Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Enero de 2025 - actualidad
Desde enero de 2025, AWS Control Tower ha publicado las siguientes actualizaciones:
Support para marcos industriales adicionales, metadatos actualizados
La vista de consola de controles habilitados proporciona una visibilidad centralizada
Account Factory for Terraform (AFT) admite nuevas configuraciones en el momento de la implementación
AWS Control Tower presenta informes a nivel de cuenta como referencia APIs
AWS Control Tower admite PrivateLink
30 de junio de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower ahora es compatible AWS PrivateLink
Support para marcos industriales adicionales, metadatos actualizados
12 de junio de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
Con esta versión, AWS Control Tower se amplía para incluir soporte para 10 marcos industriales. Para ver una lista de marcos, consulte Marcos compatibles.
Por ejemplo, puede empezar navegando a la página del catálogo de controles en la consola de la Torre de Control de AWS y buscando un marco, como PCI-DSS-v4.0, para ver todos los controles relacionados con ese marco. O bien, puede examinar los controles y los marcos mediante programación, llamando a la nueva API. ListControlMappings
Las definiciones de metadatos asociadas a los controles están cambiando para respaldar mejor estos marcos industriales adicionales. Los cambios en los metadatos pueden afectar a la forma en que se evalúan los controles para su habilitación. Por ejemplo, es posible que los valores de los metadatos NIST, PCI y CIS hayan cambiado. Le recomendamos que revise las asignaciones de los controles habilitados en la página de detalles de los controles de la consola.
En la consola y en la API, hemos introducido tres campos de metadatos nuevos. En conjunto, estos campos describen una jerarquía que le ayuda a entender cómo categorizar y habilitar los controles. Los campos son: Dominio, Objetivo y Control común. Hemos redefinido nuestros objetivos de control para alinearlos mejor con la gama más amplia de marcos industriales disponibles. Para obtener más información sobre esta jerarquía, consulte Descripción general de la ontología.
-
Estos cambios en los metadatos se reflejan en la consola de la Torre de Control de AWS, y la experiencia de la consola es uniforme en todas las AWS Config consolas y la Torre de Control de AWS.
-
Para ver la información de control en la consola de AWS Control Tower, debe añadir
controlcatalogpermisos adicionales a sus políticas de IAM. Para obtener más información, consulte Permisos necesarios para usar la consola de la Torre de Control de AWS. -
Ahora, cada control tiene un nuevo campo denominado
GovernedResources, que muestra los tipos de recursos que regula el control. En algunos casos, este campo muestra el prefijo de servicio de los recursos y, en otros, puede estar en blanco. Para obtener más información, consulteGetControlyListControls.
En esta versión, cambiamos el nombre de la biblioteca de controles a Control Catalog para mantener la coherencia con el resto de la terminología.
Controles vinculados a servicios AWS Config
12 de junio de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower anuncia la compatibilidad con la implementación de los controles de detección de la Torre de Control de AWS como reglas vinculadas a servicios AWS Config .
Con esta versión, AWS Control Tower ahora implementa reglas de Config vinculadas a servicios directamente en las cuentas inscritas, sustituyendo el método de implementación anterior por conjuntos de pilas AWS CloudFormation . Este cambio mejora considerablemente la velocidad de implementación. Además, estas reglas de Config vinculadas a servicios ayudan a garantizar una gobernanza coherente de sus recursos, ya que evitan la desviación involuntaria de la configuración que podría deberse a cambios manuales en los conjuntos de AWS CloudFormation pilas o las reglas de Config.
De ahora en adelante, todos los controles de la Torre de Control de AWS implementados mediante AWS Config reglas se implementarán con este mecanismo, que se denomina directamente a AWS Config APIs.
importante
Antes de adoptar reglas de Config vinculadas a servicios, revise las personalizaciones existentes, como las correcciones, que haya realizado en las reglas de Config fuera de la Torre de Control de AWS, ya que estas personalizaciones se eliminarán durante la transición. AWS Config APIs No admiten la adición de configuraciones de corrección para las reglas vinculadas a servicios. AWS Config Consulte PutRemediationConfigurations.
Se requieren detalles y medidas
-
Cuando actualiza o restablece su landing zone, AWS Control Tower actualiza los controles obligatorios que rigen la OU de seguridad. Para completar la actualización, también debe restablecer cada uno de los controles de detección implementados mediante AWS Config reglas o volver a registrar la OU.
-
El alcance completo de esta actualización se aplica a usted si la versión 3.2 o superior de la zona de aterrizaje de AWS Control Tower es 3.2 o superior. Al aplicar esta actualización, AWS Config las reglas existentes se cambian para convertirse en reglas de Config administradas por el servicio, junto con el nuevo método de implementación.
-
Si tu landing zone es la versión 3.1 o inferior, cualquier nueva regla de Config se implementará con el nuevo método, ya no con Stack Sets. Sus reglas de Config existentes NO se actualizan para convertirse en reglas de Config administradas por el servicio. Seguirán siendo del tipo estándar.
-
Puede identificar las reglas de configuración vinculadas al servicio por su ARN de recurso, que tiene el siguiente formato:
arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*
La funcionalidad prevista de los controles, cuando se implementan mediante AWS Config reglas vinculadas a servicios, no ha cambiado. Las reglas de Config detectoras y vinculadas a servicios de AWS Control Tower pueden identificar los recursos no conformes en sus cuentas, como las infracciones de las políticas, y emitir alertas a través del panel de control. Para mantener la coherencia, evitar desviaciones en la configuración y simplificar la experiencia general del usuario, estas reglas ahora solo se pueden modificar a través de la Torre de Control de AWS.
Como parte de esta versión, agregamos cuatro permisos nuevos a la política para el rol vinculado a servicios (SLR) AWSServiceRoleForAWSControlTower, de modo que pueda habilitar y deshabilitar AWS Config las reglas vinculadas a servicios para sus cuentas inscritas.
config:DescribeConfigRules config:TagResource config:PutConfigRule config:DeleteConfigRule
La vista de consola de controles habilitados proporciona una visibilidad centralizada
21 de mayo de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower agregó una nueva página en la consola que muestra todos los controles habilitados en una vista única y centralizada. Anteriormente, los controles solo se podían ver con la cuenta o la unidad organizativa en la que estaban activados. La vista consolidada le facilita la identificación a escala de las brechas en la gobernanza del control.
En la página Controles habilitados, puede filtrar los controles según su comportamiento: Preventivo, Detective o Proactivo. También puede filtrar según la implementación del control, como el SCP. Para cada control, puede ver cuántos OUs tienen este control activado.
Para ver la página de controles habilitados, vaya a la sección Controles de la consola de AWS Control Tower.
Account Factory for Terraform (AFT) admite nuevas configuraciones en el momento de la implementación
13 de mayo de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
El marco de personalización de cuentas de AWS Control Tower, Account Factory for Terraform (AFT), ahora admite tres configuraciones opcionales adicionales en el momento de la implementación. Puede implementar AFT en una nube privada virtual (VPC) personalizada, especificar el nombre del proyecto de Terraform para su implementación de AFT y etiquetar los recursos que crea AFT.
Para obtener más información, consulte Implementación de AWS Control Tower Account Factory for Terraform (AFT).
AWS Control Tower presenta informes a nivel de cuenta como referencia APIs
12 de mayo de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
Ahora puede consultar mediante programación los estados de las cuentas reguladas y los estados de inscripción de las cuentas reguladas, utilizando la línea de base. APIs Con esta función, puede identificar cuándo las configuraciones básicas de la cuenta y la unidad organizativa están desviadas o no están sincronizadas. Para ver el estado de desviación mediante programación, puede llamar a la ListEnabledBaselinesAPI correspondiente a las líneas base habilitadas. Para ver los estados de las cuentas individuales mediante programación con la API, usa la marca. ListEnabledBaselines includeChildren Puedes filtrar por estos estados y ver solo las cuentas OUs que requieren tu atención.
AWS ControlTowerBaselineEstablece las configuraciones, los controles y los recursos de las mejores prácticas que se requieren para la gobernanza. Al habilitar esta línea base en una unidad organizativa (OU), las cuentas de los miembros de la OU se inscriben automáticamente en AWS Control Tower. La base de AWS Control Tower APIs incluye AWS CloudFormation soporte, que le permite crear automatizaciones que gestionen sus cuentas OUs y sus cuentas con infraestructura como código (IaC).
Para obtener más información al respecto APIs, consulte las líneas de referencia en la Guía del usuario de AWS Control Tower. Las funciones de generación de informes de referencia APIs y las recién lanzadas sobre el estado de inscripción de cuentas y de derivación están disponibles en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la Región de AWS tabla
La Torre de Control de AWS está disponible en las regiones de AWS Asia Pacífico (Tailandia) y México (Central)
9 de mayo de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower ya está disponible en las siguientes AWS regiones:
Asia-Pacífico (Tailandia)
México (central)
Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la tabla de regiones de AWS
AWS Config Controles adicionales disponibles
11 de abril de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower ahora admite 223 AWS Config reglas administradas adicionales para diversos casos de uso, como la seguridad, el costo, la durabilidad y las operaciones. Con este lanzamiento, ahora puede usar la Torre de Control de AWS para buscar y descubrir las AWS Config reglas que necesita para gobernar su entorno de múltiples cuentas y, a continuación, habilitar y administrar los controles directamente desde la Torre de Control de AWS.
Para empezar desde la consola de la Torre de Control de AWS, vaya al Catálogo de Control y busque los controles con el filtro de implementación AWS Config. Puede activar los controles directamente desde la consola de la Torre de Control de AWS.
Para obtener más información, consulte AWS Config Controles integrados disponibles en AWS Control Tower.
Con este lanzamiento, hemos actualizado los campos ListControls y GetControl APIs para adaptarlos a tres nuevos campos: CreateTimeGravedad e Implementación, que puede utilizar al buscar un control en el catálogo de controles. Por ejemplo, ahora puede buscar mediante programación AWS Config las reglas de alta gravedad que se crearon después de la última evaluación.
Puede buscar las nuevas AWS Config reglas en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para implementar una regla, consulte la lista de reglas compatibles con Regiones de AWS esa regla para ver dónde se puede habilitar.
Anule el registro y elimine acciones para OUs
8 de abril de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower ahora admite acciones de consola independientes para anular el registro de una OU y eliminarla. Debe anular el registro de la unidad organizativa antes de eliminarla. Para eliminar una unidad organizativa de la Torre de Control de AWS, anule el registro.
Para obtener más información, consulte Eliminar una unidad organizativa.
Control Catalog admite direcciones IPv6
2 de abril de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
La API del catálogo de control de AWS Control Tower ahora admite las direcciones del Protocolo de Internet versión 6 (IPv6) a través de nuestros nuevos puntos de enlace de doble pila. Los puntos de conexión actuales de Control Catalog IPv4 siguen disponibles para garantizar la compatibilidad con versiones anteriores. Los nuevos dominios de doble pila están disponibles desde Internet o desde una Amazon Virtual Private Cloud (VPC) mediante. AWS PrivateLink
