本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

二零二二二年一月至

2022 年，AWSControl Tower 發布了以下更新：

並行帳戶作業

2022年12月16日

AWSControl Tower landing zone 無需更新。）

AWSControl Tower 現在支持帳戶工廠中的並發操作。您一次最多可以建立、更新或註冊五 (5) 個帳戶。最多可連續提交五個動作，並檢視每個請求的完成狀態，同時您的帳戶會在背景完成建置。例如，您不再需要等待每個程序完成後才能更新其他帳戶，或重新註冊整個組織單位 (OU) 之前。

客 Account Factory 客製化 (AFC)

2022年11月28日

AWSControl Tower landing zone 無需更新。）

帳戶工廠自訂可讓您從 Con AWS trol Tower 主控台中自訂新帳戶和現有帳戶。這些新的自訂功能可讓您彈性定義帳戶藍圖， AWS CloudFormation 包含在專業 Service Catalog 產品中的範本。藍圖佈建完全自訂的資源和組態。您也可以選擇使用預先定義的藍圖，由構建和管理 AWS 合作夥伴，可協助您針對特定使用案例自訂帳戶。

先前，Con AWS trol Tower 帳戶工廠不支援主控台中的帳戶自訂功能。透過此帳戶工廠更新，您可以預先定義帳戶需求，並將其作為定義明確的工作流程的一部分來實作。您可以應用藍圖來創建新帳戶，以註冊其他帳戶 AWS 帳戶到 AWS Control Tower，並更新現有的 AWS Control Tower 帳戶。

在帳戶 Factory 中佈建、註冊或更新帳戶時，您將選取要部署的藍圖。藍圖中指定的那些資源會佈建在您的帳戶中。當您的帳戶完成構建後，所有自定義配置都可以立即使用。

若要開始自訂帳戶，您可以在 Service Catalog 產品中針對預定使用案例定義資源。您也可以選擇合作夥伴管理的解決方案 AWS 開始使用程式庫。如需詳細資訊，請參閱使用 Account Factory 定制（AFC）自定義帳戶。

全面的控制協助 AWS 資源佈建與管理

2022年11月28日

AWSControl Tower landing zone 無需更新。）

AWSControl Tower 現在支援全方位的控制管理，包括全新的選購主動式控制功能，可透過 AWS CloudFormation 掛鉤。這些控制項稱為主動式控制項，因為它們會在資源部署之前先檢查您的資源，以判斷新資源是否符合在您環境中啟動的控制項。

超過 130 種全新的主動式控制功能，可協助您達成 AWS Control Tower 環境的特定政策目標；符合業界標準的合規性架構需求；並管理 AWS Control Tower 在其他二十多個環境中的互動 AWS 服務。

Con AWS trol Tower 控制庫根據關聯的控制項對這些控制進行分類 AWS 服務和資源。如需詳細資訊，請參閱主動式控制。

在此版本中，AWSControl Tower 也與 AWS Security Hub，通過新的 Security Hub 服務管理標準：AWSControl Tower，其支持 AWS 基礎安全性最佳做法 (FSBP) 標準。您可以在主控台中檢視超過 160 個 Security Hub Con AWS trol Tower 項以及控制中 Security Hub 控制項，也可以取得 Con AWS trol Tower 境的安全性分數。如需詳細資訊，請參閱 Security Hub 控制項。

可檢視所有人的合規狀態 AWS Config rules

2022年11月18日

AWSControl Tower landing zone 無需更新。）

AWSControl Tower 現在會顯示所有人的合規狀態 AWS Config 已部署至已在 AWS Control Tower 註冊之組織單位的規則。您可以檢視全部的符合性狀態 AWS Config 影響您在 Con AWS trol Tower 中註冊或取消註冊帳號的規則，而不需要在 Con AWS trol Tower 主控台之外瀏覽。客戶可以選擇在「Con AWS trol Tower」中設定 Config 規則 (稱為偵探控制)，或直接透過 AWS Config 服務。部署的規則 AWS Config 顯示，以及 Con AWS trol Tower 部署的規則。

以前 AWS Config 規則部署透過 AWS Config 服務在控制台主AWS控台中看不到。客戶必須導航到 AWS Config 識別不合規的服務 AWS Config 規則。現在，您可以識別任何不符合標準 AWS Config Con AWS trol Tower 主控台內的規則。若要檢視所有 Config 規則的合規狀態，請瀏覽至 Con AWS trol Tower 主控台中的 [帳戶詳細資料] 頁面。您會看到一份清單，顯示 Control Tower 管理的AWS控制項的合規性狀態，以及 Control Tower 外部署的 AWS Config 規則。

API對於控件和一個新的 AWS CloudFormation 資源

2022年9月1日

AWSControl Tower landing zone 無需更新。）

AWSControl Tower 現在支援透過一組呼叫來對控制項進行程式化管理，也稱為護欄。API一個新的 AWS CloudFormation 資源支持控件的API功能。如需詳細資訊，請參閱 AWS Control Tower 中的自動化任務 和 使用 建立 AWS Control Tower 資源 AWS CloudFormation。

這些功能可APIs讓您在「Control Tower」程式庫中啟用、停用及檢視AWS控制項的應用程式狀態。包APIs括支持 AWS CloudFormation，所以你可以管理 AWS 資源為 infrastructure-as-code （IaC）。AWSControl Tower 提供選擇性的預防性和偵測控制功能，可表達您對整個組織單位 (OU) 及每個組織單位的政策意圖 AWS OU 內的帳戶。當您建立新帳戶或變更現有帳戶時，這些規則仍然有效。

若要檢視選擇性控制項的控制項名稱清單，請參閱 Con AWStrol Tower 使用者指南中的資源識別碼APIs和控制項。

CFCT 支持堆棧集刪除

2022年8月26日

AWSControl Tower landing zone 無需更新。）

AWSControl Tower (CFCT) 的自訂現在支援堆疊集刪除，方法是在manifest.yaml檔案中設定參數。如需詳細資訊，請參閱刪除堆疊集。

自訂記錄保留

2022年8月15日

（AWSControl Tower landing zone 需要更新。 若要取得資訊，請參閱更新登陸區域)

AWSControl Tower 現在可為存放 Con AWS trol Tower CloudTrail 日誌的 Amazon S3 儲存貯體自訂保留政策。您可以自訂 Amazon S3 日誌保留政策，以天數或年為增量，最長可達 15 年。

如果您選擇不自訂記錄保留，則預設設定為標準帳戶記錄 1 年，存取記錄的預設設定為 10 年。

當您更新或修復 landing zone 時，現有客戶可透過 AWS Control Tower 使用此功能，以及透過 AWS Control Tower 設定程序的新客戶使用。

提供角色漂移修復

2022年8月11日

AWSControl Tower landing zone 無需更新。）

AWSControl Tower 現在支援角色漂移的修復。您可以恢復必要的角色，而無需完整修復您的 landing zone。如果需要此類漂移修復，主控台錯誤頁面會提供還原角色的步驟，以便再次使用您的 landing zone。

AWSControl Tower landing zone 3.0 版

2022年7月29日

（AWSControl Tower landing zone 需要更新至 3.0 版本。 若要取得資訊，請參閱更新登陸區域)

AWSControl Tower landing zone 3.0 版包含以下更新：

以下各節提供有關每個新功能的詳細資訊。

Control Tower 內組織層級的 CloudTrail AWS軌跡

隨著 landing zone 3.0 版本，AWSControl Tower 現在支持組織級 AWS CloudTrail 小徑。

當您將「AWSControl Tower」的 landing zone 更新為 3.0 版時，您可以選擇組織層級 AWS CloudTrail 跟踪作為您的記錄偏好，或選擇退出由 AWS Control Tower 管理的 CloudTrail 路線。當您更新至 3.0 版時，AWSControl Tower 會在 24 小時等待期後刪除已註冊帳戶的現有帳戶層級追蹤。AWSControl Tower 不會刪除未註冊帳號的帳戶層級追蹤。在不太可能的情況下，您的 landing zone 域更新無法成功，但是在 AWS Control Tower 建立組織層級追蹤後發生失敗，您可能會對組織層級和帳戶層級追蹤產生重複費用，直到您的更新作業能夠順利完成為止。

從 landing zone 3.0 開始，AWSControl Tower 不再支持帳戶級別的步道 AWS 管理。而是，AWSControl Tower 會根據您的選擇建立組織層級的追蹤，該追蹤為作用中或非作用中。

彙總帳戶日誌中不會遺失任何記錄資料，因為日誌會保留在存放日誌的現有 Amazon S3 儲存貯體中。只會刪除追蹤，而不會刪除現有的記錄。如果您選取新增組織層級追蹤的選項，AWSControl Tower 會在 Amazon S3 儲存貯體中開啟新資料夾的新路徑，並繼續將記錄資訊傳送到該位置。如果您選擇退出由 AWS Control Tower 管理的追蹤，您現有的記錄檔會保留在值區中，不變。

AWSControl Tower 為您的組織層級 CloudTrail 追蹤建立的路徑與手動建立的組織層級追蹤的預設路徑不同，其格式如下：

如需 CloudTrail 路徑命名的詳細資訊，請參閱尋找 CloudTrail 記錄檔。

您可以隨時選擇建立新的帳戶層級或組織層級 CloudTrail追蹤，並自行管理。在任何 landing zone 更新至 3.0 版或更新版本期間，都可以使用選擇由 AWS Control Tower 管理的組織層級 CloudTrail軌跡的選項。每當您更新 landing zone 域時，您都可以選擇加入和選擇退出組織層級的追蹤。

如果您的記錄檔是由協力廠商服務管理，請務必提供服務的新路徑名稱。

記錄 AWS Config 僅適用於本地區域的資源

在 3.0 版本的 landing zone 中，AWSControl Tower 已經更新了基準配置 AWS Config 以便它僅在本地區記錄全球資源。在您更新至 3.0 版之後，全域資源的資源記錄只會在您的本地區域中啟用。

此組態被視為最佳作法。它被推薦 AWS Security Hub 以及 AWS Config，並減少建立、修改或刪除全域資源時所建立的組態項目數，藉此節省成本。以前，每次建立、更新或刪除全域資源時，無論是由客戶還是 AWS 服務，為每個受控區域中的每個項目創建一個配置項目。

兩個新的偵探控制 AWS CloudTrail 記錄

作為組織層級變更的一部分 AWS CloudTrail 小徑，AWSControl Tower 正在引入兩個新的偵探控制項，用於檢查 CloudTrail 是否已啟用。第一個控制項具有強制性指引，並且在 3.0 及更新版本的安裝或 landing zone 更新期間，會在安全性 OU 上啟用。第二個控制項具有強烈建議的指導方針，並且可以選擇性地套用至任何非安全性 OU (已強制執行強制控制保護) 的任何OUs其他控制項。

強制性控制：偵測安全性組織單位下的共用帳戶是否具有 AWS CloudTrail 或啟用 CloudTrail 湖泊

強烈建議控制：偵測帳戶是否具有 AWS CloudTrail 或啟用 CloudTrail 湖泊

如需有關新控制項的詳細資訊，請參閱 Con AWS trol Tower 控制元件庫。

區域拒絕控制的更新

我們更新了「地區拒絕控制」中的NotAction清單，以包含一些其他服務的動作，列出如下：

            “chatbot:*”,
            "s3:GetAccountPublic",
            "s3:DeleteMultiRegionAccessPoint", 
            "s3:DescribeMultiRegionAccessPointOperation", 
            "s3:GetMultiRegionAccessPoint", 
            "s3:GetMultiRegionAccessPointPolicy", 
            "s3:GetMultiRegionAccessPointPolicyStatus",
            "s3:ListMultiRegionAccessPoints",
            "s3:GetStorageLensConfiguration", 
            “s3:GetStorageLensDashboard", 
            “s3:ListStorageLensConfigurations”
            “s3:GetAccountPublicAccessBlock“,,
            “s3:PutAccountPublic", 
            “s3:PutAccountPublicAccessBlock“, 

影片演練

這部影片 (3:07) 說明如何將現有的 AWS Control Tower landing zone 更新為第 3 版。若要獲得更佳的觀賞效果，請選取影片右下角的圖示，將影片放大至全螢幕。並提供字幕。

「組織」頁面結合了帳戶的檢視OUs和

2022年7月18日

（AWSControl Tower landing zone 無需更新）

AWSControl Tower 中的新組織頁面會顯示所有組織單位 (OUs) 和帳戶的階層式檢視。它結合了先前存在OUs的「帳戶」頁面中的信息。

在新頁面上，您可以看到父項OUs及其巢狀帳號OUs和帳號之間的關係，您可以對資源分組採取動作。您可以設定頁面檢視。例如，您可以展開或收合階層式檢視、篩選檢視以查看帳戶或OUs僅檢視帳戶、選擇僅檢視已註冊的帳戶和已註冊帳戶OUs，或者您可以檢視相關資源的群組。這是更容易確保您的整個組織正確更新。

更輕鬆地註冊和更新個別會員帳戶

2022年5月31日

（AWSControl Tower landing zone 無需更新）

AWSControl Tower 現在提供了改進的功能，可以個別更新和註冊成員帳戶。每個帳戶都會顯示何時可用更新，因此您可以更輕鬆地確保您的成員帳戶包含最新的設定。您可以透過幾個簡化的步驟，更新您的 landing zone、修復帳戶偏移，或將帳戶註冊到已註冊的 OU。

當您更新帳戶時，不需要在每個更新動作中包含帳戶的整個組織單位 (OU)。因此，更新個人帳戶所需的時間大大縮短。

您可以透過 Con AWS trol Tower 主控台提供OUs的更多協助，將帳戶註冊到 Con AWS trol Tower。您在 AWS Control Tower 中註冊的現有帳戶仍然必須符合帳戶必要條件，而且您必須新增AWSControlTowerExecution角色。然後，您可以選擇任何已註冊的 OU，並透過選取 [註冊] 按鈕將帳戶註冊到其中。

我們已將「註冊帳戶」功能與「在帳戶工廠中建立帳戶」工作流程分開，以便在這些類似程序之間建立更多區別，並協助避免在輸入帳戶資訊時發生設定錯誤。

AFT支援共用 AWS Control Tower 帳戶的自動自訂

2022年5月27日

（AWSControl Tower landing zone 無需更新）

現在，Terraform (AFT) 的 Account Factory 可以透過程式設計方式自訂和更新任何由 AWS Control Tower 管理的帳戶，包括管理帳戶、稽核帳戶和記錄封存帳戶，以及您註冊的帳戶。您可以集中管理帳戶自訂和更新管理，同時保護帳戶設定的安全性，因為您可以限定執行工作的角色範圍。

現有AWSAFTExecution角色現在會在所有帳戶中部署自訂項目。您可以設定具有界限的IAM權限，以根據您的業務和安全性需求來限制AWSAFTExecution角色的存取權限。您也可以透過程式設計方式將該角色中核准的自訂權限委派給信任的使用者。最佳作法是，建議您將權限限制為部署所需自訂所需的權限。

AFT現在會建立新AWSAFTService角色，以在所有受管理帳戶 (包括共用帳戶和管理帳戶) 中部署AFT資源。資源先前是由AWSAFTExecution角色部署的。

Con AWS trol Tower 共用和管理帳戶未透過帳戶 Factory 佈建，因此在中沒有對應的佈建產品 AWS Service Catalog。 因此，您無法更新 Service Catalog 中的共用和管理帳戶。

所有選擇性控制項的並行作業

2022年5月18日

（AWSControl Tower landing zone 無需更新）

AWSControl Tower 現在支持預防性控制以及偵探控制的同時操作。

有了這項新功能，現在可以同時套用或移除任何選用的控制項，進而改善所有選用控制項的易用性和效能。您可以啟用多個選擇性控制項，而無需等待個別控制項作業完成。唯一受到限制的時間是 AWS Control Tower 正在設置 landing zone，或者在將治理擴展到新組織時。

您可以在 Control Tower 的所有發行版本中體驗這些AWS控制並行改進。

當您將預防性控制套用至巢狀時OUs，預防性控制會影響所有帳戶並OUs嵌套在目標 OU 下，即使這些帳戶並未在 AWS Control Tower 註冊也OUs是如此。預防性控制是使用服務控制原則 (SCPs) 來實作，而服務控制原則為 AWS Organizations。 Detective 控制項是使用 AWS Config 規則。當您建立新帳號或變更現有帳號時，護欄仍然有效，而 Con AWS trol Tower 則會提供每個帳戶如何符合您已啟用政策的摘要報告。如需可用控制項的完整清單，請參閱 Con AWS trol Tower 控制元件庫。

現有的安全性和記錄帳戶

2022年5月16日

（在初始設置期間可用。）

AWSControl Tower 現在為您提供指定現有的選項 AWS 在初始 landing zone 設置過程中，將帳戶作為 AWS Control Tower 安全或記錄帳戶。這個選項讓 AWS Control Tower 不再需要建立新的共用帳戶。安全性帳戶 (依預設稱為稽核帳戶) 是受限制的帳戶，可讓您的安全性和規範遵循團隊存取您 landing zone 中所有帳戶的權限。記錄帳戶 (依預設稱為記錄封存帳戶) 可當做儲存庫使用。它會儲存登 landing zone 中所有帳號的API活動記錄和資源組態。

透過使用您現有的安全性和記錄帳戶，您可以更輕鬆地將 AWS Control Tower 控管擴展到您現有的組織中，或者從替代的 landing zone 移至 AWS Control Tower。在初始 landing zone 域設置期間，會顯示您使用既有帳戶的選項。它包括安裝程序期間的檢查，以確保部署成功。AWSControl Tower 對您現有帳戶實施必要的角色和控制。它不會移除或合併這些帳戶中存在的任何現有資源或資料。

限制：如果您打算帶現有 AWS 將帳戶存入 AWS Control Tower 作為審計和記錄存檔帳戶，以及這些帳戶是否已存在 AWS Config 資源，您必須刪除現有的 AWS Config 在您可以將帳戶註冊到 AWS Control Tower 之前的資源。

AWSControl Tower landing zone 2.9 版

2022年4月22日

（AWSControl Tower 的 landing zone 需要更新至 2.9 版。 若要取得資訊，請參閱更新登陸區域)

AWSControl Tower landing zone 2.9 版更新通知轉發器 Lambda 以使用 Python 版本 3.9 運行時。此更新解決了計劃於 2022 年 7 月進行的 Python 3.6 版本的棄用問題。有關最新信息，請參閱 Python 棄用頁面。

AWSControl Tower landing zone 2.8 版

2022年2月10日

（AWSControl Tower landing zone 需要更新至 2.8 版。 若要取得資訊，請參閱更新登陸區域)

AWSControl Tower landing zone 2.8 版增加了與最近更新對齊的功能 AWS 基礎安全性最佳做法。

若要將 landing zone 域更新為 2.8，請瀏覽至「登陸區域設定」頁面，選取 2.8 版本，然後選擇「更新」。更新 landing zone 後，您必須更新所有受 AWS Control Tower 管理的帳號，如中所述AWS Control Tower 中的組態更新管理。