2022 年 1 月至 12 月 - AWS Control Tower
並行帳戶操作帳戶工廠自訂 (AFC)全方位控制可協助 AWS 資源佈建和管理所有 AWS Config 規則都可檢視的合規狀態控制項 API 和新 AWS CloudFormation 資源CfCT 支援堆疊集刪除自訂日誌保留角色偏離修復可用AWS Control Tower 登陸區域 3.0 版組織頁面結合 OUs和帳戶的檢視更輕鬆地註冊和更新個別成員帳戶AFT 支援共用 AWS Control Tower 帳戶的自動自訂所有選用控制項的並行操作現有安全性和記錄帳戶AWS Control Tower 登陸區域 2.9 版AWS Control Tower 登陸區域 2.8 版

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

2022 年 1 月至 12 月

2022 年,AWS Control Tower 發佈了下列更新:

並行帳戶操作

2022 年 12 月 16 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援帳戶工廠中的並行動作。您一次最多可以建立、更新或註冊五 (5) 個帳戶。連續提交最多五個動作,並檢視每個請求的完成狀態,同時您的帳戶在背景完成建置。例如,在更新另一個帳戶之前,或重新註冊整個組織單位 (OU) 之前,您不再需要等待每個程序完成。

帳戶工廠自訂 (AFC)

2022 年 11 月 28 日

(AWS Control Tower 登陸區域不需要更新。)

帳戶原廠自訂可讓您從 AWS Control Tower 主控台內自訂新的和現有的帳戶。這些新的自訂功能可讓您靈活地定義帳戶藍圖,這些藍圖是包含在專業 Service Catalog 產品中的 AWS CloudFormation 範本。藍圖佈建完全自訂的資源和組態。您也可以選擇使用由 AWS 合作夥伴建立和管理的預先定義藍圖,以協助您針對特定使用案例自訂帳戶。

先前,AWS Control Tower 帳戶工廠不支援在 主控台中自訂帳戶。透過此帳戶工廠更新,您可以預先定義帳戶需求,並將其實作為定義明確的工作流程的一部分。您可以套用藍圖來建立新帳戶、將其他 AWS 帳戶註冊到 AWS Control Tower,以及更新現有的 AWS Control Tower 帳戶。

當您在帳戶工廠中佈建、註冊或更新帳戶時,您將選取要部署的藍圖。藍圖中指定的資源會在您的帳戶中佈建。當您的帳戶完成建置時,所有自訂組態都可立即使用。

若要開始使用自訂帳戶,您可以在 Service Catalog 產品中定義預期使用案例的資源。您也可以從 AWS 入門程式庫選取合作夥伴管理的解決方案。如需詳細資訊,請參閱使用 Account Factory Customization (AFC) 自訂帳戶

全方位控制可協助 AWS 資源佈建和管理

2022 年 11 月 28 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援全面的控制管理,包括透過 AWS CloudFormation 勾點實作的全新選用主動控制。這些控制項稱為主動,因為它們會在部署資源之前檢查您的資源,以判斷新資源是否符合您環境中啟用的控制項。

超過 130 種新的主動控制可協助您達成 AWS Control Tower 環境的特定政策目標;符合業界標準合規架構的需求;以及管理超過 20 種 AWS 其他服務的 AWS Control Tower 互動。

AWS Control Tower 控制程式庫會根據相關聯的 AWS 服務和資源來分類這些控制。如需詳細資訊,請參閱主動控制

在此版本中,AWS Control Tower 也 AWS Security Hub透過支援 AWS 基礎安全最佳實務 (FSBP) 標準的新 Security Hub Service 受管標準整合:AWS Control Tower。您可以在 主控台中檢視超過 160 個 Security Hub 控制項與 AWS Control Tower 控制項並行,而且您可以取得 AWS Control Tower 環境的 Security Hub 安全分數。如需詳細資訊,請參閱 Security Hub 控制項

所有 AWS Config 規則都可檢視的合規狀態

2022 年 11 月 18 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在會顯示部署到向 AWS Control Tower 註冊之組織單位的所有 AWS Config 規則的合規狀態。您可以在 AWS Control Tower 中檢視所有影響您帳戶之 AWS Config 規則的合規狀態、已註冊或未註冊,而無需在 AWS Control Tower 主控台外部導覽。客戶可以選擇在 AWS Control Tower 中設定稱為偵測控制項的 Config 規則,或透過 AWS Config 服務直接設定規則。 AWS Config 隨即顯示 所部署的規則,以及 AWS Control Tower 所部署的規則。

先前,透過 AWS Config 服務部署的 AWS Config 規則在 AWS Control Tower 主控台中看不到。客戶必須導覽至 AWS Config 服務,以識別不合規的 AWS Config 規則。現在,您可以在 AWS Control Tower 主控台中識別任何不合規的 AWS Config 規則。若要檢視所有 Config 規則的合規狀態,請前往 AWS Control Tower 主控台中的帳戶詳細資訊頁面。您將看到清單,其中顯示 AWS Control Tower 和部署在 AWS Control Tower 外部的 Config 規則所管理之控制項的合規狀態。

控制項 API 和新 AWS CloudFormation 資源

2022 年 9 月 1 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援透過一組 API 呼叫來程式設計管理控制項,也稱為護欄。新 AWS CloudFormation 資源支援控制項的 API 功能。如需詳細資訊,請參閱 在 AWS Control Tower 中自動化任務 使用 建立 AWS Control Tower 資源 AWS CloudFormation

這些 APIs 可讓您在 AWS Control Tower 程式庫中啟用、停用和檢視控制項的應用程式狀態。APIs 包含 的支援 AWS CloudFormation,因此您可以將 AWS 資源做為infrastructure-as-code(IaC) 管理。AWS Control Tower 提供選用的預防性和偵測性控制,可表達您對整個組織單位 (OU) 和 OU 內每個 AWS 帳戶的政策意圖。當您建立新帳戶或變更現有帳戶時,這些規則仍然有效。

此版本中包含APIs

  • EnableControl – 此 API 呼叫會啟用控制項。它會啟動非同步操作,在指定的組織單位及其包含的帳戶上建立 AWS 資源。

  • DisableControl – 此 API 呼叫會關閉控制項。它會啟動非同步操作,刪除 AWS 指定組織單位及其包含的帳戶上的資源。

  • GetControlOperation – 傳回特定 EnableControlDisableControl 操作的狀態。

  • ListEnabledControls – 列出 AWS Control Tower 在指定的組織單位及其包含的帳戶上啟用的控制項。

若要檢視選用控制項的控制項名稱清單,請參閱 AWS Control Tower 使用者指南中的 APIs 和控制項的資源識別碼

CfCT 支援堆疊集刪除

2022 年 8 月 26 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower (CfCT) 的自訂現在支援堆疊集刪除,方法是在 manifest.yaml 檔案中設定 參數。如需詳細資訊,請參閱刪除堆疊集

重要

當您最初將 值設定為 enable_stack_set_deletion true時,下次叫用 CfCT 時,所有以字首 開頭的資源CustomControlTower-,其具有相關聯的索引鍵標籤 Key:AWS_Solutions, Value: CustomControlTowerStackSet,且未在資訊清單檔案中宣告的資源,都會進行暫存以供刪除。

自訂日誌保留

2022 年 8 月 15 日

(AWS Control Tower 登陸區域需要更新。 如需詳細資訊,請參閱 更新您的登陸區域)

AWS Control Tower 現在能夠自訂存放 AWS Control Tower CloudTrail 日誌的 Amazon S3 儲存貯體的保留政策。您可以自訂 Amazon S3 日誌保留政策,以天數或年為單位,最長可達 15 年。

如果您選擇不自訂您的日誌保留,則標準帳戶記錄的預設設定為 1 年,存取記錄為 10 年。

當您更新或修復登陸區域時,此功能可透過 AWS Control Tower 提供給現有客戶,並透過 AWS Control Tower 設定程序提供給新客戶。

角色偏離修復可用

2022 年 8 月 11 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援角色偏離的修復。您可以還原必要的角色,而無需完全修復您的登陸區域。如果需要這種類型的偏離修復,主控台錯誤頁面會提供還原角色的步驟,讓您的登陸區域再次可用。

AWS Control Tower 登陸區域 3.0 版

2022 年 7 月 29 日

(AWS Control Tower 登陸區域需要更新至 3.0 版。 如需詳細資訊,請參閱 更新您的登陸區域)

AWS Control Tower 登陸區域 3.0 版包含下列更新:

  • 選擇組織層級 AWS CloudTrail 追蹤的選項,或選擇退出 AWS Control Tower 管理的 CloudTrail 追蹤。

  • 兩個新的偵測性控制項,用於判斷 帳戶中 AWS CloudTrail 是否記錄活動。

  • 選項僅彙總您主要區域中全域資源 AWS Config 的相關資訊。

  • 區域拒絕控制的更新。

  • 受管政策 AWSControlTowerServiceRolePolicy 的更新。

  • 我們不再在每個aws-controltower/CloudTrailLogs註冊帳戶中建立 IAM 角色aws-controltower-CloudWatchLogsRole和 CloudWatch 日誌群組。先前,我們在每個帳戶中為其帳戶追蹤建立這些項目。透過組織追蹤,我們只會在管理帳戶中建立一個。

以下各節提供每個新功能的詳細資訊。

AWS Control Tower 中的組織層級 CloudTrail 追蹤

使用登陸區域 3.0 版,AWS Control Tower 現在支援組織層級 AWS CloudTrail 追蹤。

當您將 AWS Control Tower 登陸區域更新至 3.0 版時,您可以選擇組織層級 AWS CloudTrail 追蹤做為您的記錄偏好設定,或選擇退出由 AWS Control Tower 管理的 CloudTrail 追蹤。當您更新至 3.0 版時,AWS Control Tower 會在 24 小時的等待期間後刪除已註冊帳戶的現有帳戶層級追蹤。AWS Control Tower 不會刪除未註冊帳戶的帳戶層級追蹤。在極少數情況下,您的登陸區域更新未成功,但失敗發生在 AWS Control Tower 已建立組織層級追蹤之後,您可能會針對組織層級和帳戶層級追蹤產生重複費用,直到您的更新操作能夠成功完成為止。

從登陸區域 3.0 開始,AWS Control Tower 不再支援 AWS 管理的帳戶層級追蹤。反之,AWS Control Tower 會根據您的選擇建立組織層級追蹤,其為作用中或非作用中。

注意

更新至 3.0 版或更新版本後,您便無法選擇繼續執行 AWS Control Tower 管理的帳戶層級 CloudTrail 追蹤。

不會從您的彙總帳戶日誌中遺失記錄資料,因為日誌會保留在儲存它們的現有 Amazon S3 儲存貯體中。只會刪除線索,不會刪除現有的日誌。如果您選擇新增組織層級追蹤的選項,AWS Control Tower 會開啟新路徑,前往 Amazon S3 儲存貯體內的新資料夾,並繼續傳送記錄資訊至該位置。如果您選擇不接收 AWS Control Tower 管理的追蹤,您現有的日誌會保留在儲存貯體中,保持不變。

日誌儲存的路徑命名慣例

  • 帳戶追蹤日誌會與此表格的路徑一起存放: /org id/AWSLogs/…

  • 組織追蹤日誌會儲存為具有此表單的路徑: /org id/AWSLogs/org id/…

AWS Control Tower 為您的組織層級 CloudTrail 追蹤建立的路徑與手動建立的組織層級追蹤的預設路徑不同,其格式如下:

  • /AWSLogs/org id/…

如需 CloudTrail 路徑命名的詳細資訊,請參閱尋找您的 CloudTrail 日誌檔案

提示

如果您打算建立和管理自己的帳戶層級追蹤,我們建議您先建立新的追蹤,然後再完成 AWS Control Tower 登陸區域 3.0 版的更新,以立即開始記錄。

您可以隨時選擇建立新的帳戶層級或組織層級 CloudTrail 追蹤,並自行管理。在 3.0 版或更新版本的任何登陸區域更新期間,可以選擇 AWS Control Tower 管理的組織層級 CloudTrail 追蹤。每當您更新登陸區域時,您可以選擇加入退出組織層級追蹤。

如果您的日誌是由第三方服務管理,請務必為您的服務提供新的路徑名稱。

注意

對於 3.0 版或更新版本的登陸區域,AWS Control Tower 不支援帳戶層級 AWS CloudTrail 追蹤。您可以隨時建立和維護自己的帳戶層級追蹤,也可以選擇加入 AWS Control Tower 管理的組織層級追蹤。

僅記錄主要區域中 AWS Config 的資源

在登陸區域 3.0 版中,AWS Control Tower 已更新 的基準組態, AWS Config 以便只記錄主要區域中的全域資源。更新至 3.0 版之後,僅在您的主區域中啟用全域資源的資源記錄。

此組態視為最佳實務。 AWS Security Hub 和 建議採用此方法 AWS Config,並藉由減少建立、修改或刪除全域資源時建立的組態項目數量,來節省成本。先前,每次建立、更新或刪除全域資源時,無論是由客戶還是由 AWS 服務,都會為每個受管區域中的每個項目建立組態項目。

記錄的 AWS CloudTrail 兩個新偵測控制項

作為組織層級 AWS CloudTrail 追蹤變更的一部分,AWS Control Tower 正在引入兩個新的偵測性控制項,以檢查 CloudTrail 是否已啟用。第一個控制項具有強制性指導,並在 3.0 和更新版本的設定或登陸區域更新期間,在安全 OU 上啟用。第二個控制項具有強烈建議性的指引,並且可選擇性地套用到安全 OUs 以外的任何 OU,而安全 OU 已強制執行強制性控制保護。

強制性控制:偵測安全組織單位下的共用帳戶是否已啟用 AWS CloudTrail 或 CloudTrail Lake

強烈建議控制:偵測帳戶是否已啟用 AWS CloudTrail 或 CloudTrail Lake

如需新控制項的詳細資訊,請參閱 AWS Control Tower 控制項程式庫

區域拒絕控制的更新

我們更新了區域拒絕控制項中的 NotAction 清單,以包含一些額外服務的動作,如下所示:


            “chatbot:*”,
            "s3:GetAccountPublic",
            "s3:DeleteMultiRegionAccessPoint", 
            "s3:DescribeMultiRegionAccessPointOperation", 
            "s3:GetMultiRegionAccessPoint", 
            "s3:GetMultiRegionAccessPointPolicy", 
            "s3:GetMultiRegionAccessPointPolicyStatus",
            "s3:ListMultiRegionAccessPoints",
            "s3:GetStorageLensConfiguration", 
            “s3:GetStorageLensDashboard", 
            “s3:ListStorageLensConfigurations”
            “s3:GetAccountPublicAccessBlock“,,
            “s3:PutAccountPublic", 
            “s3:PutAccountPublicAccessBlock“,

影片演練

此影片 (3:07) 說明如何將現有的 AWS Control Tower 登陸區域更新為第 3 版。若要獲得更佳的觀賞效果,請選取影片右下角的圖示,將影片放大至全螢幕。並提供字幕。

組織頁面結合 OUs和帳戶的檢視

2022 年 7 月 18 日

(AWS Control Tower 登陸區域不需要更新)

AWS Control Tower 中的新組織頁面會顯示所有組織單位 (OUs) 和帳戶的階層檢視。它結合了來自先前存在OUs帳戶頁面的資訊。

在新頁面上,您可以看到父 OUs 與其巢狀 OUs 和帳戶之間的關係,您可以對資源群組採取動作。您可以設定頁面檢視。例如,您可以展開或摺疊階層式檢視、篩選檢視以僅查看帳戶或 OUs、選擇僅檢視已註冊帳戶和已註冊OUs,或者您可以檢視相關資源群組。更容易確保整個組織正確更新。

更輕鬆地註冊和更新個別成員帳戶

2022 年 5 月 31 日

(AWS Control Tower 登陸區域不需要更新)

AWS Control Tower 現在可改善個別更新和註冊成員帳戶的功能。每個帳戶都會顯示何時可供更新,因此您可以更輕鬆地確保您的成員帳戶包含最新的組態。您可以透過幾個簡化步驟,更新您的登陸區域、修復帳戶偏離,或將帳戶註冊到已註冊的 OU。

當您更新帳戶時,不需要在每個更新動作中包含帳戶的整個組織單位 (OU)。因此,更新個別帳戶所需的時間會大幅減少。

您可以在 AWS Control Tower 主控台的更多協助下,將帳戶註冊到 AWS Control Tower OUs。您在 AWS Control Tower 中註冊的現有帳戶仍必須符合帳戶先決條件,而且您必須新增AWSControlTowerExecution角色。然後,您可以選擇任何已註冊的 OU,並選取註冊按鈕將帳戶註冊到其中。

我們已將註冊帳戶功能與在帳戶工廠中建立帳戶工作流程分開,以在這些類似程序之間建立更多區別,並協助避免在您輸入帳戶資訊時發生設定錯誤。

AFT 支援共用 AWS Control Tower 帳戶的自動自訂

2022 年 5 月 27 日

(AWS Control Tower 登陸區域不需要更新)

Account Factory for Terraform (AFT) 現在能以程式設計方式自訂和更新由 AWS Control Tower 管理的任何帳戶,包括管理帳戶、稽核帳戶和日誌封存帳戶,以及您註冊的帳戶。您可以集中帳戶自訂和更新管理,同時保護帳戶組態的安全性,因為您將執行工作的角色範圍調整為範圍。

現有的 AWSAFTExecution 角色現在會在所有帳戶中部署自訂。您可以設定具有界限的 IAM 許可,以根據您的業務和安全性需求限制 AWSAFTExecution 角色的存取。您也可以透過程式設計方式,將該角色中核准的自訂許可委派給信任的使用者。最佳實務是,建議您將許可限制為部署必要自訂所需的許可。

AFT 現在會建立新的 AWSAFTService 角色,在所有受管帳戶中部署 AFT 資源,包括共用帳戶和管理帳戶。先前由 AWSAFTExecution 角色部署的資源。

AWS Control Tower 共用和管理帳戶不是透過帳戶工廠佈建,因此它們沒有對應的佈建產品 AWS Service Catalog。因此,您無法更新 Service Catalog 中的共用和管理帳戶。

所有選用控制項的並行操作

2022 年 5 月 18 日

(AWS Control Tower 登陸區域不需要更新)

AWS Control Tower 現在支援預防性控制以及偵測性控制的並行操作。

透過此新功能,現在可同時套用或移除任何選用控制項,藉此改善所有選用控制項的易用性和效能。您可以啟用多個選用控制項,而無需等待個別控制操作完成。唯一的限制時間是 AWS Control Tower 正在登陸區域設定過程中,或將管控擴展到新組織時。

預防性控制的支援功能:

  • 在相同的 OU 上套用和移除不同的預防性控制項。

  • 在不同的 OUs 上同時套用和移除不同的預防性控制。

  • 在多個 OUs 上同時套用和移除相同的預防性控制。

  • 您可以同時套用和移除任何預防性和偵測性控制項。

您可以在所有發行的 AWS Control Tower 版本中體驗這些控制並行改進。

當您將預防性控制套用至巢狀 OUs 時,預防性控制會影響目標 OUs 下的所有帳戶和 OU,即使這些帳戶和 OUs 未向 AWS Control Tower 註冊。預防性控制是使用服務控制政策 SCPs) 實作,這是其中的一部分 AWS Organizations。Detective 控制項是使用 AWS Config 規則實作。當您建立新帳戶或變更現有帳戶時,護欄仍然有效,而 AWS Control Tower 會提供每個帳戶如何符合已啟用政策的摘要報告。如需可用控制項的完整清單,請參閱 AWS Control Tower 控制程式庫

現有安全性和記錄帳戶

2022 年 5 月 16 日

(在初始設定期間可用。)

AWS Control Tower 現在會在初始登陸區域設定程序期間,為您提供將現有 AWS 帳戶指定為 AWS Control Tower 安全性或記錄帳戶的選項。此選項消除了 AWS Control Tower 建立新的共用帳戶的需求。根據預設,安全帳戶稱為稽核帳戶,是一種限制帳戶,可讓安全與合規團隊存取您登陸區域中的所有帳戶。根據預設,名為 Log Archive 帳戶的記錄帳戶可做為儲存庫使用。它會儲存來自登陸區域中所有帳戶的 API 活動和資源組態日誌。

透過將現有的安全和記錄帳戶納入,將 AWS Control Tower 管理擴展到現有的組織,或從替代登陸區域移動到 AWS Control Tower 更為容易。在初始登陸區域設定期間,會顯示讓您使用現有帳戶的選項。它包含設定程序期間的檢查,以確保成功部署。AWS Control Tower 會在您現有的帳戶中實作必要的角色和控制項。它不會移除或合併這些帳戶中存在的任何現有資源或資料。

限制:如果您計劃將現有 AWS 帳戶作為稽核和日誌封存帳戶帶入 AWS Control Tower,而且這些帳戶有現有 AWS Config 資源,您必須先刪除現有 AWS Config 資源,才能將帳戶註冊到 AWS Control Tower。

AWS Control Tower 登陸區域 2.9 版

2022 年 4 月 22 日

(AWS Control Tower 登陸區域需要更新至 2.9 版。 如需詳細資訊,請參閱 更新您的登陸區域)

AWS Control Tower 登陸區域 2.9 版會將通知轉寄站 Lambda 更新為使用 Python 3.9 版執行時間。此更新解決了 Python 3.6 版的棄用,預計於 2022 年 7 月推出。如需最新資訊,請參閱 Python 棄用頁面

AWS Control Tower 登陸區域 2.8 版

2022 年 2 月 10 日

(AWS Control Tower 登陸區域需要更新至 2.8 版。 如需詳細資訊,請參閱 更新您的登陸區域)

AWS Control Tower 登陸區域 2.8 版新增了與AWS 基礎安全最佳實務最近更新一致的功能。

在此版本中:

  • 存取日誌是針對 Log Archive 帳戶中的存取日誌儲存貯體設定,以追蹤對現有 S3 存取日誌儲存貯體的存取。

  • 新增生命週期政策的支援。現有 S3 存取日誌儲存貯體的存取日誌會設定為預設保留時間 10 年。

  • 此外,此版本會更新 AWS Control Tower AWS Config,以在所有受管帳戶 (不包括 管理帳戶) 中使用 提供的服務 AWS 連結角色 (SLR),讓您可以設定和管理 Config 規則以符合 AWS Config 最佳實務。未升級的客戶將繼續使用其現有角色。

  • 此版本可簡化加密 AWS Config 資料的 AWS Control Tower KMS 組態程序,並改善 CloudTrail 中的相關狀態訊息。

  • 版本包含區域拒絕控制的更新,以允許 中的route53-application-recovery功能us-west-2

  • 更新:2022 年 2 月 15 日,我們移除了 Lambda AWS 函數的無效字母佇列。

其他詳細資訊:

  • 如果您停用登陸區域,AWS Control Tower 不會移除 AWS Config 服務連結角色。

  • 如果您取消佈建 Account Factory 帳戶,AWS Control Tower 不會移除 AWS Config 服務連結角色。

若要將您的登陸區域更新為 2.8,請導覽至登陸區域設定頁面,選取 2.8 版本,然後選擇更新。更新登陸區域後,您必須更新由 AWS Control Tower 管理的所有帳戶,如 中所述AWS Control Tower 中的組態更新管理