2023 年 1 月至 12 月

• 轉換為新的 AWS Service Catalog 外部產品類型 （階段 3)

• AWS Control Tower 登陸區域 3.3 版

• 轉換為新的 AWS Service Catalog 外部產品類型 （階段 2)

• AWS Control Tower 宣布控制以協助數位主權

• AWS Control Tower 支援登陸區域 APIs

• AWS Control Tower 支援啟用控制項的標記

• AWS Control Tower 適用於亞太區域 （墨爾本） 區域

• 轉換為新的 AWS Service Catalog 外部產品類型 （階段 1)

• API 可用的新控制項

• AWS Control Tower 新增其他控制項

• 報告的新偏離類型：已停用信任存取

• 其他四個 AWS 區域

• AWS 特拉維夫區域提供 Control Tower

• AWS Control Tower 啟動 28 個新的主動控制

• AWS Control Tower 取代兩個控制項

• AWS Control Tower 登陸區域 3.2 版

• AWS Control Tower 會根據 ID 處理帳戶

• AWS 控制塔控制程式庫中可用的其他 Security Hub 偵測控制

• AWS Control Tower 發佈控制中繼資料資料表

• Account Factory Customization 的 Terraform 支援

• AWS IAM Identity Center 自我管理可用於登陸區域

• AWS Control Tower 處理 的混合控管 OUs

• 其他可用的主動控制

• 已更新 Amazon EC2主動控制

• 七種其他 AWS 區域 可用

• Account Factory for Terraform (AFT) 帳戶自訂請求追蹤

• AWS Control Tower 登陸區域 3.1 版

• 主動控制通常可用

登陸區域區域拒絕控制的更新

• 已移除 discovery-marketplace:。此動作由 aws-marketplace:*豁免涵蓋。

• 已新增 quicksight:DescribeAccountSubscription

新的主動控制

• CT.APIGATEWAY.PR.6：要求 Amazon API Gateway REST網域使用指定最低TLS通訊協定版本 TLSv1.2 的安全政策

• CT.APPSYNC.PR.2：要求以私有可見性API設定 AWS AppSync GraphQL

• CT.APPSYNC.PR.3：要求 AWS AppSync GraphQL API 未通過API金鑰驗證

• CT.APPSYNC.PR.4：需要 AWS AppSync GraphQL API快取才能啟用傳輸中的加密。

• CT.APPSYNC.PR.5：需要 AWS AppSync GraphQL API快取才能啟用靜態加密。

• CT.AUTOSCALING.PR.9：需要透過 Amazon EC2 Auto Scaling 啟動組態設定的 Amazon EBS磁碟區，才能加密靜態資料

• CT.AUTOSCALING.PR.10：在覆寫啟動範本時，要求 Amazon EC2 Auto Scaling 群組僅使用 AWS Nitro 執行個體類型

• CT.AUTOSCALING.PR.11：在覆寫啟動範本時，只需要支援執行個體之間網路流量加密的 AWS Nitro 執行個體類型，即可新增至 Amazon EC2 Auto Scaling 群組

• CT.DAX.PR.3：需要 DynamoDB Accelerator 叢集，以使用 Transport Layer Security (TLS) 加密傳輸中的資料

• CT.DMS.PR.2：需要 AWS Database Migration Service (DMS) 端點來加密來源和目標端點的連線

• CT.EC2.PR.15：要求 Amazon EC2執行個體在 AWS 從AWS::EC2::LaunchTemplate資源類型建立時使用 Nitro 執行個體類型

• CT.EC2.PR.16：使用 AWS::EC2::Instance 資源類型建立時，要求 Amazon EC2執行個體使用 AWS Nitro 執行個體類型

• CT.EC2.PR.17：要求 Amazon EC2專用主機使用 AWS Nitro 執行個體類型

• CT.EC2.PR.18：要求 Amazon EC2機群僅覆寫具有 AWS Nitro 執行個體類型的啟動範本

• CT.EC2.PR.19：要求 Amazon EC2執行個體使用 nitro 執行個體類型，以便在使用 AWS::EC2::Instance 資源類型建立時支援執行個體之間的傳輸中加密

• CT.EC2.PR.20：要求 Amazon EC2機群僅覆寫具有 AWS Nitro 執行個體類型的啟動範本，以支援執行個體之間傳輸中的加密

• CT.ELASTICACHE.PR.8：需要較新 Redis 版本的 Amazon ElastiCache 複寫群組，才能啟用RBAC身分驗證

• CT.MQ.PR.1：要求 Amazon MQ ActiveMQ 代理程式使用作用中/待命部署模式以獲得高可用性

• CT.MQ.PR.2：要求 Amazon MQ Rabbit MQ 代理程式使用多可用區域叢集模式，以獲得高可用性

• CT.MSK.PR.1：需要 Amazon Managed Streaming for Apache Kafka (MSK) 叢集，才能強制執行叢集代理程式節點之間的傳輸加密

• CT.MSK.PR.2：需要將 Amazon Managed Streaming for Apache Kafka (MSK) 叢集設定為 PublicAccess 已停用

• CT.NETWORK-FIREWALL.PR.5：需要將 AWS Network Firewall 防火牆部署到多個可用區域

• CT.RDS.PR.26：要求 Amazon 資料庫代理伺服器需要 Transport Layer Security RDS (TLS) 連線

• CT.RDS.PR.27：要求 Amazon 資料庫叢集參數群組要求支援的引擎類型需要 Transport Layer Security RDS (TLS) 連線

• CT.RDS.PR.28：要求 Amazon 資料庫參數群組針對支援的引擎類型要求 Transport Layer Security (TLS) RDS 連線

• CT.RDS.PR.29：需要未將 Amazon RDS叢集設定為可透過 'PubliclyAccessible' 屬性公開存取

• CT.RDS.PR.30：要求 Amazon RDS 資料庫執行個體已設定靜態加密，以使用您為支援的引擎類型指定的KMS金鑰

• CT.S3.PR.12：要求 Amazon S3 存取點具有封鎖公開存取 (BPA) 組態，且所有選項設為 true

新的預防性控制

• CT.APPSYNC.PV.1 要求 AWS AppSync GraphQL API 已設定私有可見性

• CT.EC2.PV.1 需要從加密磁碟EC2區建立 Amazon EBS快照

• CT.EC2.PV.2 需要將連接的 Amazon EBS磁碟區設定為加密靜態資料

• CT.EC2.PV.3 要求 Amazon EBS快照無法公開還原

• CT.EC2.PV.4 要求APIs不呼叫 Amazon EBS Direct

• CT.EC2.PV.5 不允許使用 Amazon EC2 VM 匯入和匯出

• CT.EC2.PV.6 不允許使用已取代的 Amazon EC2 RequestSpotFleet 和 RequestSpotInstances API 動作

• CT.KMS.PV.1 需要 AWS KMS 金鑰政策，才能擁有將 AWS KMS 授予建立限制為 AWS 服務的陳述式

• CT.KMS.PV.2 要求具有用於加密RSA之金鑰材料 AWS KMS 的非對稱金鑰的金鑰長度不為 2048 位元

• CT.KMS.PV.3 要求在啟用略過政策鎖定安全檢查的情況下設定 AWS KMS 金鑰

• CT.KMS.PV.4 要求使用來自 AWS Cloud 的金鑰材料來設定 AWS KMS 客戶受管金鑰 (CMK)HSM

• CT.KMS.PV.5 要求使用匯入的金鑰材料設定 AWS KMS 客戶受管金鑰 (CMK)

• CT.KMS.PV.6 要求使用源自外部金鑰存放區 (CMK) 的金鑰材料來設定 AWS KMS 客戶受管金鑰 (XKS)

• CT.LAMBDA.PV.1 需要 AWS Lambda 函數URL才能使用 AWS IAM型身分驗證

• CT.LAMBDA.PV.2 需要URL設定 AWS Lambda 函數，才能由 中的主體存取 AWS 帳戶

• CT.MULTISERVICE.PV.1： AWS 根據組織單位 AWS 區域 的 請求拒絕存取

新的偵測性控制項

• SH.ACM.2：由 管理的RSA憑證ACM應使用至少 2，048 位元的金鑰長度

• SH.AppSync.5： AWS AppSync GraphQL APIs不應使用API金鑰進行身分驗證

• SH.CloudTrail.6：確保用於存放 CloudTrail 日誌的 S3 儲存貯體不可公開存取：

• SH.DMS.9：DMS端點應該使用 SSL

• SH.DocumentDB.3：Amazon DocumentDB 手動叢集快照不應公開

• SH.DynamoDB.3：DynamoDB Accelerator (DAX) 叢集應靜態加密

• SH.EC2.23：EC2Transit Gateways 不應自動接受VPC附件請求

• SH.EKS.1：EKS叢集端點不應公開存取

• SH.ElastiCache.3： ElastiCache 複寫群組應該啟用自動容錯移轉

• SH.ElastiCache.4： ElastiCache 複寫群組應該已啟用 encryption-at-rest

• SH.ElastiCache.5： ElastiCache 複本群組應該已啟用 encryption-in-transit

• SH.ElastiCache.6舊版 Redis 的 ： ElastiCache 複本群組應該已啟用 Redis AUTH

• SH.EventBridge.3： EventBridge 自訂事件匯流排應連接以資源為基礎的政策

• SH.KMS.4應啟用 ： AWS KMS key 輪換

• SH.Lambda.3：Lambda 函數應該位於 VPC

• SH.MQ.5：ActiveMQ 代理程式應使用作用中/待命部署模式

• SH.MQ.6：RabbitMQ 代理程式應使用叢集部署模式

• SH.MSK.1：MSK叢集應在代理程式節點之間傳輸時加密

• SH.RDS.12：應為RDS叢集設定IAM身分驗證

• SH.RDS.15：應為多個可用區域設定RDS資料庫叢集

• SH.S3.17：S3 儲存貯體應使用金鑰靜態 AWS KMS 加密

• 更新的 EnableControlAPI可以設定可設定的控制項。

• 更新的 GetEnabledControlAPI顯示已啟用控制項上設定的參數。

• 新的 UpdateEnabledControlAPI可以在已啟用的控制項上變更參數。

• CreateLandingZone–此API呼叫會使用登陸區域版本和資訊清單檔案建立登陸區域。

• GetLandingZoneOperation–此API呼叫會傳回指定登陸區域操作的狀態。

• GetLandingZone–此API呼叫會傳回指定登陸區域的詳細資訊，包括版本、資訊清單檔案和狀態。

• UpdateLandingZone–此API呼叫會更新登陸區域版本或資訊清單檔案。

• ListLandingZone–此API呼叫會針對 管理帳戶中的登陸區域設定傳回一個登陸區域識別符 (ARN)。

• ResetLandingZone–此API呼叫會將登陸區域重設為最新更新中指定的參數，這可以修復偏離。如果登陸區域尚未更新，此呼叫會將登陸區域重設為建立時指定的參數。

• DeleteLandingZone–此API呼叫會停用登陸區域。

• TagResource–此API呼叫會將標籤新增至 Control Tower 中啟用的AWS控制項。

• UntagResource–此API呼叫會從 AWS Control Tower 中啟用的控制項移除標籤。

• ListTagsForResource–此API呼叫會傳回AWS在 Control Tower 中啟用之控制項的標籤。

• GetEnabledControl- API呼叫提供已啟用控制項的詳細資訊。

• 從 AWS Control Tower 控制項程式庫取得您啟用的所有控制項清單。

• 對於任何啟用的控制項，您可以取得支援控制項的區域、控制項的識別符 (ARN)、控制項的偏離狀態，以及控制項的狀態摘要的相關資訊。

新的主動控制

• [CT.ATHENA.PR.1】 需要 Amazon Athena 工作群組加密靜態 Athena 查詢結果

• [CT.ATHENA.PR.2】 要求 Amazon Athena 工作群組使用 AWS Key Management Service (KMS) 金鑰加密靜態 Athena 查詢結果

• [CT.CLOUDTRAIL.PR.4】 需要 AWS CloudTrail Lake 事件資料存放區，才能使用 AWS KMS 金鑰啟用靜態加密

• [CT.DAX.PR.2】 需要 Amazon DAX叢集才能將節點部署到至少三個可用區域

• [CT.EC2.PR.14】 需要透過 Amazon EC2啟動範本設定 Amazon EBS磁碟區，才能加密靜態資料

• [CT.EKS.PR.2】 要求使用 AWS Key Management Service (KMS) 金鑰設定 Amazon EKS叢集以進行秘密加密

• [CT.ELASTICLOADBALANCING.PR.14】 要求 Network Load Balancer 啟用跨區域負載平衡

• [CT.ELASTICLOADBALANCING.PR.15】 要求 Elastic Load Balancing v2 目標群組不明確停用跨區域負載平衡

• [CT.EMR.PR.1】 需要將 Amazon EMR(EMR) 安全組態設定為加密 Amazon S3 中的靜態資料

• [CT.EMR.PR.2】 需要設定 Amazon EMR(EMR) 安全組態，以使用 AWS KMS 金鑰加密 Amazon S3 中的靜態資料

• [CT.EMR.PR.3】 要求使用 AWS KMS 金鑰，以EBS磁碟區本機磁碟加密設定 Amazon EMR(EMR) 安全組態

• [CT.EMR.PR.4】 需要將 Amazon EMR(EMR) 安全組態設定為加密傳輸中的資料

• [CT.GLUE.PR.1】 需要 AWS Glue 任務才能擁有相關聯的安全組態

• [CT.GLUE.PR.2】 需要 AWS Glue 安全組態，才能使用 AWS KMS金鑰加密 Amazon S3 目標中的資料

• [CT.KMS.PR.2】 要求具有用於加密RSA之金鑰材料 AWS KMS 的非對稱金鑰的金鑰長度大於 2048 位元

• [CT.KMS.PR.3】 需要 AWS KMS 金鑰政策，才能擁有將 AWS KMS 授予建立限制為 AWS 服務的陳述式

• [CT.LAMBDA.PR.4】 需要 AWS Lambda layer 許可，才能授予對 AWS 組織或特定 AWS 帳戶的存取權

• [CT.LAMBDA.PR.5】 需要 AWS Lambda 函數URL才能使用 AWS IAM型身分驗證

• [CT.LAMBDA.PR.6】 需要 AWS Lambda 函數URLCORS政策來限制對特定原始伺服器的存取

• [CT.NEPTUNE.PR.4】 需要 Amazon Neptune 資料庫叢集才能啟用稽核 CloudWatch 日誌的 Amazon 日誌匯出

• [CT.NEPTUNE.PR.5】 需要 Amazon Neptune 資料庫叢集來設定大於或等於七天的備份保留期

• [CT.REDSHIFT.PR.9】 要求將 Amazon Redshift 叢集參數群組設定為使用 Secure Sockets Layer (SSL) 來加密傳輸中的資料

• [SH.Athena.1】 Athena 工作群組應靜態加密

• [SH.Neptune.1】 Neptune 資料庫叢集應靜態加密

• [SH.Neptune.2】 Neptune 資料庫叢集應將稽核日誌發佈至 CloudWatch 日誌

• [SH.Neptune.3】 Neptune 資料庫叢集快照不應公開

• [SH.Neptune.4】 Neptune 資料庫叢集應該已啟用刪除保護

• [SH.Neptune.5】 Neptune 資料庫叢集應該已啟用自動備份

• [SH.Neptune.6】 Neptune 資料庫叢集快照應靜態加密

• [SH.Neptune.7】 Neptune 資料庫叢集應該啟用IAM資料庫身分驗證

• [SH.Neptune.8】 Neptune 資料庫叢集應設定為將標籤複製到快照

• [SH.RDS.27】 RDS 資料庫叢集應靜態加密

以下是新控制項的完整清單：

• 【CTAPPSYNC.PR.1】 需要 AWS AppSync GraphQL API 才能啟用記錄

• 【CTCLOUDWATCH.PR.1】 需要 Amazon CloudWatch 警示才能設定警示狀態的動作

• 【CTCLOUDWATCH.PR.2】 要求保留 Amazon CloudWatch 日誌群組至少一年

• 【CTCLOUDWATCH.PR.3】 要求使用 金鑰靜態加密 Amazon CloudWatch AWS KMS日誌群組

• 【CTCLOUDWATCH.PR.4】 需要啟用 Amazon CloudWatch 警示動作

• 【CTDOCUMENTDB.PR.1】 需要靜態加密 Amazon DocumentDB 叢集

• 【CTDOCUMENTDB.PR.2】 需要 Amazon DocumentDB 叢集才能啟用自動備份

• 【CTDYNAMODB.PR.2】 要求使用 AWS KMS 金鑰對 Amazon DynamoDB 資料表進行靜態加密

• 【CTEC2.PR.13】 需要啟用詳細監控的 Amazon EC2執行個體

• 【CTEKS.PR.1】 需要將 Amazon EKS叢集設定為停用叢集 Kubernetes API 伺服器端點的公有存取

• 【CTELASTICACHE.PR.1】 需要 Amazon ElastiCache for Redis 叢集才能啟用自動備份

• 【CTELASTICACHE.PR.2】 需要 Amazon ElastiCache for Redis 叢集才能啟用自動次要版本升級

• 【CTELASTICACHE.PR.3】 需要 Amazon ElastiCache for Redis 複寫群組才能啟用自動容錯移轉

• 【CTELASTICACHE.PR.4】 要求 Amazon ElastiCache 複寫群組啟用靜態加密

• 【CTELASTICACHE.PR.5】 需要 Amazon ElastiCache for Redis 複寫群組才能啟用傳輸中的加密

• 【CTELASTICACHE.PR.6】 需要 Amazon ElastiCache 快取叢集才能使用自訂子網路群組

• 【CTELASTICACHE.PR.7】 需要較早 Redis 版本的 Amazon ElastiCache 複寫群組，才能進行 Redis AUTH身分驗證

• 【CTELASTICBEANSTALK.PR.3】 需要 AWS Elastic Beanstalk 環境才能擁有記錄組態

• 【CTLAMBDA.PR.3】 要求函數 AWS Lambda 位於客戶管理的 Amazon Virtual Private Cloud (VPC)

• 【CTNEPTUNE.PR.1】 需要 Amazon Neptune 資料庫叢集進行資料庫身分驗證 AWS Identity and Access Management (IAM)

• 【CTNEPTUNE.PR.2】 需要 Amazon Neptune 資料庫叢集才能啟用刪除保護

• 【CTNEPTUNE.PR.3】 需要 Amazon Neptune 資料庫叢集才能啟用儲存加密

• 【CTREDSHIFT.PR.8】 需要加密 Amazon Redshift 叢集

• 【CT.S3.PR.9】 要求 Amazon S3 儲存貯體已啟用 S3 物件鎖定

• 【CT.S3.PR.10】 要求 Amazon S3 儲存貯體使用 AWS KMS 金鑰設定伺服器端加密

• 【CT.S3.PR.11】 需要 Amazon S3 儲存貯體才能啟用版本控制

• 【CTSTEPFUNCTIONS.PR.1】 要求 AWS Step Functions 狀態機器啟用記錄

• 【CTSTEPFUNCTIONS.PR.2】 需要 AWS Step Functions 狀態機器才能啟用 AWS X-Ray 追蹤

• 【SH.S3.4】 S3 儲存貯體應該啟用伺服器端加密

• 【CT.S3.PR.7】 需要 Amazon S3 儲存貯體才能設定伺服器端加密

全域服務並APIs新增

• AWS Billing and Cost Management (billing:*)

• AWS CloudTrail (cloudtrail:LookupEvents) 以允許成員帳戶中全域事件的可見性。

• AWS 合併帳單 (consolidatedbilling:*)

• AWS 管理主控台行動應用程式 (consoleapp:*)

• AWS 免費方案 (freetier:*)

• AWS Invoicing (invoicing:*)

• AWS IQ (iq:*)

• AWS 使用者通知 (notifications:*)

• AWS 使用者通知聯絡人 (notifications-contacts:*)

• Amazon Payments (payments:*)

• AWS 稅務設定 (tax:*)

全域服務和 APIs 已移除

• 已移除，s3:GetAccountPublic因為它不是有效的動作。

• 已移除，s3:PutAccountPublic因為它不是有效的動作。

• 【SH.Account.1】 應提供 的安全聯絡資訊 AWS 帳戶

• 【SH.APIGateway.8】 API 閘道路由應指定授權類型

• 【SH.APIGateway.9】 應為API閘道 V2 階段設定存取記錄

• 【SH.CodeBuild.3】 CodeBuild S3 日誌應該加密

• 【SH.EC2.25】 EC2啟動範本不應IPs將公有指派給網路介面

• 【SH.ELB.1】 Application Load Balancer 應設定為將所有HTTP請求重新導向至 HTTPS

• 【SH.Redshift.10】 應靜態加密 Redshift 叢集

• 【SH.SageMaker.2】 SageMaker AI 筆記本執行個體應該在自訂 VPC

• 【SH.SageMaker.3】 使用者不應擁有 SageMaker AI 筆記本執行個體的根存取權

• 【SH.WAF.10】 WAFV2 Web ACL應該至少有一個規則或規則群組

• 您可以接受預設值，並允許 AWS Control Tower 為您設定和管理 AWS IAM Identity Center。

• 您可以選擇自行管理 AWS IAM Identity Center，以反映您的特定業務需求。

• 如有需要，您可以透過 IAM Identity Center 連接第三方身分提供者，以選擇性地帶來並自我管理。如果您的法規環境要求您使用特定提供者，或者如果您在無法使用 Identity Center AWS 區域 的情況下 AWS IAM操作 ，則您應該使用身分提供者選擇性。

Amazon OpenSearch Service

• 【CTOPENSEARCH.PR.1】 需要 Elasticsearch 網域來加密靜態資料

• 【CTOPENSEARCH.PR.2】 需要在使用者指定的 Amazon 中建立 Elasticsearch 網域 VPC

• 【CTOPENSEARCH.PR.3】 需要 Elasticsearch 網域來加密節點之間傳送的資料

• 【CTOPENSEARCH.PR.4】 需要 Elasticsearch 網域將錯誤日誌傳送至 Amazon CloudWatch Logs

• 【CTOPENSEARCH.PR.5】 需要 Elasticsearch 網域將稽核日誌傳送至 Amazon CloudWatch Logs

• 【CTOPENSEARCH.PR.6】 需要 Elasticsearch 網域才能具備區域意識和至少三個資料節點

• 【CTOPENSEARCH.PR.7】 需要 Elasticsearch 網域，才能擁有至少三個專用主節點

• 【CTOPENSEARCH.PR.8】 需要 Elasticsearch Service 網域才能使用 TLSv1.2

• 【CTOPENSEARCH.PR.9】 需要 Amazon OpenSearch Service 網域來加密靜態資料

• 【CTOPENSEARCH.PR.10】 需要在使用者指定的 Amazon 中建立 Amazon OpenSearch Service 網域 VPC

• 【CTOPENSEARCH.PR.11】 需要 Amazon OpenSearch Service 網域來加密節點之間傳送的資料

• 【CTOPENSEARCH.PR.12】 要求 Amazon OpenSearch Service 網域將錯誤日誌傳送至 Amazon CloudWatch Logs

• 【CTOPENSEARCH.PR.13】 要求 Amazon OpenSearch Service 網域將稽核日誌傳送至 Amazon CloudWatch Logs

• 【CTOPENSEARCH.PR.14】 需要 Amazon OpenSearch Service 網域才能具備區域意識和至少三個資料節點

• 【CTOPENSEARCH.PR.15】 要求 Amazon OpenSearch Service 網域使用精細存取控制

• 【CTOPENSEARCH.PR.16】 需要 Amazon OpenSearch Service 網域才能使用 TLSv1.2

Amazon EC2 Auto Scaling

• 【CTAUTOSCALING.PR.1】 需要 Amazon EC2 Auto Scaling 群組具有多個可用區域

• 【CTAUTOSCALING.PR.2】 需要 Amazon EC2 Auto Scaling 群組啟動組態，才能設定 的 Amazon EC2執行個體 IMDSv2

• 【CTAUTOSCALING.PR.3】 需要 Amazon EC2 Auto Scaling 啟動組態，才能有單躍點中繼資料回應限制

• 【CTAUTOSCALING.PR.4】 需要與 Amazon Elastic Load Balancing (ELB) 相關聯的 Amazon EC2 Auto Scaling 群組，才能啟用ELB運作狀態檢查

• 【CTAUTOSCALING.PR.5】 要求 Amazon EC2 Auto Scaling 群組啟動組態沒有具有公有 IP 地址的 Amazon EC2執行個體

• 【CTAUTOSCALING.PR.6】 要求任何 Amazon EC2 Auto Scaling 群組使用多個執行個體類型

• 【CTAUTOSCALING.PR.8】 要求 Amazon EC2 Auto Scaling 群組設定EC2啟動範本

Amazon SageMaker AI

• 【CTSAGEMAKER.PR.1】 需要 Amazon SageMaker AI 筆記本執行個體以防止直接網際網路存取

• 【CTSAGEMAKER.PR.2】 需要在自訂 Amazon 中部署 Amazon SageMaker AI 筆記本執行個體 VPC

• 【CTSAGEMAKER.PR.3】 要求 Amazon SageMaker AI 筆記本執行個體不允許根存取

Amazon API Gateway

• 【CTAPIGATEWAY.PR.5】 需要 Amazon API Gateway V2 Websocket 和HTTP路由來指定授權類型

Amazon Relational Database Service (RDS)

• 【CTRDS.PR.25】 需要 Amazon RDS 資料庫叢集才能設定記錄

• Amazon CloudWatch Logs 使用者指南中的什麼是 Amazon Logs？ CloudWatch

• AWS Step Functions 開發人員指南中的什麼是 AWS Step Functions？

• 在此版本中，AWSControl Tower 會停用存取日誌儲存貯體的不必要存取日誌，這是 Amazon S3 儲存貯體，其中存取日誌會存放在日誌封存帳戶中，同時繼續啟用 S3 儲存貯體的伺服器存取日誌。此版本也包含區域拒絕控制項的更新，允許針對 全域服務執行其他動作，例如 Support Plans 和 AWS Artifact。

• 停用 AWS Control Tower 存取記錄儲存貯體的伺服器存取記錄，會導致 Security Hub 為 Log Archive 帳戶的存取記錄儲存貯體建立問題清單，因為 AWS Security Hub 規則，所以應該啟用 【S3.9】 S3 儲存貯體伺服器存取記錄。為了與 Security Hub 保持一致，我們建議您隱藏此特定調查結果，如此規則的 Security Hub 描述中所述。如需詳細資訊，請參閱隱藏問題清單的相關資訊。

• Log Archive 帳戶中 （一般） 記錄儲存貯體的存取記錄在 3.1 版中保持不變。為了符合最佳實務，該儲存貯體的存取事件會記錄為存取記錄儲存貯體中的日誌項目。如需存取記錄的詳細資訊，請參閱《Amazon S3 文件》中的使用伺服器存取記錄來記錄請求。

• 我們已更新區域拒絕控制。此更新允許更多全域服務的動作。如需此 的詳細資訊SCP，請參閱AWS 根據請求拒絕對 的存取 AWS 區域，以及增強資料駐留保護的控制項。

  已新增全域服務：

  • AWS Account Management (account:*)

  • AWS 啟用 (activate:*)

  • AWS Artifact (artifact:*)

  • AWS Billing Conductor (billingconductor:*)

  • AWS Compute Optimizer (compute-optimizer:*)

  • AWS Data Pipeline (datapipeline:GetAccountLimits)

  • AWS Device Farm(devicefarm:*)

  • AWS Marketplace (discovery-marketplace:*)

  • Amazon ECR (ecr-public:*)

  • AWS License Manager (license-manager:ListReceivedLicenses)

  • AWS Lightsail (lightsail:Get*)

  • AWS 資源總管 (resource-explorer-2:*)

  • Amazon S3 (s3:CreateMultiRegionAccessPoint、s3:GetBucketPolicyStatus、s3:PutMultiRegionAccessPointPolicy)

  • AWS Savings Plans (savingsplans:*)

  • IAM 身分中心 (sso:*)

  • AWS Support App (supportapp:*)

  • Support 計劃 (supportplans:*)

  • AWS 永續性 (sustainability:*)

  • AWS Resource Groups Tagging API (tag:GetResources)

  • AWS Marketplace Vendor Insights (vendor-insights:ListEntitledSecurityProfiles)