二零二零年一月至十 - AWS Control Tower
AWSControl Tower 主控台現在可連結至外部 AWS Config 規則AWSControl Tower 現在可在其他地區使用護欄更新AWSControl Tower 主控台顯示帳號OUs和詳細資訊使用 AWS Control Tower 設定新的多帳戶 AWS 環境 AWS OrganizationsAWSControl Tower 解決方案的自訂AWSControl Tower 2.3 版正式推出 AWSControl Tower 中的單一步驟帳戶佈建 AWSControl Tower 退役工具AWSControl Tower 生命週期事件通知

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

二零二零年一月至十

2020 年,AWSControl Tower 發布了以下更新:

AWSControl Tower 主控台現在可連結至外部 AWS Config 規則

2020年12月29 日

(AWSControl Tower landing zone 需要更新至 2.6 版。 若要取得資訊,請參閱更新登陸區域)

AWSControl Tower 現在包括一個組織級聚合器,可幫助檢測外部 AWS Config 規則。這可讓您在 Con AWS trol Tower 主控台中查看是否存在外部建立 AWS 除了這些規則之外的 Config 規則 AWS 由 Con AWS trol Tower 創建的 Config 規則。聚合器允許 AWS Control Tower 檢測外部規則並提供指向 AWS Config 控制台,無需 Con AWS trol Tower 即可訪問非託管帳戶。

透過此功能,您現在可以將偵探控制套用至帳戶的整合檢視,以便追蹤合規性並判斷是否需要額外的帳戶控制項。如需詳細資訊,請參閱「AWSControl Tower 如何彙總」 AWS Config 未受管理OUs和帳戶中的規則。

AWSControl Tower 現在可在其他地區使用

2020年11月18日

(AWSControl Tower landing zone 需要更新至 2.5 版。 若要取得資訊,請參閱更新登陸區域)

AWSControl Tower 現在額外提供 5 個 AWS 地區:

  • 亞太 (新加坡) 區域

  • 歐洲 (法蘭克福) 區域

  • 歐洲 (倫敦) 區域

  • 歐洲 (斯德哥爾摩) 區域

  • 加拿大 (中部) 區域

這些 5 的補充 AWS 區域是 Con AWS trol Tower 2.5 版推出的唯一變更。

AWSControl Tower 也在美國東部 (維吉尼亞北部) 區域、美國東部 (俄亥俄) 區域、美國西部 (奧勒岡) 區域、歐洲 (愛爾蘭) 區域和亞太區域 (雪梨) 區域提供。有了這個發射 AWS Control Tower 現在可以在 10 AWS 區域。

此 landing zone 域更新包含列示的所有區域,且無法復原。將您的 landing zone 更新為 2.5 版後,您必須手動更新 AWS Control Tower 的所有註冊帳戶,以便在支援的 10 個中進行管理 AWS 區域。如需相關資訊,請參閱 設定 AWS Control Tower 區域

護欄更新

二 ○ 二 ○ 年十月八日

(AWSControl Tower landing zone 無需更新)

已針對強制控制項發行更新版本AWS-GR_IAM_ROLE_CHANGE_PROHIBITED

由於自動註冊到 Control Tower 的帳戶必須啟用AWSControlTowerExecution角色,因此需要對AWS控制項進行此項變更。先前版本的控制項會防止建立此角色。

如需詳細資訊,請參閱不允許變更 AWS IAM由控制中心及AWS管制中心設定的角色 AWS CloudFormation《AWS Control Tower 控制項參考指南》中的。

AWSControl Tower 主控台顯示帳號OUs和詳細資訊

2020年7月22日

(AWSControl Tower landing zone 無需更新)

您可以檢視未在 AWS Control Tower 中註冊的組織和帳戶,以及已註冊的組織和帳戶。

在控制台主 Con AWS trol Tower 中,您可以檢視更多關於您的 AWS 帳戶和組織單位 (OUs)。[帳戶] 頁面現在會列出您組織中的所有帳戶,無論 OU 或 [AWSControl Tower] 中的註冊狀態為何。您現在可以搜尋、排序和篩選所有表格。

使用 AWS Control Tower 設定新的多帳戶 AWS 環境 AWS Organizations

二零二零年四月廿二

(AWSControl Tower landing zone 無需更新)

AWS Organizations 客戶現在可以利用以下新功能,使用 AWS Control Tower 來管理新建立的組織單位 (OUs) 和帳戶:

  • 現有 AWS Organizations 客戶現在可以在現有的管理帳戶中為新的組織單位 (OUs) 設定新的 landing zone。您可以OUs在 AWS Control Tower 中建立新帳號,並在OUs具有 Con AWS trol Tower 管理的帳號中建立新帳號。

  • AWS Organizations 客戶可以使用帳戶註冊程序或透過指令碼註冊現有帳戶。

AWSControl Tower 提供使用其他功能的協調服務 AWS 服務。它專為擁有多個帳戶的組織和團隊所設計,他們正在尋找設置新帳戶或現有多帳戶的最簡單方法 AWS 環境和大規模治理。透過 AWS Control Tower 管理的組織,雲端管理員就知道組織中的帳戶符合既定的政策。建築商受益,因為他們可以提供新 AWS 帳戶快速,沒有對合規性的過度擔憂。

若要取得有關設置 landing zone 的資訊,請參閱〈〉規劃 AWS Control Tower 登陸區域。您也可以造訪AWS控制中心產品網頁,或造訪此影片 YouTube 以瞭解 AWS Control Tower 入門的相關資訊, AWS Organizations.

除了這項變更之外,AWSControl Tower 中的快速帳戶佈建功能已重新命名為註冊帳戶。它現在允許現有的註冊 AWS 帳戶以及創建新帳戶。如需詳細資訊,請參閱註冊現有帳戶

AWSControl Tower 解決方案的自訂

二零二零年三月十七

(AWSControl Tower landing zone 無需更新)

AWSControl Tower 現在包含了全新的參考實作,可讓您輕鬆地將自訂範本和政策套用至 AWS Control Tower 的 landing zone。

透過「AWSControl Tower」的自訂功能,您可以使用 AWS CloudFormation 用於將新資源部署到組織內現有和新帳戶的範本。除了 Control Tower SCPs 已提供的帳戶之外,您也可以將自訂服務AWS控制政策 (SCPs) 套用至這些帳戶。AWSControl Tower 管道的自訂功能與 AWS Control Tower 生命週期事件和通知 (AWS Control Tower 的生命週期事件) 整合,以確保資源部署與您的 landing zone 保持同步。

此 AWS Control Tower 解決方案架構的部署文件可透過 AWS 解決方案網頁

AWSControl Tower 2.3 版正式推出

二零二零年三月五日

(AWSControl Tower landing zone 需要更新。 如需詳細資訊,請參閱更新登陸區域。)

AWSControl Tower 現已在亞太區域 (雪梨) 上市 AWS 區域,以及美國東部 (俄亥俄)、美國東部 (維吉尼亞北部)、美國西部 (奧勒岡) 和歐洲 (愛爾蘭) 區域。亞太區域(雪梨)區域的增加是 Con AWS trol Tower 2.3 版推出的唯一更改。

如果你之前沒有使用過 AWS Control Tower,你可以立即在任何支援的地區啟動控制塔。如果您已經在使用 AWS Control Tower,並且想要在帳戶中將其治理功能擴展到亞太區域 (雪梨) 區域,請前往 AWS Control Tower 儀表板中的 「設定」 頁面。從那裡,將您的 landing zone 更新為最新版本。然後,單獨更新您的帳戶。

注意

更新您的 landing zone 不會自動更新您的帳戶。如果您有幾個以上的帳戶,則所需的更新可能很耗時。因此,我們建議您避免將 AWS Control Tower landing zone 擴展到不需要執行工作負載的區域。

如需部署至新區域時偵測控制項預期行為的相關資訊,請參閱設定您的 AWS Control Tower 區域

AWSControl Tower 中的單一步驟帳戶佈建

二零二零年三月二日

(AWSControl Tower landing zone 無需更新)

AWS控制中心現在支援透過 Control Tower 主 Con AWS trol Tower 台進行單一步驟帳號佈建。此功能可讓您從 Con AWS trol Tower 主控台中佈建新帳戶。

若要使用簡化表單,請瀏覽至 Con AWS trol Tower 主控台中的 [Account Factory],然後選擇 [快速帳戶佈建]。AWSControl Tower 會將相同的電子郵件地址指派給已佈建帳戶,以及為該帳戶建立的單一登入 (IAMIdentity Center) 使用者。如果您需要這兩個電子郵件地址不同,則必須透過 Service Catalog 佈建您的帳戶。

使用 Service Catalog 和 AWS Control Tower 帳戶工廠,透過快速帳戶佈建來更新您建立的帳戶,就像對任何其他帳戶的更新一樣。

注意

2020 年 4 月,快速帳戶佈建功能已重新命名為註冊帳戶。2022 年 6 月,在 Con AWS trol Tower 主控台中建立和更新帳戶的能力與註冊功能分開 AWS 帳戶。如需詳細資訊,請參閱註冊現有帳戶

AWSControl Tower 退役工具

2020年2月28日

(AWSControl Tower landing zone 無需更新)

AWSControl Tower 現在支援自動化解除委任工具,可協助您清理 AWS Control Tower 分配的資源。如果您不想再為企業使用 AWS Control Tower,或者您需要重新部署組織資源,您可能會想要清理初次設定 landing zone 時所建立的資源。

若要使用主要是自動化的程序來解除使用 landing zone 域的使用,請聯絡 AWS Support 以取得所需其他步驟的協助。如需解除委任的更多資訊,請參閱逐步解說:解除委任 AWS Control Tower 登陸區

AWSControl Tower 生命週期事件通知

二零二零年一月二十

(AWSControl Tower landing zone 無需更新)

AWSControl Tower 宣布生命週期事件通知的可用性。生命週期事件標誌著 AWS Control Tower 動作的完成,該操作可以更改資源的狀態,例如組織單位(OUs),帳戶以及由 AWS Control Tower 創建和管理的控制項。生命週期事件記錄為 AWS CloudTrail 活動並 EventBridge 作為活動交付給 Amazon。

AWSControl Tower 會記錄下列可使用服務執行的動作完成時的生命週期事件:建立或更新 landing zone、建立或刪除 OU、啟用或停用 OU 的控制;以及使用帳戶工廠建立新帳戶或將帳戶移至其他 OU。

AWSControl Tower 使用多個 AWS 建立和管理多帳戶最佳實務的服務 AWS 環境。AWSControl Tower 動作可能需要數分鐘的時間才能完成。您可以追蹤 CloudTrail 記錄中的生命週期事件,以確認原始 AWS Control Tower 動作是否成功完成。您可以建立 EventBridge 規則,在 CloudTrail 記錄生命週期事件時通知您,或自動觸發自動化工作流程中的下一個步驟。