二零二四年一月至今 - AWS Control Tower
AWSControl Tower 每個 OU 最多可支援 1000 個帳戶AWSControl Tower 增加了 landing zone 版本選擇API可用描述性控制,擴充對區域和控制項的存取AWSControl Tower 支持AFT和選擇加入區域的 CFCTAWSControl Tower 增加了 ListLandingZoneOperations APIAWSControl Tower 支援多達 100 個並行控制作業AWSControl Tower 可用於 AWS 加拿大西部 (卡加利)AWSControl Tower 支援自助配額調整AWSControl Tower 發布控制參考指南AWSControl Tower 更新並重新命名兩個主動控制項已淘汰的控制項不再可用AWSControl Tower 支援標記EnabledControl資源 AWS CloudFormationAWSControl Tower 支援使用基準APIs進行 OU 註冊和設定

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

二零二四年一月至今

自 2024 年 1 月起,AWSControl Tower 發布了以下更新:

AWSControl Tower 每個 OU 最多可支援 1000 個帳戶

2024年8月30日

AWSControl Tower landing zone 無需更新。)

AWSControl Tower 已將每個組織單位 (OU) 允許的最大帳號數量從 300 個增加到 1000 個。現在,您最多可以註冊 1000 AWS 帳戶 一次進入 AWS Control Tower 管理,而不需要變更您的 OU 結構。OU 註冊和重新註冊程序也更有效率,所需的時間大幅減少將 AWS Control Tower 基準資源部署到您的帳戶中。

由於數量的限制,某些帳戶限制仍然適用 AWS CloudFormation 堆棧集可用。具體而言,您可以在 OU 中註冊的帳戶數目上限可能會有所不同,這取決於您受控管的區域數目。要了解更多信息,請訪問基於基礎的限制 AWS 《AWSControl Tower 使用者指南》中的服務。如需完整清單 AWS 區域 如果有「AWSControl Tower」,請參閱 AWS 區域 表

AWSControl Tower 增加了 landing zone 版本選擇

2024年8月15日

AWSControl Tower landing zone 無需更新。)

如果您執行的是 3.1 及以上版本的 AWS Control Tower landing zone,您可以更新或修復目前版本的 landing zone,或者您也可以升級至您選擇的版本。之前,任何 landing zone 域更新或修復都需要升級至最新的 landing zone 版本。

使用 landing zone 版本選擇,您可以更靈活地規劃版本升級,同時評估環境的潛在變更。您無需選擇修復漂移以保持合規性,更新 landing zone 配置或升級到最新的 landing zone 版本。如果您使用的是 3.1 或更新版本的 landing zone,您可以在更新或重設 landing zone 配置時選擇保持使用最新版本,或升級到較新的版本。

API可用描述性控制,擴充對區域和控制項的存取

2024年8月6日

AWSControl Tower landing zone 無需更新。)

AWSControl Tower 新增了兩項新API作業,可協助您以程式設計方式尋找可用控制項的詳細資訊。此功能可讓您更輕鬆地透過自動化部署控制項。

  • GetControlAPI傳回有關已啟用控制項的詳細資訊,包括目標識別碼、控制項資訊摘要、目標區域清單和漂移狀態。

  • ListControlsAPI傳回 Con AWS trol Tower 控制項程式庫中所有可用控制項的分頁清單。

這APIs些都是通過 AWS 控制目錄命名空間。所以此 AWS 控制目錄是 Con AWS trol Tower 的一部分,其中包括可幫助您管理其他控制項 AWS 服務一般,不只是 AWS Control Tower。此擴充型目錄整合了數個控制項 AWS 服務,以便您可以查看 AWS 根據一些常見使用案例進行控制,例如:安全性、成本、耐用性和操作。若要取得更多資訊,請參閱〈控制目錄API參考〉。

擴充區域可用性

從此版本開始,您可以將 AWS Control Tower 管理擴展到 AWS 區域 其中一些(已經)啟用的控件不可用。此外,您現在可以在更多區域中啟用某些控制項,即使所有受控制區域都不支援此控制項。

以前,AWSControl Tower 阻止您將治理擴展到區域或啟用控制項,但它並未在所有已啟用的控制項和受控制區域之間提供一致性。在此版本中,您將擁有更大的彈性,並有更多責任確保您的組態適用於所有已啟用的控制項與所有控管區域。Con AWStrol Tower 控制APIs控制目錄APIs可以幫助您獲取有關 AWS 您受到已啟用控制項保護的區域,以及可部署其他控制項的區域。Control Tower 主控台也提供區域和AWS控制資訊。

AWSControl Tower 支持AFT和選擇加入區域的 CFCT

2024年7月18日

AWSControl Tower landing zone 無需更新。)

如今,AWSControl Tower 自訂框架 Terraform (AFT) 的 Account Factory 和 AWS Control Tower (CFCT) 的自訂項目已額外提供五項 AWS 區域: 亞太區域 (海德拉巴、雅加達和大阪)、以色列 (特拉維夫) 和中東 (UAE)。

Terraform (AFT) 的 Account Factory 設定 Terraform 管道,以協助您在 Control Tower 中佈建和自訂帳戶。AWSAWSControl Tower (CFCT) 的自訂功能可協助您自訂 AWS Control Tower 的 landing zone 和帳號 AWS CloudFormation 範本和服務控制原則 (SCPs)。

若要進一步了解,請造訪 Control Tower 使用者指南中的 Terraform Account Factory 和 AWS Control Tower 自訂項目頁面。AWS您也可以查看 AFT Github 頁面和 CFCT Github 頁面上的發行說明。AFT和 CFCT 在所有支持 AWS 區域,但有一些例外。如需詳細資訊,請參閱區域限制

AWSControl Tower 增加了 ListLandingZoneOperations API

2024年6月26日

AWSControl Tower landing zone 無需更新。)

AWSControl Tower 新增了可API讓您擷取最近套用至您 landing zone 的作業清單,以及目前正在進行的作業。最多API可以返回 90 天的 landing zone 運營歷史及其標識符。如需使用範例,請參閱檢視 landing zone 作業的狀態

若要取得有關的更多資訊 ListLandingZoneOperationsAPI,請參閱《AWSControl Tower API 參考ListLandingZoneOperations中的〈〉。

AWSControl Tower 支援多達 100 個並行控制作業

2024年5月20日

AWSControl Tower landing zone 無需更新。)

AWSControl Tower 現在支持具有更高並發性的多個控制操作。您可以同時從主 Con AWS trol Tower 或搭配多個組織單位 (OUs) 提交最多 100 個控制中心控制作業APIs。最多可同時執行十 (10) 個作業,而其他作業則會排入佇列。通過這種方式,您可以跨多個設置更標準化的配置 AWS 帳戶,無重複控制操作的操作負擔。

若要監視進行中和佇列控制作業的狀態,您可以瀏覽至 Control Tower 主AWS控台中新的 [最近的作業] 頁面,或者呼叫新ListControlOperationsAPI的。

Con AWS trol Tower 庫包含 500 多個控件,這些控件映射到不同的控制目標,框架和服務。對於特定控制目標 (例如靜態加密資料),您可以透過單一控制作業啟用多個控制項,以協助您達成目標。此功能有助於加速開發、更快地採用最佳實務控制項,並減少營運複雜性。

AWSControl Tower 可用於 AWS 加拿大西部 (卡加利)

2024年5月3日

AWSControl Tower landing zone 無需更新。)

從今天開始,您可以在加拿大西部(卡爾加里)地區激活 AWS Control Tower。如果您已經部署了 AWS Control Tower,並且想要將其治理功能擴展到此區域,則可以使用 AWS Control Tower 的 landing zone 進行操作APIs。或者從主機前往 Con AWS trol Tower 儀表板的「設定」頁面,選取您的區域,然後更新您的 landing zone 域。

加拿大西部 (卡加利) 地區不支援 AWS Service Catalog。 因此,AWSControl Tower 的某些功能不同。最顯著的功能變化是 Account Factory 不可用。如果您選擇加拿大西部 (卡加立) 作為您的本地區域,則更新帳戶、設定帳戶自動化,以及任何其他涉及 Service Catalog 的程序會與其他區域不同。

佈建帳戶

若要在加拿大西部 (卡加利) 區域建立和佈建新帳戶,我們建議您在 AWS Control Tower 以外建立帳戶,然後將其註冊到已註冊的 OU。如需詳細資訊,請參閱註冊現有帳戶註冊帳戶的步驟

加拿大西部 (卡加利) 地區不提供 Service Catalog APIs。在「依 Service Catalog AWS APIs Control Tower 自動化帳戶佈建」中顯示的範例指令碼無法運作。

由於 Control Tower 缺少其他基礎依賴關係,加拿大西部(卡加里AFT)中不提供 Account Factory 自定義(),Terraform()的 Account Factory()和 AWS Control Tower(CFCT)的自定義項。AFC AWS如果您將治理擴展到加拿大西部 (卡加利) 區域,只要您的本地區域提供 Service Catalog,您就可以繼續在 AWS Control Tower 支援的所有區域中管理AFC藍圖。

控制

主動式控制與控制 AWS Security Hub 服務管理標準:加拿大西部 (卡加利) 地區不提供 AWS Control To wer。加拿大西部(卡爾加里)不提供預防控制CT.CLOUDFORMATION.PR.1,因為僅在激活基於鉤子的主動控件時才需要此控制。基於某些偵探控制 AWS Config 不可用。如需詳細資訊,請參閱 控制限制

身份提供者

IAM加拿大西部 (卡加利) 不提供身分識別中心。最佳做法建議是在提供IAM身分識別中心的區域中設定您的登陸區域。或者,如果您在加拿大西部 (卡加利) 使用外部身分提供者,則可以選擇自行管理帳戶存取設定。

無法使用加拿大西部 (卡加利) 區域的 Service Catalog 對 AWS Control Tower 支援的其他區域沒有任何影響。這些差異僅適用於您的家鄉地區是加拿大西部(卡爾加里)。

如需提供 AWS Control Tower 的完整區域清單,請參閱 AWS 區域表

AWSControl Tower 支援自助配額調整

2024年4月25日

AWSControl Tower landing zone 無需更新。)

AWSControl Tower 現在支援透過「Service Quotas」主控台調整自助配額。如需詳細資訊,請參閱請求提高配額

AWSControl Tower 發布控制參考指南

2024年4月21 日

AWSControl Tower landing zone 無需更新。)

AWSControl Tower 發行了《控制項參考指南》,這是一份新文件,您可以在其中找到有關 AWS Control Tower 環境特定控制項的詳細資訊。此材料先前已包含在「AWSControl Tower 使用者指南」中。控制項參考指南涵蓋了展開格式的控制項。如需詳細資訊,請參閱《Con AWStrol Tower 控制項參考指南》

AWSControl Tower 更新並重新命名兩個主動控制項

2024年3月26日

AWSControl Tower landing zone 無需更新。)

AWSControl Tower 已重新命名兩個主動式控制項,以配合 Amazon OpenSearch 服務的更新。

我們更新了這兩個控制項的控制名稱和成品,以與 Amazon OpenSearch 服務的最新版本保持一致,該服務現在在其網域端點安全性的傳輸安全性選項中支援傳輸層安全性 (TLS) 1.3 版

若要為這些控制項新增 TLSv1 .3 的支援,我們已更新控制項的工件和名稱,以反映控制項的意圖。他們現在會評估服務網域的最低TLS版本。若要在您的環境中進行此更新,您必須停用用控制項,才能部署最新的成品。

此變更不會影響其他主動控制項。我們建議您檢閱這些控制項,以確保這些控制項符合您的控制目標。

如有問題或疑慮,請聯繫 AWS Support

已淘汰的控制項不再可用

2024年3月12日

AWSControl Tower landing zone 無需更新。)

AWSControl Tower 已經棄用了一些控件。這些控制項已不再可用。

  • CT.ATHENA.PR.1

  • CT.CODEBUILD.PR.4

  • CT.AUTOSCALING.PR.3

  • SH.Athena.1

  • SH.Codebuild.5

  • SH.AutoScaling.4

  • SH.SNS.1

  • SH.SNS.2

AWSControl Tower 支援標記EnabledControl資源 AWS CloudFormation

2024年2月22 日

AWSControl Tower landing zone 無需更新。)

此 AWS Control Tower 發行版本更新了EnabledControl資源的行為,以便更好地與可配置的控制項保持一致,並透過自動化改善管理 AWS Control Tower 環境的能力。在此版本中,您可以透過以下方式將標籤新增至可設定的EnabledControl資源 AWS CloudFormation 範本。之前,您APIs只能透過 Con AWS trol Tower 主控台新增標籤。

Con AWS trol Tower GetEnabledControlListTagsforResourceAPI操作會隨此版本更新,因為它們依賴於資EnabledControl源功能。EnableControl

如需詳細EnabledControl資訊,請參閱「AWSControl Tower」和「標記EnabledControl中的 AWS CloudFormation 使用者指南

AWSControl Tower 支援使用基準APIs進行 OU 註冊和設定

2024年2月14日

AWSControl Tower landing zone 無需更新。)

這些APIs支援透過EnableBaseline呼叫進行程式設計 OU 註冊。當您在 OU 上啟用基準時,OU 內的成員帳戶就會註冊到 AWS Control Tower 管。某些警告可能適用。例如,透過 Con AWS trol Tower 主控台登錄 OU 可啟用選擇性控制項以及強制性控制項。撥打電話時APIs,您可能需要完成額外的步驟,以便啟用可選控制項。

AWS控制中心基準體現了 AWS Control Tower 管理 OU 和成員帳戶的最佳做法。例如,當您在 OU 上啟用基準時,OU 內的成員帳戶會收到已定義的資源群組,包括 AWS CloudTrail, AWS Config、IAM身分識別中心和必要 AWS IAM角色。

特定基準線與特定 AWS Control Tower landing zone 版本相容。AWS當您變更 landing zone 設定時,Control Tower 可以將最新的相容基準套用至您的 landing zone。如需詳細資訊,請參閱OU 基準和 landing zone 版本的相容性

此版本包括四個基本 基準線的類型

  • AWSControlTowerBaseline

  • AuditBaseline

  • LogArchiveBaseline

  • IdentityCenterBaseline

使用新的APIs和已定義的基準,您可以註冊OUs並自動化您的 OU 佈建工作流程。APIs還可以管理OUs已經受 AWS Control Tower 管理的控制塔管理,因此您可以在 landing zone 更新OUs後重新註冊。包APIs括支持 AWS CloudFormation EnabledBaseline資源,它允許您管理您的基礎OUs設施作為代碼(IaC)。

基準線 APIs

  • EnableBaselineUpdateEnabledBaselineDisableBaseline:對 OU 的基準採取動作。

  • GetEnabledBaselineListEnabledBaselines:探索已啟用基準的組態。

  • GetBaselineOperation:檢視特定基準線作業的狀態。

  • ResetEnabledBaseline:使用已啟用的基準線 (包括巢狀OUs和強制控制偏移) 修復 OU 上的資源漂移。還修復了區 landing-zone-level 域拒絕控制的漂移

  • GetBaselineListBaselines:探索 AWS Control Tower 基準線的內容。

若要深入瞭解這些資訊APIs,請參閱《AWS Control Tower 使用者指南》中的「基準線」和「API參考」。新的APIs可用在 AWS 區域 AWSControl Tower 可供使用的地方,但 GovCloud (美國) 區域除外。對於列表 AWS 區域 如果有「AWSControl Tower」,請參閱 AWS 區域 表格。