2024 年 1 月至 12 月 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

2024 年 1 月至 12 月

2024 年,AWS Control Tower 發佈了下列更新:

AWS Control Tower CfCT 支援 GitHub 和 RCPs

2024 年 12 月 9 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援 GitHub TM做為第三方版本控制系統 (VCS) 的選項,以及適用於 AWS Control Tower (CFCT) 的自訂組態來源。如需詳細資訊,請參閱 將 GitHub 設定為組態來源

AWS Control Tower 現在支援 AWS Control Tower (CFCT) 自訂的資源控制政策 (RCPs)。如需詳細資訊,請參閱CfCT 自訂指南

AWS Control Tower 使用宣告政策新增預防性控制

2024 年 12 月 1 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援宣告政策從中實作的預防性控制 AWS Organizations。宣告政策會直接套用在服務層級。此方法可確保強制執行指定的組態,即使服務引進了新功能或 APIs。如需詳細資訊,請參閱使用宣告政策實作的控制項

AWS Control Tower 新增規範備份計劃選項

2024 年 11 月 25 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援規範性 AWS Backup 計劃,可讓您將資料備份和復原工作流程直接整合到您的登陸區域。備份計畫包含預先定義的規則,例如保留天數、備份頻率,以及備份發生的時段。這些規則定義如何在所有受管成員帳戶中備份 AWS 您的資源。當您將備份計劃套用到登陸區域時,AWS Control Tower 會確保所有成員帳戶的計劃一致,並符合 AWS Backup 的最佳實務建議。

如需詳細資訊,請參閱 AWS Backup and AWS Control Tower

AWS Control Tower 整合 AWS Config 控制項

2024 年 11 月 21 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 已整合選取的 AWS Config 控制項,因此可以由 AWS Control Tower 檢視和管理。

如需詳細資訊,請參閱 AWS Control Tower 中可用的整合式 AWS Config 控制項

AWS Control Tower 改善勾點管理並新增主動控制區域

2024 年 11 月 20 日

(AWS Control Tower 登陸區域不需要更新。)

在此版本中,為主動控制部署的勾點由 AWS Control Tower 管理。此外,加拿大西部 (卡加利) 區域和亞太區域 (馬來西亞) 區域也提供主動控制。

先前,AWS Control Tower 倚賴 AWS CloudFormation 勾點提供主動控制功能。因此,部署的勾點受到保護,因此只有 AWS Control Tower 可以修改它們。在此版本中,主動控制所部署的勾點由 AWS Control Tower 服務管理。您可以編寫自己的勾點,同時仍可受益於 AWS Control Tower 主動控制。

如果您目前部署主動控制,您可以移至此改進的勾點功能。若要這樣做,請呼叫 ResetEnabledControl API 或從主控台使用重設功能更新控制項,以重設每個 OU 上作用中的主動控制項。當您執行此任務時,AWS Control Tower 會將主動控制勾點移至新功能,其中勾點由 AWS Control Tower 直接管理。

此外,如果您沒有將其用於任何其他用途,您可以在重設主動控制之後移除 CT.CLOUDFORMATION.PR.1 控制。需要該控制來保護勾 AWS CloudFormation 點。

AWS Control Tower 啟動受管資源控制政策

2024 年 11 月 15 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 提供一種新的預防性控制,使用資源控制政策 (RCPs實作。這些控制項可協助您在 AWS Control Tower 環境中建立資料周邊,以保護資源免於意外存取。

例如,您可以為 Amazon S3、 AWS Security Token Service、Amazon SQS 和服務啟用以 RCP AWS Key Management Service為基礎的控制項 AWS Secrets Manager 。以 RCP 為基礎的控制項可以強制執行需求,例如「要求組織的 Amazon S3 資源只能由屬於組織的 IAM 主體存取,或由 AWS 服務存取」,無論個別儲存貯體政策授予的許可為何。

您可以設定新的 RCP 型控制項和某些現有的 SCP 型預防性控制項,以指定主體和資源的 AWS IAM 豁免。如果您不希望委託人或資源受控制項的控制,您可以設定豁免。

透過在 AWS Control Tower 中結合預防性、主動性和偵測性控制,您可以根據最佳實務,例如AWS 基礎安全最佳實務標準,來監控多帳戶 AWS 環境是否安全和管理。

這些新的 RCP 型預防性控制可在 AWS Control Tower 的 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的完整清單,請參閱 AWS 區域 資料表

AWS Control Tower 報告控制政策偏離

2024 年 11 月 15 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在會針對使用資源控制政策 (RCPs) 實作的控制項,以及屬於 Security Hub Service 受管標準 AWS Control Tower 的控制項,報告控制政策偏離。可以透過新的 ResetEnabledControl API 來修復這種類型的偏離。如需詳細資訊,請參閱控管偏離的類型

新的 ResetEnabledControl API

2024 年 11 月 14 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 宣布新的 API,協助您以程式設計方式管理控制偏離。您可以修復控制項漂移,並將控制項重設為其預期的組態。ResetEnabledControl API 可與選用的 AWS Control Tower 控制項搭配使用,包括強烈建議的控制項和選擇性控制項。

控制例外狀況
  • 無法使用此 API 重設以服務控制政策 (SCPs) 實作的控制項。如需詳細資訊,請參閱ResetEnabledControl

  • 無法重設強制性控制項,因為它們會保護 AWS Control Tower 資源。

  • 必須透過主控台重設登陸區域的區域拒絕控制。

當 AWS Control Tower 控制在 AWS Control Tower 外部修改時,就會發生控制偏離,例如從 AWS Organizations 主控台。解決偏離有助於確保您符合控管要求。

控制目錄更新 GetControl API

2024 年 11 月 8 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援更新的 GetControl API,其中包含兩個新欄位:所有控制項的Implementation類型,以及可設定Parameters的特定控制項。

GetControl API 是 AWS Control Tower controlcatalog命名空間的一部分。

如需詳細資訊,請參閱 Control Catalog GetControl API Reference 中的 API。

此版本包含 AWS Control Tower 主控台中顯示的相關變更。
  • 所有現有 AWS Security Hub 控制項的Implementation參數值都會從 AWS Config 規則變更為 AWS Security Hub。修改對應的主控台說明面板以反映此變更。

  • 所有現有的勾點控制項的Implementation參數值都會從 AWS CloudFormation 保護規則變更為 AWS CloudFormation 勾點。修改對應的主控台說明面板以反映此變更。

AWS Control Tower AFT 支援 GitLab

2024 年 10 月 23 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援 GitLab TM和 GitLab 自我管理作為第三方版本控制系統 (VCS) 的選項,以及 Account Factory for Terraform (AFT) 的組態來源。

AWS Control Tower 適用於 AWS 亞太區域 (馬來西亞)

2024 年 10 月 21 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 可在 AWS 亞太區域 (馬來西亞) 區域使用。

如需 AWS Control Tower 可用區域的完整清單,請參閱AWS 區域表

AWS Control Tower 每個 OU 最多支援 1000 個帳戶

2024 年 8 月 30 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 已將每個組織單位 (OU) 允許的帳戶數目上限從 300 個增加到 1000 個。現在,您最多可以一次註冊 1000 AWS 帳戶 個 AWS Control Tower 管理,而無需變更您的 OU 結構。OU 註冊和重新註冊程序也更有效率,因此將 AWS Control Tower 基準資源部署到您的帳戶所需的時間大幅減少。

由於可用堆疊集的數量 AWS CloudFormation 限制,某些帳戶限制仍然適用。具體而言,您可以註冊到 OU 的帳戶數量上限可能會有所不同,這取決於您在控管下擁有的區域數量。若要進一步了解,請參閱《AWS Control Tower 使用者指南》中的以基礎 AWS 服務為基礎的限制。如需 AWS Control Tower 可用 AWS 區域 位置的完整清單,請參閱 AWS 區域 資料表

AWS Control Tower 新增登陸區域版本選擇

2024 年 8 月 15 日

(AWS Control Tower 登陸區域不需要更新。)

如果您執行的是 AWS Control Tower 登陸區域 3.1 版及更高版本,則可以更新或修復目前版本上的登陸區域,也可以升級到您選擇的版本。先前,任何登陸區域更新或修復都需要升級至最新的登陸區域版本。

透過選擇登陸區域版本,您可以在評估環境的潛在變更時更靈活地規劃版本升級。您不需要選擇修復偏離以保持合規、更新您的登陸區域組態,或升級至最新的登陸區域版本。如果您執行的是登陸區域 3.1 版或更新版本,您可以選擇在更新或重設登陸區域組態時,保持目前版本,或升級至較新的版本。

可用的描述性控制 API,擴展對區域和控制項的存取

2024 年 8 月 6 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 新增了兩項新的 API 操作,可協助您以程式設計方式找到可用控制項的詳細資訊。此功能可讓您更輕鬆地透過自動化部署控制項。

  • GetControl API 會傳回已啟用控制項的詳細資訊,包括目標識別符、控制項資訊摘要、目標區域清單,以及偏離狀態。

  • ListControls API 會傳回 AWS Control Tower 控制項程式庫中所有可用控制項的分頁清單。

這些 APIs 可透過 AWS Control Catalog 命名空間來存取。 AWS Control Catalog 是 AWS Control Tower 的一部分,其中包含可協助您管理其他服務的控制項 AWS ,而不只是 AWS Control Tower。此擴充型錄整合了來自數個 AWS 服務的控制項,因此您可以根據一些常見的使用案例來檢視 AWS 控制項,例如:安全性、成本、耐用性和操作。如需詳細資訊,請參閱 Control Catalog API 參考

擴充區域可用性

從此版本開始,您可以將 AWS Control Tower 管控擴展到 AWS 區域 某些已啟用 (已) 的控制項無法使用的地方。此外,您現在可以在更多區域中啟用特定控制項,即使您的所有受管區域都不支援該控制項。

先前,當 AWS Control Tower 未在所有已啟用的控制項和受管區域之間提供一致性時,AWS Control Tower 會阻止您將管控擴展到區域或啟用控制。在此版本中,您擁有更多彈性,以及更多責任,以確保您的組態對所有已啟用的控制項和所有受管區域都是正確的。AWS Control Tower 控制 APIs控制目錄 APIs 可協助您取得受已啟用控制項保護 AWS 之區域的相關資訊,以及可能部署其他控制項的區域。區域和控制資訊也可在 AWS Control Tower 主控台中找到。

AWS Control Tower 在選擇加入的區域中支援 AFT 和 CfCT

2024 年 7 月 18 日

(AWS Control Tower 登陸區域不需要更新。)

今天,AWS Control Tower 自訂架構 Account Factory for Terraform (AFT) 和 Customizations for AWS Control Tower (CfCT) 已提供五個額外選項 AWS 區域:亞太區域 (海德拉巴、雅加達和大阪)、以色列 (特拉維夫) 和中東 (阿拉伯聯合大公國)。

Account Factory for Terraform (AFT) 會設定 Terraform 管道,協助您在 AWS Control Tower 中佈建和自訂帳戶。AWS Control Tower (CfCT) 的自訂功能可協助您使用 AWS CloudFormation 範本和服務控制政策 (SCPs) 自訂 AWS Control Tower 登陸區域和帳戶。

若要進一步了解,請造訪 AWS Control Tower 使用者指南中的 Account Factory for Terraform and Customizations for AWS Control Tower 頁面。您也可以檢閱 AFT Github 頁面和 CfCT Github 頁面上的版本備註。所有 AWS 區域都支援 AFT 和 CfCT,但有一些例外狀況。如需詳細資訊,請參閱區域限制

AWS Control Tower 新增 ListLandingZoneOperations API

2024 年 6 月 26 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 已新增 API,可讓您擷取最近套用至登陸區域的操作清單,以及目前進行中的操作。API 最多可以傳回登陸區域操作的歷史記錄及其識別符 90 天。如需使用範例,請參閱檢視登陸區域操作的狀態

如需 ListLandingZoneOperations API 的詳細資訊,請參閱 AWS Control Tower API 參考ListLandingZoneOperations中的 。

AWS Control Tower 最多支援 100 個並行控制操作

2024 年 5 月 20 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援具有更高並行的多個控制操作。您最多可以在多個組織單位 (OUs) 之間,從主控台或使用 APIs 提交 100 個 AWS Control Tower 控制操作。最多可同時執行十 (10) 個操作,其他操作則會排入佇列。如此一來,您就可以跨多個設定更標準化的組態 AWS 帳戶,而不需重複控制操作的操作負擔。

若要監控進行中和佇列控制操作的狀態,您可以導覽至 AWS Control Tower 主控台中的新最近操作頁面,也可以呼叫新的 ListControlOperations API。

AWS Control Tower 程式庫包含超過 500 個控制項,可映射至不同的控制目標、架構和服務。對於特定控制目標,例如靜態加密資料,您可以使用單一控制操作啟用多個控制項,以協助您實現目標。此功能有助於加速開發,允許更快速採用最佳實務控制,並減輕操作複雜性。

AWS Control Tower 可在 AWS 加拿大西部 (卡加利) 使用

2024 年 5 月 3 日

(AWS Control Tower 登陸區域不需要更新。)

從今天開始,您可以在加拿大西部 (卡加利) 區域啟用 AWS Control Tower。如果您已經部署 AWS Control Tower,並且想要將其管理功能擴展到此區域,您可以使用 AWS Control Tower 登陸區域 APIs 來執行此操作。或者,從主控台前往 AWS Control Tower 儀表板中的設定頁面,選取您的區域,然後更新您的登陸區域。

加拿大西部 (卡加利) 區域不支援 AWS Service Catalog。因此,AWS Control Tower 的一些功能不同。最值得注意的功能變更是 Account Factory 無法使用。如果您選擇加拿大西部 (卡加利) 做為您的主要區域,更新帳戶、設定帳戶自動化,以及任何其他涉及 Service Catalog 的程序,會與其他區域不同。

佈建帳戶

若要在加拿大西部 (卡加利) 區域建立新帳戶,建議您在 AWS Control Tower 外部建立帳戶,然後將其註冊到已註冊的 OU。如需詳細資訊,請參閱註冊現有帳戶註冊帳戶的步驟

Service Catalog APIs 不適用於加拿大西部 (卡加利) 區域。透過 Service Catalog APIs 在 AWS Control Tower 中自動帳戶佈建中顯示的範例指令碼無法使用。

Account Factory Customizations (AFC)、Account Factory for Terraform (AFT) 和 Customizations for AWS Control Tower (CfCT) 在加拿大西部 (卡加利) 無法使用,因為缺少 AWS Control Tower 的其他基礎相依性。如果您將管控範圍擴展到加拿大西部 (卡加利) 區域,只要 AWS Control Tower 支援的所有區域中有 Service Catalog,您就可以繼續管理 AFC 藍圖。

控制項

AWS Security Hub 服務受管標準的主動控制和控制:AWS Control Tower 不適用於加拿大西部 (卡加利) 區域。加拿大西部 (卡加利) CT.CLOUDFORMATION.PR.1 無法使用預防性控制,因為只有在啟用以勾點為基礎的主動控制時才需要預防性控制。無法使用以 為基礎的某些偵測性控制項 AWS Config 。如需詳細資訊,請參閱 控制限制

身分提供者

IAM Identity Center 不適用於加拿大西部 (卡加利)。最佳實務建議是在可使用 IAM Identity Center 的區域中設定您的登陸區域。或者,如果您使用加拿大西部 (卡加利) 的外部身分提供者,您可以選擇自行管理帳戶存取組態。

在加拿大西部 (卡加利) 區域無法使用 Service Catalog 不會影響 AWS Control Tower 支援的其他區域。這些差異僅適用於您的主要區域是加拿大西部 (卡加利)。

如需 AWS Control Tower 可用區域的完整清單,請參閱AWS 區域表

AWS Control Tower 支援自助式配額調整

2024 年 4 月 25 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援透過 Service Quotas 主控台進行自助式配額調整。如需詳細資訊,請參閱請求提高配額

AWS Control Tower 發佈控制項參考指南

2024 年 4 月 21 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 發行了 控制項參考指南,這是一份新文件,您可以在其中找到 AWS Control Tower 環境特定控制項的詳細資訊。先前,此資料包含在 AWS Control Tower 使用者指南中。控制項參考指南涵蓋擴展格式的控制項。如需詳細資訊,請參閱 AWS Control Tower 控制項參考指南

AWS Control Tower 更新和重新命名兩個主動控制

2024 年 3 月 26 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 已重新命名兩個主動控制,以符合 Amazon OpenSearch Service 的更新。

我們更新了這兩個控制項的控制項名稱和成品,以與 Amazon OpenSearch Service 的最新版本保持一致,該服務現在支援 Transport Layer Security (TLS) 1.3 版作為網域端點安全性的傳輸安全選項。

為了新增對這些控制項的 TLSv1.3 支援,我們已更新控制項的成品和名稱,以反映控制項的意圖。他們現在會評估服務網域的最低 TLS 版本。若要在您的環境中進行此更新,您必須停用啟用控制項,才能部署最新的成品。

此變更不會影響其他主動控制。我們建議您檢閱這些控制項,以確保它們符合您的控制目標。

如有問題或疑慮,請聯絡 AWS Support

已棄用控制項不再可用

2024 年 3 月 12 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 已棄用一些控制項。這些控制項不再可用。

  • CT.ATHENA.PR.1

  • CT.CODEBUILD.PR.4

  • CT.AUTOSCALING.PR.3

  • SH.Athena.1

  • SH.Codebuild.5

  • SH.AutoScaling.4

  • SH.SNS.1

  • SH.SNS.2

AWS Control Tower 支援在 中標記EnabledControl資源 AWS CloudFormation

2024 年 2 月 22 日

(AWS Control Tower 登陸區域不需要更新。)

此 AWS Control Tower 版本會更新EnabledControl資源的行為,以更符合可設定的控制項,並改善透過自動化管理 AWS Control Tower 環境的能力。在此版本中,您可以透過 範本將標籤新增至可設定EnabledControl的資源 AWS CloudFormation 。先前,您只能透過 AWS Control Tower 主控台和 APIs 新增標籤。

AWS Control Tower GetEnabledControlEnableControlListTagsforResource API 操作會使用此版本更新,因為它們依賴 EnabledControl 資源功能。

如需詳細資訊,請參閱AWS CloudFormation 《 使用者指南》中的在 AWS Control Tower 和 中標記EnabledControl資源EnabledControl

AWS Control Tower 支援具有基準的 OU 註冊和組態 APIs

2024 年 2 月 14 日

(AWS Control Tower 登陸區域不需要更新。)

這些 APIs 支援使用 EnableBaseline呼叫進行程式設計 OU 註冊。當您在 OU 上啟用基準時,OU 內的成員帳戶會註冊到 AWS Control Tower 管理。某些注意事項可能適用。例如,透過 AWS Control Tower 主控台進行 OU 註冊,可啟用選用控制項和強制性控制項。呼叫 APIs 時,您可能需要完成額外的步驟,才能啟用選用控制項。

AWS Control Tower 基準體現了 OU 和成員帳戶的 AWS Control Tower 管理最佳實務。例如,當您在 OU 上啟用基準時,OU 內的成員帳戶會收到定義的資源群組,包括 AWS CloudTrail、 AWS Config、IAM Identity Center 和必要的 AWS IAM 角色。

特定基準與特定 AWS Control Tower 登陸區域版本相容。當您變更登陸區域設定時,AWS Control Tower 可以將最新的相容基準套用至您的登陸區域。如需詳細資訊,請參閱OU 基準和登陸區域版本的相容性

此版本包含四個必要的 基準類型
  • AWSControlTowerBaseline

  • AuditBaseline

  • LogArchiveBaseline

  • IdentityCenterBaseline

使用新的 APIs和定義的基準,您可以註冊 OUs並自動化 OU 佈建工作流程。APIs 也可以管理已在 AWS Control Tower 控管下的 OUs,因此您可以在登陸區域更新後重新註冊 OUs。APIs 包含對 資源的 AWS CloudFormation EnabledBaseline支援,可讓您使用基礎設施做為程式碼 (IaC) 來管理 OUs。

基準 APIs
  • EnableBaselineUpdateEnabledBaselineDisableBaseline:對 OU 的基準採取動作。

  • GetEnabledBaselineListEnabledBaselines:探索已啟用基準的組態。

  • GetBaselineOperation:檢視特定基準操作的狀態。

  • ResetEnabledBaseline:修復已啟用基準之 OU 上的資源偏離 (包括巢狀 OUs 和強制性控制偏離)。也修復landing-zone-level區域拒絕控制的偏離

  • GetBaselineListBaselines:探索 AWS Control Tower 基準的內容。

若要進一步了解這些 APIs,請檢閱 AWS Control Tower 使用者指南中的基準,以及 API 參考。除了 GovCloud (US) 區域外,新的 APIs 可在 AWS Control Tower 可用的 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 AWS 區域 資料表。