catalog APIs 不在加拿大西部(卡尔加里)区域提供。Serv ice Catalog 在 AWS Control Tower 中自动配置账户中显示的示例脚本 APIs 不可行。
由于 AWS Control Tower 在加拿大西部(卡尔加里)区域缺少其他必要的底层依赖项,Account Factory Customizations(AFC)、Account Factory for Terraform(AFT)以及 Customizations for AWS Control Tower(CfCT)在该区域均不可用。如果您将监管范围扩展到加拿大西部(卡尔加里)区域,则只要您的主区域支持 Service Catalog,您仍然可以继续管理 AWS Control Tower 支持的所有区域中的 AFC 蓝图。
控件
主动性控件以及针对 AWS Security Hub 服务管理标准: AWS Control Tower 的控件在加拿大西部(卡尔加里)区域不可用。预防性控件 CT.CLOUDFORMATION.PR.1 在加拿大西部(卡尔加里)区域也无法使用,因为它仅用于激活基于钩子的主动性控件。基于的某些侦探控制 AWS Config 不可用。有关详细信息,请参阅控件限制。
身份提供商
IAM Identity Center 在加拿大西部(卡尔加里)区域不可用。最佳实践建议是在提供 IAM Identity Center 的区域设置您的登录区。或者,如果您在加拿大西部(卡尔加里)使用外部身份提供商,则可以选择自行管理账户访问配置。
Service Catalog 在加拿大西部(卡尔加里)区域不可用的情况,对 AWS Control Tower 支持的其他区域没有影响。只有当您的主区域是加拿大西部(卡尔加里)时,才会存在上述这些差异情况。
有关 AWS Control Tower 可用区域的完整列表,请参阅 AWS 区域表
AWS Control Tower 支持自助服务配额调整
2024 年 4 月 25 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持通过服务配额控制台进行自助配额调整。有关更多信息,请参阅 请求提高限额。
AWS Control Tower 发布了《控件参考指南》
2024 年 4 月 21 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 发布了《控件参考指南》,在这份新文档中,您可以查找有关 AWS Control Tower 环境特有控件的详细信息。此前,这些材料包含在《AWS Control Tower 用户指南》中。《控件参考指南》涵盖扩展格式的控件。有关更多信息,请参阅《AWS Control Tower 控件参考指南》https://docs.aws.amazon.com/controltower/latest/controlreference/introduction.html。
AWS Control Tower 更新并重命名了两个主动性控件
2024 年 3 月 26 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 重命名了两个主动控制措施,以适应亚马逊 OpenSearch 服务的更新。
我们更新了这两个控件的控件名称和构件,以与 Amazon S OpenSearch ervice 的最新版本保持一致。Amazon Service 现在支持传输层安全 (TLS) 1.3 版
为了增加对这些控件的 TLSv1 .3 的支持,我们更新了控件的构件和名称以反映控件的意图。它们现在会评估服务域的最低 TLS 版本。要在您的环境中进行此更新,必须先禁用然后再启用这些控件以部署最新的构件。
此次变更不会影响其他主动性控件。建议您查看这些控件,以确保它们符合您的控制目标。
如有疑问或疑虑,请联系 AWS Support
已弃用的控件不再可用
2024 年 3 月 12 日
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 已弃用某些控件。这些控件不再可用。
-
CT.ATHENA.PR.1
-
CT.CODEBUILD.PR.4
-
CT.AUTOSCALING.PR.3
-
SH.Athena.1
-
SH.Codebuild.5
-
SH.AutoScaling.4
-
SH.SNS.1
-
SH.SNS.2
AWS Control Tower 支持在以下位置标记EnabledControl资源 AWS CloudFormation
2024 年 2 月 22 日
(AWS Control Tower 登录区无需更新。)
此 AWS Control Tower 版本更新了 EnabledControl 资源的行为,以更好地与可配置控件保持一致,并提高了通过自动化管理 AWS Control Tower 环境的能力。在此版本中,您可以通过 AWS CloudFormation
模板向可配置的 EnabledControl 资源添加标签。以前,您 APIs只能通过 AWS Control Tower 控制台添加标签。
AWS Control Tower GetEnabledControl、EnableControl 和 ListTagsforResource API 操作在此版本中也进行了更新,因为它们依赖于 EnabledControl 资源功能。
有关更多信息,请参阅《AWS CloudFormation 用户指南》中的 Tagging EnabledControl resources in AWS Control Tower 和 EnabledControl。
AWS Control Tower APIs 支持使用基准进行组织单位注册和配置
2024 年 2 月 14 日
(AWS Control Tower 登录区无需更新。)
它们 APIs 支持通过EnableBaseline呼叫进行编程 OU 注册。当您在一个 OU 上启用基准时,该 OU 内的成员账户便会纳入 AWS Control Tower 的监管范围。但可能存在一些注意事项。例如,通过 AWS Control Tower 控制台注册 OU 时,可以启用可选控件以及强制性控件。拨打电话时 APIs,您可能需要完成一个额外的步骤才能启用可选控件。
AWS Control Tower 基准体现了对 OU 和成员账户进行 AWS Control Tower 监管的最佳实践。例如,当您在 OU 上启用基准时,OU 内的成员账户会收到一组已定义的资源,包括、 AWS CloudTrail AWS Config、IAM Identity Center 和所需 AWS 的 IAM 角色。
特定的基准与特定的 AWS Control Tower 登录区版本兼容。当您更改登录区设置时,AWS Control Tower 可以将最新的兼容基准应用于您的登录区。有关更多信息,请参阅 OU 基准和登录区版本的兼容性。
此版本包括四个基本 基准的类型
-
AWSControlTowerBaseline -
AuditBaseline -
LogArchiveBaseline -
IdentityCenterBaseline
使用新的 APIs 和已定义的基准,您可以注册 OUs 并自动化 OU 配置工作流程。 APIs 也可以管理 OUs 已经在 AWS Control Tower 管理下的内容,因此您可以在着陆区更新 OUs 后重新注册。 APIs 包括对 AWS CloudFormation EnabledBaseline资源的支持,允许您使用基础设施即代码 (IaC) OUs 进行管理。
基线 APIs
-
EnableBaseline, UpdateEnabledBaseline, DisableBaseline: 对 OU 的基线采取行动。
-
GetEnabledBaseline,ListEnabledBaselines: 发现已启用的基准的配置。
-
GetBaselineOperation:查看特定基线操作的状态。
-
ResetEnabledBaseline:使用已启用的基准修复 OU 上的资源偏移(包括嵌套 OUs 和强制控制偏差)。还修复了 landing-zone-level区域拒绝控制的偏差
-
GetBaseline,ListBaselines: 发现 AWS Control Tower 基准的内容。
要了解有关这些内容的更多信息 APIs,请查看 AWS Control Tower 用户指南和 API 参考中的基准。除了 GovCloud (美国)地区外,新 AWS 区域 版本 APIs 已在 AWS Control Tower 可用的地区推出。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅 AWS 区域 表。
