本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
二零二一年一月至十
2021 年,AWSControl Tower 發布了以下更新:
區域拒絕功能
2021年11月30日
AWSControl Tower landing zone 無需更新。)
AWSControl Tower 現在提供區域拒絕功能,可協助您限制存取 AWS AWS控制中心環境中已註冊帳戶的服務和操作。區域拒絕功能可補充 AWS Control Tower 中現有的區域選擇和區域取消選擇功能。這些功能可協助您解決合規性和法規問題,同時平衡擴展至其他區域的相關成本。
例如 AWS 德國的客戶可以拒絕訪問 AWS 在法蘭克福地區以外的地區提供服務。您可以在 AWS Control Tower 設定過程中,或在「著陸區設定」頁面中選取限制區域。當您更新 AWS Control Tower 登陸區版本時,區域拒絕功能可用。Select AWS 服務免於區域拒絕功能。若要深入了解,請參閱設定區域拒絕控制。
資料駐留功能
2021年11月30日
(AWSControl Tower landing zone 無需更新)
AWSControl Tower 現在提供專門建置的控制功能,協助確保您上傳的任何客戶資料 AWS 服務僅位於 AWS 您指定的區域。您可以選擇 AWS 儲存和處理客戶資料的地區或地區。如需完整清單 AWS 可使用「AWSControl Tower」的區域,請參閱 AWS 區域表
如需精細控制,您可以套用其他控制項,例如「不允許 Amazon 虛擬私人網路」(VPN) 連線或「禁止 Amazon 執行個體存取網際網路」。VPC您可以在「Con AWS trol Tower」主控台中檢視控制項的符合性狀態。如需可用控制項的完整清單,請參閱 Con AWS trol Tower 控制元件庫。
AWSControl Tower 介紹 Terraform 帳戶配置和自訂功能
2021年11月29 日
(AWSControl Tower landing zone 的可選更新)
現在,您可以使用 Terraform 通過 AWS Control Tower 來佈建和更新自定義帳戶,並使用 Terraform 的 AWS Control Tower Account Factory()。AFT
AFT提供單一 Terraform 基礎架構即程式碼 (IaC) 管道,可佈建由 AWS Control Tower 管理的帳戶。在您將帳戶提供給使用者之前,佈建期間的自訂有助於符合您的業務和安全性原則。
AFT自動帳戶創建管道會監控,直到帳戶佈建完成為止,然後繼續進行,從而觸發其他 Terraform 模塊,以使用任何必要的自定義來增強帳戶。作為自訂程序的其他部分,您可以將管線設定為安裝您自己的自訂 Terraform 模組,也可以選擇新增任何由提供的AFT功能選項 AWS 用於常見的自定義。
按照《AWS Control Tower 使用者指南》中提供的步驟開始使用 Terraform 的 AWS Control Tower Account Factory部署地形的 AWS Control Tower Account Factory () AFT,並下載您的 Terraform 執AFT行個體。AFT支持地形雲,地形企業和地形開源分發。
有新的生命週期事件
2021年11月18日
(AWSControl Tower landing zone 無需更新)
PrecheckOrganizationalUnit事件會記錄是否有任何資源封鎖延伸控管工作成功,包括巢狀資源OUs。如需詳細資訊,請參閱PrecheckOrganizationalUnit。
AWS「Control Tower」啟用巢狀 OUs
2021年11月16 日
(AWSControl Tower landing zone 無需更新)
AWSControl Tower 現在可讓您包括巢狀OUs作為 landing zone 域的一部分。
AWSControl Tower 提供巢狀組織單位 (OUs) 的支援,可讓您將帳戶組織成多個階層層級,並以階層方式強制執行預防性控制。您可以註冊OUs包含巢狀OUs、在父項OUs下建立和註冊OUs,以及在任何已註冊的 OU 上啟用控制項,無論深度為何。若要支援此功能,主控台會顯示受控帳戶的數量和OUs。
使用嵌套OUs,您可以將 AWS Control Tower OUs 對齊 AWS 多帳戶策略,您可以在父 OU 層級強制執行控制OUs,以減少啟用多個控制項所需的時間。
關鍵考量
-
您可以從頂層 OU 開始,一次OUs向 AWS Control Tower 註冊一個現有的多層級 OU,然後向下移動樹狀結構。如需詳細資訊,請參閱從平面 OU 結構展開為巢狀 OU 結構。
-
直接在註冊 OU 下的帳戶會自動註冊。樹狀結構下方的帳戶可透過註冊其直屬父系 OU 來註冊。
-
預防性控制項 (SCPs) 會自動向下繼承階層;SCPs套用至父項會由所有巢狀繼承OUs。
-
Detective 控制 (AWS Config 規則)自動NOT繼承。
-
每個 OU 都會報告偵測控制的符合性。
-
SCPOU 上的漂移會影響所有帳戶以及其OUs下的所有帳戶。
-
您無法在安全性 OU (核心 OU) OUs 下建立新的巢狀結構。
Detective 控制並發
2021年11月5 日
(AWSControl Tower landing zone 的可選更新)
AWSControl Tower 偵測控制現在支援偵探控制的同時操作,提高了易用性和性能。您可以啟用多個偵測控制項,而無需等待個別控制項作業完成。
支援的功能:
-
在相同 OU 上啟用不同的偵測控制 (例如,偵測是否已啟用根使用者,以及偵測是否允許MFA對 Amazon S3 儲存貯體的公用寫入存取權)。
-
在不同的同時啟用不同OUs的偵測控制項。
-
Guardrail 錯誤訊息已改進,為支援的控制項並行作業提供額外的指引。
此版本不支援:
-
不支援在多個同時上啟用相OUs同的偵測控制。
-
不支援預防性控制並行。
您可以在所有版本的 Control Tower 中體驗偵探AWS控制並發改進。建議您目前未使用 2.7 版的客戶執行 landing zone 域更新,以利用最新版本提供的其他功能,例如區域選擇和取消選擇。
提供兩個新區域
2021年7月29 日
(AWSControl Tower landing zone 需要更新)
AWSControl Tower 現在有兩個額外提供 AWS 地區:南美洲(聖保羅)和歐洲(巴黎)。此更新將 AWS Control Tower 的可用性擴大到 15 AWS 區域。
如果你是 AWS Control Tower 的新手,你可以立即在任何支援的地區啟動它。在啟動期間,您可以選擇希望 AWS Control Tower 在哪些區域中建立和管理您的多帳戶環境。
如果您已經擁有AWS控制中心環境,並且想要在一或多個支援的區域中擴充或移除 AWS Control Tower 控管功能,請前往 AWS Control Tower 儀表板中的「著陸區設定」頁面,然後選取「區域」。更新您的 landing zone 後,您必須更新所有受 AWS Control Tower 管理的帳號。
區域取消選擇
2021年7月29 日
(AWSControl Tower landing zone 的可選更新)
AWS取消選擇 Control Tower 區域可增強您管理AWS控制中心資源地理佔用空間的能力。您可以取消選擇不再希望 AWS Control Tower 管理的區域。此功能可讓您解決合規性和法規問題,同時在擴展至其他區域的相關成本之間取得平衡。
當您更新 AWS Control Tower 登陸區版本時,區域取消選擇可用。
當您使用 Account Factory 建立新帳戶或註冊預先存在的成員帳戶,或者當您選取「延伸控管」以在預先存在的組織單位中註冊帳戶時,AWSControl Tower 會在帳戶中選擇的區域中部署其治理功能 (包括集中式記錄、監控和控制)。選擇取消選取某個區域,並從該區域移除 AWS Control Tower 控管會移除該控管功能,但不會妨礙使用者進行部署的能力 AWS 這些區域的資源或工作負載。
AWSControl Tower 適用於 AWS 金鑰管理系統
2021年7月28日
(AWSControl Tower landing zone 的可選更新)
AWSControl Tower 為您提供了使用 AWS 金鑰管理服務 (AWS KMS) 鍵。金鑰由您提供及管理,以確保AWS控制中心部署的服務安全,包括 AWS CloudTrail, AWS Config,以及相關聯的 Amazon S3 資料。 AWS KMS加密是 Con AWS trol Tower 預設使用的 SSE-S3 加密的增強級別。
的整合 AWS KMS支持進入 AWS Control Tower 對齊 AWS 基礎安全性最佳做法,建議您為敏感的記錄檔增加一層安全性。你應該使用 AWS KMS— 用於靜態加密的託管密鑰(SSE-KMS)。 AWS KMS當您設定新的 landing zone 或更新現有的 AWS Control Tower 登陸區時,都可以使用加密支援。
若要設定此功能,您可以在初始 landing zone 設定期間選取「KMS主要配置」。您可以選擇現有的按KMS鍵,也可以選取將您導向 AWS KMS控制台創建一個新的。您還可以靈活地從默認加密更改為 SSE-KMS 或更改為不同SSE的密KMS鑰。
對於現有的 AWS Control Tower landing zone,您可以執行更新以開始使用 AWS KMS鑰匙。
控制項已重新命名,功能
2021年7月26日
(AWSControl Tower landing zone 無需更新)
AWSControl Tower 正在修訂某些控制項名稱和說明,以更好地反映控制項的政策意圖。修改後的名稱和說明可協助您更直覺地瞭解控制項體現帳戶政策的方式。例如,我們將偵測控制項的一部分名稱從「不允許」變更為「偵測」,因為偵測控制項本身不會停止特定動作,只會偵測原則違規,並透過儀表板提供警示。
控制功能、指導和實作保持不變。僅對控制項名稱和描述進行了修訂。
AWSControl Tower SCPs 每天掃描以檢查漂移
2021年5月11日
(AWSControl Tower landing zone 無需更新)
AWSControl Tower 現在會對您的管理執行每日自動掃描,SCPs以驗證對應的控制項是否正確套用,以及它們沒有漂移。如果掃描發現漂移,您將收到通知。AWSControl Tower 每個漂移問題只會發送一個通知,因此,如果您的 landing zone 已經處於漂移狀態,除非找到新的漂移物品,否則您將不會收到其他通知。
OUs與帳戶的自訂名稱
2021年4月16日
(AWSControl Tower landing zone 無需更新)
AWSControl Tower 現在可讓您自訂 landing zone 域命名。您可以保留 Con AWS trol Tower 為組織單位 (OUs) 和核心帳戶建議的名稱,也可以在初始 landing zone 設定過程中修改這些名稱。
AWSControl Tower 為核心帳戶提供OUs的預設名稱與 AWS 多帳戶最佳做法指南。 不過,如果您的公司具有特定的命名原則,或者您已經擁有相同建議名稱的現有 OU 或帳戶,則新的 OU 和帳戶命名功能可讓您彈性解決這些限制。
與安裝期間的工作流程變更不同,先前稱為核心 OU 的 OU 現在稱為安全性 OU,而先前稱為自訂 OU 的 OU 現在稱為沙箱 OU。我們做了這一變化,以改善我們與整體的一致性 AWS 命名的最佳做法指南。
新客戶會看到這些新的 OU 名稱。現有客戶將繼續看到這些名稱的原始名稱OUs。當我們將文件更新為新名稱時,您可能會在 OU 命名中遇到一些不一致的情況。
若要開始使用 AWS Control Tower,請從 AWS 管理主控台,前往 Con AWS trol Tower 主控台,然後選取右上角的 [設定 landing zone]。如需其他資訊,您可以閱讀有關 AWS Control Tower landing zone 的規劃。
AWSControl Tower landing zone 2.7 版
二 ○ 二一年四月八日
(AWSControl Tower landing zone 需要更新至 2.7 版。 若要取得資訊,請參閱更新登陸區域)
在 Con AWS trol Tower 2.7 版中,AWS控制中心引入了四個新的強制性預防性記錄封存控制項,這些控制項僅針對 AWS Control Tower 資源實作原則。我們已將四項現有日誌存檔管制的指引,由強制性調整為選修科目,因為這些措施為控制中心以外的資源AWS制定了政策。這項控制項變更與擴充可讓您將 Control Tower 內資源的記錄封存AWS控管與 Control Tower 外的AWS資源管理分開。
四個變更的控制項可與新的強制性控制項搭配使用,為更廣泛的控制項提供治理 AWS 日誌存檔。現有的 AWS Control Tower 環境會自動啟用這四個已變更的控制項,以保持環境一致性;不過,這些選擇性控制現在可以停用。新的 AWS Control Tower 環境必須啟用所有選修控制。現有環境必須先停用先前的強制控制,然後才能將加密新增至未由 AWS Control Tower 部署的 Amazon S3 儲存貯體。
新的強制性控制:
-
不允許變更 AWS Control Tower 在日誌存檔中建立 S3 儲存貯體的加密組態
-
不允許變更 AWS Control Tower 在日誌存檔中建立 S3 儲存貯體的記錄組態
-
不允許變更 AWS Control Tower 在日誌存檔中建立的 S3 儲存貯體的儲存貯體政策
-
不允許變更 AWS Control Tower 在日誌存檔中建立的 S3 儲存貯體的生命週期組態
指引從強制性變更為選修科目:
-
不允許變更所有 Amazon S3 儲存貯體的加密組態 [先前:針對日誌存檔啟用靜態加密]
-
不允許變更所有 Amazon S3 儲存貯體的日誌組態 [先前:啟用日誌存檔的存取日誌記錄]
-
不允許變更所有 Amazon S3 儲存貯體的儲存貯體政策 [先前:不允許對日誌存檔進行政策變更]
-
不允許變更所有 Amazon S3 儲存貯體的生命週期組態 [先前:設定日誌存檔的保留政策]
AWSControl Tower 2.7 版包含 AWS Control Tower landing zone 藍圖的變更,在升級至 2.7 後,可能會導致與先前版本不相容。
-
特別是,AWSControl Tower 版本 2.7 會在 Con AWS trol Tower 部署的 S3 儲存貯體上
BlockPublicAccess自動啟用。如果您的工作負載需要跨帳戶存取權,您可以關閉此預設值。如需BlockPublicaccess啟用後會發生什麼情況的詳細資訊,請參閱封鎖 Amazon S3 儲存的公開存取。 -
AWSControl Tower 版本 2.7 包含HTTPS. 傳送至 AWS Control Tower 部署的 S3 儲存貯體的所有請求都必須使用安全通訊端層 (SSL)。只有HTTPS請求被允許通過。如果您使用HTTP(沒有SSL)作為端點來發送請求,則此更改會給您一個拒絕訪問錯誤,這可能會破壞您的工作流程。在 2.7 版更新到您的 landing zone 後,無法還原此變更。
我們建議您將要求變更為使用,TLS而非使用HTTP。
三新 AWS 可用地區
二 ○ 二一年四月八日
(AWSControl Tower landing zone 需要更新)
AWSControl Tower 另外提供三個 AWS 地區:亞太區域 (東京) 區域、亞太區域 (首爾) 區域和亞太區域 (孟買) 區域。若要將管理擴展至這些區域,必須進行 2.7 版的登陸區域更新。
當您執行 2.7 版更新時,您的 landing zone 域不會自動展開到這些區域,您必須在「區域」(Region) 表格中檢視並選取這些區域以加入。
僅控制選取的區域
2021年2月19日
(AWSControl Tower landing zone 無需更新)
AWS「Control Tower 區域」選項可讓您更好地管理 Con AWS trol Tower 資源的地理佔用空間。若要擴充您託管的區域數目 AWS 出於合規性、法規、成本或其他原因的資源或工作負載,您現在可以選取要管理的其他區域。
當您設定新的 landing zone 或更新 AWS Control Tower 登陸區版本時,您可以使用 landing zone 域選取。當您使用 Account Factory 建立新帳戶或註冊預先存在的成員帳戶,或者當您使用延伸控管在預先存在的組織單位中註冊帳戶時,AWSControl Tower 會在帳戶中選擇的區域中部署集中記錄、監控和控制項的控管功能。如需選取「區域」的更多資訊,請參閱設定 AWS Control Tower 區域。
AWSControl Tower 現在將治理擴展到您OUs的現有 AWS 組織
2021年1月28日
(AWSControl Tower landing zone 無需更新)
從 Con AWS trol Tower 控制台主控台擴展到現有組織單位(OUs)(不在 Con AWS trol Tower 中的組織單位)。使用此功能,您可以將頂級OUs和包含的帳戶置於 AWS Control Tower 管理之下。如需將控管擴充至整個 OU 的相關資訊,請參閱向 AWS Control Tower 註冊現有的組織單位。
當您註冊 OU 時,AWSControl Tower 會執行一系列檢查,以確保在 OU 內成功擴充控管和註冊帳戶。如需 OU 初始註冊相關的常見問題的詳細資訊,請參閱註冊或重新註冊期間失敗的常見原因。
您也可以造訪AWS控制中心產品網頁
AWSControl Tower 提供大量帳戶更新
2021年1月28日
(AWSControl Tower landing zone 無需更新)
使用批量更新功能,您現在可以更新註冊帳戶中的所有帳戶 AWS Organizations 組織單位 (OU) 包含最多 300 個帳戶,只要按一下,即可從 Con AWS trol Tower 儀表板。這在您更新 AWS Control Tower 登陸區時特別有用,並且還必須更新您註冊的帳戶以使其與當前的 landing zone 版本保持一致。
此功能也可協助您在更新 AWS Control Tower 登陸區域以擴充至新區域時,或是當您想要重新註冊 OU,以確保該 OU 中的所有帳戶都套用了最新的控制項時,將帳戶保持在最新狀態。大量帳戶更新不需要一次更新一個帳戶,或使用外部指令碼在多個帳號上執行更新。
若要取得有關更新 landing zone 域的資訊,請參閱更新登陸區域。
如需註冊或重新註冊 OU 的相關資訊,請參閱向 AWS Control Tower 註冊現有的組織單位。
