Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
enero de 2025 - diciembre de 2025
Desde enero de 2025, AWS Control Tower ha publicado las siguientes actualizaciones:
AWS Control Tower añade 279 AWS Config controles adicionales a Control Catalog
AWS Control Tower disponible en la región Asia-Pacífico (Nueva Zelanda)
Se han actualizado los controles con tipos de instancias Nitro
-
AWS Control Tower disponible en la región de Asia-Pacífico (Taipéi)
Compatibilidad para marcos industriales adicionales, se han actualizado los metadatos
La vista de consola de controles habilitados proporciona una visibilidad centralizada
Account Factory for Terraform (AFT) admite nuevas configuraciones en la implementación
AWS Control Tower presenta informes a nivel de cuenta como referencia APIs
Versión 4.0 de la zona de aterrizaje de AWS Control Tower
17 de noviembre de 2025
(Se requiere una actualización para la versión 4.0 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulteActualización de la zona de aterrizaje).
AWS Control Tower landing zone 4.0 es una actualización importante que introduce una experiencia flexible solo con controles, que permite a los clientes personalizar la forma en que implementan y administran su entorno de cuentas múltiples de AWS. Esta versión cambia significativamente la forma en que la Torre de Control de AWS se integra con los servicios de AWS y administra los recursos de la organización. Para obtener información sobre los cambios clave, consulteGuía de migración a la versión 4.0 de Landing Zone.
Características y cambios clave
-
Integraciones de servicios opcionales: landing zone 4.0 le permite elegir qué integraciones de servicios habilitar en su entorno. Al deshabilitar una integración, se eliminarán los recursos desplegados por la Torre de Control de AWS específicos para esa integración en las cuentas administradas y en las cuentas centrales de integración de servicios. Ahora puede activar o desactivar las integraciones de servicios de forma selectiva:
AWS Config
AWS CloudTrail
Funciones de seguridad
AWS Backup
Importante: Si desea deshabilitar la integración de AWS Config, también debe deshabilitar las integraciones de Security Roles, IAM Identity Center y AWS Backup.
-
Recursos dedicados en lugar de utilizar recursos compartidos: landing zone 4.0 ahora crea recursos dedicados para servicios clave. Esta separación proporciona un mejor aislamiento de los recursos y un control más detallado de los recursos específicos del servicio:
Depósitos S3 separados para AWS Config
Depósitos S3 separados para AWS CloudTrail
Temas de SNS individuales para cada servicio
-
Estructura organizativa flexible: landing zone 4.0 elimina los requisitos de estructura organizativa anteriores:
Ya no es necesario que utilice una unidad organizativa de seguridad
Puede definir su propia estructura organizativa
El único requisito es que todas las cuentas centrales estén en la misma OU
-
Experiencia de controles dedicada: ahora puedes crear una configuración mínima de landing zone que incluya:
Integración básica de AWS Organizations
Capacidad de habilitar los controles sin habilitar la
AWSControlTowerBaselinelínea de baseConfiguraciones de gobierno personalizadas en función de sus necesidades
-
Cambios en AWS Config: Landing Zone 4.0 introduce varias mejoras en la implementación de la integración de AWS Config:
Una nueva línea base de Config Spoke específica para controles de detectives
Agregador de configuración vinculado a servicios (SLCA) en la cuenta de Config hub
Sustitución de los agregadores de cuentas y organizaciones tradicionales
-
Manifiesto opcional:
-
El campo de manifiesto ahora es opcional y te permite:
Cree zonas de aterrizaje sin ninguna integración de servicios
Más flexibilidad en la configuración inicial
Opciones de despliegue personalizadas
-
AWS Control Tower añade 279 AWS Config controles adicionales a Control Catalog
14 de noviembre de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
La Torre de Control de AWS ahora incluye 279 AWS Config controles adicionales como parte del catálogo de controles. Puede ver los controles en la consola de la Torre de Control de AWS y a través del APIs.
Algunos controles tienen relaciones con otros controles. Estas relaciones también se expresan en la consola de la Torre de Control de AWS y en la APIs. Los tipos de relación incluyen complementaria, mutuamente excluyente y alternativa.
AWS Control Tower disponible en la región Asia-Pacífico (Nueva Zelanda)
28 de octubre de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower está disponible ahora en la región de Asia-Pacífico (Nueva Zelanda).
Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la tabla de regiones de AWS
AWS Control Tower admite inscripción automática de cuentas
15 de octubre de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
Para los clientes que utilizan la versión 3.1 o superior de la zona de aterrizaje de AWS Control Tower, AWS Control Tower ahora permite la inscripción automática de cuentas en ellas OUs. Si opta por la inscripción automática de cuentas, AWS Control Tower aplicará los recursos y controles básicos habilitados por una UO a una cuenta cuando la traslade a una nueva UO. Se eliminan los controles y las líneas de base de la UO anterior. En la mayoría de los casos, esta acción no crea ninguna desviación.
Para activar la inscripción automática: puede seleccionar la inscripción automática de las cuentas en la página de configuración de la zona de aterrizaje de la consola de la Torre de Control de AWS, o llamando a la Torre de Control de AWS CreateLandingZone o UpdateLandingZone APIs con el valor del RemediationType parámetro establecido en Inheritance Drift.
Para aplicar la inscripción automática: tras seleccionar esta opción en la página de configuración, puede mover una cuenta a través de la AWS Organizations consola, la AWS Organizations MoveAccount API o la consola de la Torre de Control de AWS.
Para anular la inscripción de una cuenta con inscripción automática: si mueve una cuenta fuera de una UO que esté registrada, AWS Control Tower elimina automáticamente todos los recursos y controles básicos implementados.
Para obtener más información sobre inscripción automática, consulte Si lo desea, configure la inscripción automática de cuentas.
Esta versión también incluye una actualización de una política administrada y una nueva política administrada. La actualizamos AWS ControlTowerServiceRolePolicyy añadimos la nueva AWS ControlTowerIdentityCenterManagementPolicy.
Hemos actualizado la Torre de Control de AWS CreateLandingZone y UpdateLandingZone APIs hemos añadido una nuevaRemediationType, llamadaInheritance Drift.
AWS Control Tower actualiza la versión de Python
3 de septiembre de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
Python versión 3.9 está en desuso. AWS Control Tower ha actualizado las versiones de Python en los entornos de AWS Control Tower. No es necesario realizar ninguna acción y esta actualización no afecta a las cargas de trabajo actuales.
AWS Control Tower reduce la desviación
20 de agosto de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower ha actualizado la funcionalidad de la desviación de la política de control de servicio (SCP). Con esta versión, AWS Control Tower administra directamente dos tipos de desviaciones de gobernanza, que ya no provocan desviación en el entorno.
Se han eliminado dos tipos de desviaciones de gobernanza
SCP asociado a una UO administrada: este tipo de desviación se produce cuando un SCP de un control se asocia a cualquier otra UO. Esto era especialmente común cuando se actualizaba OUs desde fuera de la consola de AWS Control Tower.
SCP asociado a una cuenta de miembro: este tipo de desviación se producía normalmente cuando un SCP de un control se asociaba a una cuenta desde fuera de la consola de AWS Control Tower.
Para obtener más información sobre la desviación, consulte Detect and resolve drift in AWS Control Tower.
AWS Control Tower admite IPv6 direcciones
18 de agosto de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
La API de la Torre de Control de AWS ahora admite las direcciones del Protocolo de Internet versión 6 (IPv6) a través de nuestros nuevos puntos de enlace de doble pila. La compatibilidad con los puntos de enlace existentes IPv4 sigue estando disponible para garantizar la compatibilidad con versiones anteriores. Los nuevos dominios de doble pila están disponibles desde Internet o desde una Amazon Virtual Private Cloud (VPC) mediante. AWS PrivateLink
Account Factory for Terraform versión 1.15.0 disponible
28 de julio de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
Ya está disponible la versión 1.15.0 de Account Factory for Terraform (AFT) de AWS Control Tower. Para obtener más información, consulte el GitHub repositorio AFT
Se han actualizado los controles con tipos de instancias Nitro
24 de julio de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower ha actualizado los ocho controles proactivos del Control Catalog (antes denominado Biblioteca de control) que aplican los tipos de instancias de Amazon EC2. Esta actualización le permite crear instancias de algunos tipos nuevos de instancias de Nitro y elimina algunos tipos de instancias u-series obsoletos.
Se han actualizado controles
Nuevos tipos de instancias disponibles
c8gdc8gni7im8gdp6-b200r8gd
Tipos de instancias eliminados
u-12tb1u-18tb1u-24tb1u-9tb1
Los controles actualizados están disponibles en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para obtener una lista de regiones donde AWS Control Tower está disponible, consulte la Tabla de Región de AWS
AWS Control Tower disponible en la región de Asia-Pacífico (Taipéi)
23 de julio de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower está ahora disponible en la región de Asia-Pacífico (Taipéi):
Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la tabla de regiones de AWS
AWS Control Tower admite PrivateLink
30 de junio de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower admite ahora AWS PrivateLink
Compatibilidad para marcos industriales adicionales, se han actualizado los metadatos
12 de junio de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
Con esta versión, AWS Control Tower se amplía para incluir compatibilidad para 10 marcos industriales. Para ver una lista de marcos, consulte Marcos compatibles.
Por ejemplo, puede empezar navegando a la página Control Catalog en la consola de AWS Control Tower y buscando un marco, como PCI-DSS-v4.0, para ver todos los controles relacionados con él. O puede examinar los controles y los marcos mediante programación llamando a la nueva API ListControlMappings.
Las definiciones de metadatos asociadas a los controles están cambiando para mejorar la compatibilidad con estos marcos industriales adicionales. Los cambios en los metadatos pueden afectar a la forma en que se evalúan los controles para su habilitación. Por ejemplo, es posible que los valores de los metadatos NIST, PCI y CIS hayan cambiado. Le recomendamos que revise las asignaciones de los controles habilitados en la página Detalles de controles de la consola.
En la consola y la API hemos introducido tres campos de metadatos nuevos. En conjunto, estos campos describen una jerarquía que ayuda a entender cómo categorizar y habilitar los controles. Los campos son: Dominio, Objetivo y Control común. Hemos redefinido nuestros objetivos de control para alinearlos mejor con el ámbito más amplio de los marcos industriales disponibles. Para obtener más información sobre esta jerarquía, consulte Descripción general de la ontología.
-
Estos cambios en los metadatos se reflejan en la consola de la Torre de Control de AWS, y la experiencia de la consola es uniforme en todas las AWS Config consolas y la Torre de Control de AWS.
-
Para ver información de control en la consola de AWS Control Tower, debe añadir permisos adicionales de
controlcataloga sus políticas de IAM. Para obtener más información, consulte Permisos necesarios para utilizar la consola de AWS Control Tower. -
Cada control tiene ahora un nuevo campo llamado
GovernedResources, que muestra los tipos de recursos que regula el control. En algunos casos, este campo muestra el prefijo de servicio de los recursos y, en otros casos, puede estar en blanco. Para obtener más información, consulteGetControlyListControls.
En esta versión, hemos cambiado el nombre de la Biblioteca de controles a Control Catalog para mantener la coherencia con la terminología.
Controles vinculados a los servicios AWS Config
12 de junio de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower anuncia la compatibilidad con la implementación de los controles de detección de la Torre de Control de AWS como reglas vinculadas a servicios AWS Config .
Con esta versión, AWS Control Tower ahora implementa reglas de Config vinculadas a servicios directamente en las cuentas inscritas, sustituyendo el método de implementación anterior por conjuntos de pilas AWS CloudFormation . Este cambio mejora considerablemente la velocidad de implementación. Además, estas reglas de Config vinculadas a servicios ayudan a garantizar una gobernanza coherente de sus recursos, ya que evitan la desviación involuntaria de la configuración que podría deberse a cambios manuales en los conjuntos de CloudFormation pilas o las reglas de Config.
De ahora en adelante, todos los controles de la Torre de Control de AWS implementados mediante AWS Config reglas se implementarán con este mecanismo, que se denomina directamente a AWS Config APIs.
importante
Antes de adoptar reglas de Config vinculadas a servicios, revise las personalizaciones existentes, como las correcciones que haya realizado en las reglas de Config fuera de AWS Control Tower, ya que estas personalizaciones se eliminarán durante la transición. AWS Config APIs No admiten la adición de configuraciones de corrección para las reglas vinculadas a servicios. AWS Config Consulte PutRemediationConfigurations.
Se requieren detalles y acción
-
Si seleccione Actualizar o Restablecer su zona de aterrizaje, AWS Control Tower actualiza los controles Obligatorios que rigen la UO de seguridad. Para completar la actualización, también debe restablecer cada uno de los controles de detección que se implementan con AWS Config reglas o volver a registrar la unidad organizativa.
-
El alcance completo de esta actualización le afecta a usted si utiliza la versión 3.2 o superior de la zona de aterrizaje de AWS Control Tower. Al aplicar esta actualización, AWS Config las reglas existentes se cambian para convertirse en reglas de Config administradas por el servicio, junto con el nuevo método de implementación.
-
Si su zona de aterrizaje es la versión 3.1 o inferior, cualquier nueva regla de Config se implementará con el nuevo método, no con conjuntos de pilas. Sus reglas de Config existentes NO se actualizan para convertirse en reglas de Config administradas por servicios. Seguirán siendo de tipo estándar.
-
Puede identificar las reglas de configuración vinculadas a servicios por su ARN de recurso, que tiene el siguiente formato:
arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*
La funcionalidad prevista de los controles, cuando se implementan mediante AWS Config reglas vinculadas a servicios, no ha cambiado. Las reglas de Config de detección vinculadas a servicios de AWS Control Tower pueden identificar recursos que no conformes en sus cuentas, como infracciones de políticas, y enviar alertas a través del panel. Para mantener la coherencia, evitar desviaciones en la configuración y simplificar la experiencia general del usuario, estas reglas ahora solo se pueden modificar a través de AWS Control Tower.
Como parte de esta versión, agregamos cuatro permisos nuevos a la política para el rol vinculado al servicio (SLR) AWSServiceRoleForAWSControlTower, de modo que puedas habilitar y deshabilitar las reglas vinculadas al servicio AWS Config para tus cuentas inscritas.
config:DescribeConfigRules config:TagResource config:PutConfigRule config:DeleteConfigRule
La vista de consola de controles habilitados proporciona una visibilidad centralizada
21 de mayo de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower ha agregado una nueva página en la consola que muestra todos los controles habilitados en una vista única y centralizada. Anteriormente, los controles solo se podían ver con la cuenta o la UO donde estaban habilitados. La vista consolidada facilita la identificación a escala de brechas en la gobernanza de controles.
En la página Controles habilitados, puede filtrar los controles según su comportamiento: Preventivo, De detección o Proactivo. También puede filtrar de acuerdo con la implementación del control, como SCP. Para cada control, puede ver cuántos OUs tienen este control activado.
Para ver la página Controles habilitados, vaya a la sección Controles de la consola de AWS Control Tower.
Account Factory for Terraform (AFT) admite nuevas configuraciones en la implementación
13 de mayo de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
El marco de personalización de cuentas de AWS Control Tower, Account Factory for Terraform (AFT), ahora admite tres configuraciones opcionales adicionales en el momento de la implementación. Puede implementar AFT en una nube privada virtual (VPC) personalizada, especificar el nombre del proyecto de Terraform para la implementación de AFT y etiquetar los recursos que crea AFT.
Para obtener más información sobre AFT, consulte Implementación de Account Factory for Terraform (AFT) de AWS Control Tower.
AWS Control Tower presenta informes a nivel de cuenta como referencia APIs
12 de mayo de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
Ahora puede consultar mediante programación los estados de las cuentas reguladas y de registro de las cuentas reguladas utilizando la línea de base. APIs Con esta función, puede identificar cuándo las configuraciones de líneas de base de cuentas y UO están desviadas o no sincronizadas. Para ver el estado de desviación mediante programación, puede llamar a la API ListEnabledBaselines correspondiente a las líneas de base bases habilitadas. Para ver los estados de cuentas individuales mediante programación con la API ListEnabledBaselines, use la marca includeChildren. Puede filtrar por estos estados y ver solo las cuentas OUs que requieren su atención.
AWS ControlTowerBaseline establece prácticas recomendadas, configuraciones, controles y recursos necesarios para la gobernanza. Cuando habilita esta línea de base en una unidad organizativa (UO), las cuentas de miembros de la UO se inscriben en AWS Control Tower automáticamente. La base de AWS Control Tower APIs incluye CloudFormation soporte, que le permite crear automatizaciones que gestionen sus cuentas OUs y sus cuentas con infraestructura como código (IaC).
Para obtener más información al respecto APIs, consulte las líneas de referencia en la Guía del usuario de AWS Control Tower. Las funciones de generación de informes de referencia APIs y las recién lanzadas sobre el estado de inscripción de cuentas y de derivación están disponibles en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la Región de AWS tabla
La Torre de Control de AWS está disponible en las regiones de AWS Asia Pacífico (Tailandia) y México (Central)
9 de mayo de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower ya está disponible en las siguientes AWS regiones:
Asia-Pacífico (Tailandia)
México (centro)
Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la tabla de regiones de AWS
AWS Config Controles adicionales disponibles
11 de abril de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower ahora admite 223 AWS Config reglas administradas adicionales para diversos casos de uso, como la seguridad, el costo, la durabilidad y las operaciones. Con este lanzamiento, ahora puede usar la Torre de Control de AWS para buscar y descubrir las AWS Config reglas que necesita para gobernar su entorno de múltiples cuentas y, a continuación, habilitar y administrar los controles directamente desde la Torre de Control de AWS.
Para empezar desde la consola de AWS Control Tower, vaya al Control Catalog y busque los controles con el filtro de implementación AWS Config. Puede habilitar los controles directamente desde la consola de AWS Control Tower.
Para obtener más información, consulte AWS Config Controles integrados disponibles en AWS Control Tower.
Con este lanzamiento, hemos actualizado los campos ListControls y GetControl APIs para adaptarlos a tres nuevos campos: CreateTimeGravedad e Implementación, que puede utilizar al buscar un control en el catálogo de controles. Por ejemplo, ahora puede buscar mediante programación AWS Config las reglas de alta gravedad que se crearon después de la última evaluación.
Puede buscar las nuevas AWS Config reglas en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para implementar una regla, consulte la lista de reglas compatibles con Regiones de AWS esa regla para ver dónde se puede habilitar.
Anule el registro y elimine acciones para OUs
8 de abril de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
AWS Control Tower admite ahora acciones de consola independientes para anular el registro de una UO y eliminarla. Debe anular el registro de la UO antes de eliminarla. Puede eliminar una UO desde AWS Control Tower anulando su registro.
Para obtener más información, consulte Eliminación de una UO.
Control Catalog admite IPv6 direcciones
2 de abril de 2025
(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).
La API del catálogo de control de AWS Control Tower ahora admite las direcciones del Protocolo de Internet versión 6 (IPv6) a través de nuestros nuevos puntos de enlace de doble pila. Los puntos de conexión actuales de Control Catalog IPv4 siguen disponibles para garantizar la compatibilidad con versiones anteriores. Los nuevos dominios de doble pila están disponibles desde Internet o desde una Amazon Virtual Private Cloud (VPC) mediante. AWS PrivateLink
