Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Janvier 2025 - En cours
Depuis janvier 2025, AWS Control Tower a publié les mises à jour suivantes :
Support pour des cadres industriels supplémentaires, métadonnées mises à jour
La vue de la console des commandes activées offre une visibilité centralisée
Account Factory for Terraform (AFT) prend en charge les nouvelles configurations lors du déploiement
AWS Control Tower introduit des rapports au niveau du compte à titre de référence APIs
-
AWS Control Tower est disponible dans les régions AWS Asie-Pacifique (Thaïlande) et Mexique (centre)
AWS Control Tower prend en charge PrivateLink
30 juin 2025
(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)
AWS Control Tower prend désormais en charge AWS PrivateLink
Support pour des cadres industriels supplémentaires, métadonnées mises à jour
12 juin 2025
(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)
Avec cette version, AWS Control Tower s'étend pour inclure la prise en charge de 10 frameworks industriels. Pour une liste des frameworks, voir Frameworks pris en charge.
Par exemple, vous pouvez commencer en accédant à la page Control Catalog de la console AWS Control Tower et en recherchant un framework, tel que PCI-DSS-v4.0, pour afficher tous les contrôles liés à ce framework. Vous pouvez également examiner les contrôles et les frameworks par programmation, en appelant la nouvelle ListControlMappingsAPI.
Les définitions des métadonnées associées aux contrôles sont en train de changer afin de mieux prendre en charge ces cadres industriels supplémentaires. Les modifications apportées aux métadonnées peuvent affecter la façon dont vous évaluez les contrôles à activer. Par exemple, les valeurs des métadonnées NIST, PCI et CIS peuvent avoir changé. Nous vous recommandons de consulter les mappages des contrôles activés sur la page Détails des contrôles de la console.
Dans la console et l'API, nous avons introduit 3 nouveaux champs de métadonnées. Collectivement, ces champs décrivent une hiérarchie qui vous aide à comprendre comment classer et activer les contrôles. Les champs sont les suivants : domaine, objectif et contrôle commun. Nous avons redéfini nos objectifs de contrôle afin de mieux les aligner sur l'éventail plus large des cadres industriels disponibles. Pour plus d'informations sur cette hiérarchie, voir Vue d'ensemble de l'ontologie.
-
Ces modifications de métadonnées sont reflétées dans la console AWS Control Tower, et l'expérience de la console est cohérente entre l'AWS Control Tower et AWS Config les consoles.
-
Pour consulter les informations de contrôle dans la console AWS Control Tower, vous devez ajouter des
controlcatalogautorisations supplémentaires à vos politiques IAM. Pour plus d'informations, consultez Autorisations requises pour utiliser la console AWS Control Tower. -
Chaque contrôle possède désormais un nouveau champ appelé
GovernedResources, qui indique les types de ressources régis par le contrôle. Dans certains cas, ce champ indique le préfixe de service pour les ressources, tandis que dans d'autres cas, il peut être vide. Pour plus d’informations, consultezGetControletListControls.
Dans cette version, nous avons renommé la bibliothèque de contrôles en Control Catalog, par souci de cohérence avec les autres terminologies.
Contrôles liés aux services AWS Config
12 juin 2025
(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)
AWS Control Tower annonce la prise en charge des contrôles de détection de la tour de contrôle AWS Control Tower qui seront déployés sous forme de règles liées à un service AWS Config .
Avec cette version, AWS Control Tower déploie désormais les règles de configuration liées au service directement dans vos comptes inscrits, remplaçant ainsi la méthode de déploiement précédente par des stack sets AWS CloudFormation . Cette modification améliore considérablement la vitesse de déploiement. En outre, ces règles de configuration liées au service contribuent à garantir une gouvernance cohérente de vos ressources, car elles empêchent les dérives de configuration involontaires qui pourraient être causées par des modifications manuelles des ensembles de AWS CloudFormation piles ou des règles de configuration.
À l'avenir, tous les contrôles AWS Control Tower mis en œuvre par AWS Config des règles seront déployés à l'aide de ce mécanisme, qui appelle directement le AWS Config APIs.
Important
Avant d'adopter des règles de configuration liées à un service, passez en revue les personnalisations existantes, telles que les corrections, que vous avez apportées aux règles de configuration en dehors d'AWS Control Tower, car ces personnalisations seront supprimées au cours de la transition. Ils AWS Config APIs ne prennent pas en charge l'ajout de configurations de correction pour les règles liées aux services AWS Config . Consultez PutRemediationConfigurations.
Détails et mesures requises
-
Lorsque vous mettez à jour ou réinitialisez votre zone de landing zone, AWS Control Tower met à jour les contrôles obligatoires qui régissent l'unité d'organisation de sécurité. Pour terminer la mise à niveau, vous devez également réinitialiser chacune des commandes de détection mises en œuvre avec des AWS Config règles, ou réenregistrer l'unité d'organisation.
-
Le champ d'application complet de cette mise à niveau s'applique à vous si la version de votre zone de landing zone AWS Control Tower est 3.2 ou supérieure. Lorsque vous appliquez cette mise à jour, vos AWS Config règles existantes sont modifiées pour devenir des règles de configuration gérées par le service, ainsi que la nouvelle méthode de déploiement.
-
Si votre zone de landing zone est en version 3.1 ou inférieure, toutes les nouvelles règles de configuration seront déployées avec la nouvelle méthode, et non plus avec les Stack Sets. Vos règles de configuration existantes ne sont PAS mises à jour pour devenir des règles de configuration gérées par le service. Ils resteront du type standard.
-
Vous pouvez identifier les règles de configuration liées à un service par leur ARN de ressource, qui a la forme suivante :
arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*
La fonctionnalité prévue des contrôles, lorsqu'ils sont mis en œuvre par des AWS Config règles liées aux services, n'a pas changé. Les règles de configuration détectives liées aux services d'AWS Control Tower permettent d'identifier les ressources non conformes au sein de vos comptes, telles que les violations des politiques, et de fournir des alertes via le tableau de bord. Pour maintenir la cohérence, empêcher toute dérive de configuration et simplifier votre expérience utilisateur globale, ces règles ne peuvent désormais être modifiées que par le biais d'AWS Control Tower.
Dans le cadre de cette version, nous avons ajouté quatre nouvelles autorisations à la politique relative au rôle lié au service (SLR) AWSServiceRoleForAWSControlTower, afin que vous puissiez activer et désactiver les AWS Config règles liées au service pour vos comptes inscrits.
config:DescribeConfigRules config:TagResource config:PutConfigRule config:DeleteConfigRule
La vue de la console des commandes activées offre une visibilité centralisée
21 mai 2025
(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)
AWS Control Tower a ajouté une nouvelle page dans la console qui affiche toutes vos commandes activées dans une vue unique et centralisée. Auparavant, les contrôles n'étaient visibles qu'avec le compte ou l'unité d'organisation sur lesquels ils étaient activés. La vue consolidée vous permet d'identifier plus facilement les lacunes dans votre gouvernance des contrôles, à grande échelle.
Sur la page Contrôles activés, vous pouvez filtrer les contrôles en fonction de leur comportement : Preventive, Detective ou Proactive. Vous pouvez également filtrer en fonction de l'implémentation du contrôle, telle que le SCP. Pour chaque contrôle, vous pouvez voir combien de contrôles OUs sont activés.
Pour voir la page Contrôles activés, accédez à la section Contrôles de la console AWS Control Tower.
Account Factory for Terraform (AFT) prend en charge les nouvelles configurations lors du déploiement
13 mai 2025
(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)
Le framework de personnalisation des comptes AWS Control Tower, Account Factory for Terraform (AFT), prend désormais en charge trois configurations facultatives supplémentaires au moment du déploiement. Vous pouvez déployer AFT dans un cloud privé virtuel (VPC) personnalisé, spécifier le nom du projet Terraform pour votre déploiement AFT et étiqueter les ressources créées par AFT.
Pour plus d'informations, consultez Deploy AWS Control Tower Account Factory for Terraform (AFT).
AWS Control Tower introduit des rapports au niveau du compte à titre de référence APIs
12 mai 2025
(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)
Vous pouvez désormais consulter les statuts de dérive et d'inscription des comptes de manière programmatique pour vos comptes gérés, en appelant la ligne de base. APIs Grâce à cette fonctionnalité, vous pouvez identifier les cas où les configurations de base du compte et de l'unité d'organisation sont dérivées ou désynchronisées. Pour afficher l'état de dérive par programmation, vous pouvez appeler l'ListEnabledBaselinesAPI correspondant à vos lignes de base activées. Pour afficher les statuts de comptes individuels par programmation à l'aide de l'ListEnabledBaselinesAPI, utilisez le drapeau. includeChildren Vous pouvez filtrer en fonction de ces statuts et ne voir que les comptes OUs qui nécessitent votre attention.
Il AWS ControlTowerBaselinedéfinit les meilleures pratiques en matière de configurations, de contrôles et de ressources nécessaires à la gouvernance. Lorsque vous activez cette ligne de base sur une unité organisationnelle (UO), les comptes des membres de l'UO sont automatiquement inscrits dans AWS Control Tower. La base de référence d'AWS Control Tower APIs inclut le AWS CloudFormation support, qui vous permet de créer des automatisations qui gèrent vos comptes OUs et vos comptes à l'aide de l'infrastructure en tant que code (IaC).
Pour en savoir plus à ce sujet APIs, consultez les lignes de base du guide de l'utilisateur d'AWS Control Tower. Les fonctionnalités de reporting de base APIs et récemment lancées concernant le drift et le statut d'inscription des comptes sont disponibles partout Régions AWS où AWS Control Tower est disponible. Pour une liste des Régions AWS endroits où AWS Control Tower est disponible, consultez le Région AWS tableau
AWS Control Tower est disponible dans les régions AWS Asie-Pacifique (Thaïlande) et Mexique (centre)
9 mai 2025
(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)
AWS Control Tower est désormais disponible dans les AWS régions suivantes :
Asie-Pacifique (Thaïlande)
Mexique (centre)
Pour obtenir la liste complète des régions dans lesquelles AWS Control Tower est disponible, consultez le tableau des AWS régions
AWS Config Commandes supplémentaires disponibles
11 avril 2025
(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)
AWS Control Tower prend désormais en charge 223 AWS Config règles gérées supplémentaires pour différents cas d'utilisation, tels que la sécurité, le coût, la durabilité et les opérations. Avec ce lancement, vous pouvez désormais utiliser AWS Control Tower pour rechercher et découvrir les AWS Config règles dont vous avez besoin pour régir votre environnement multi-comptes, puis activer et gérer les contrôles directement depuis AWS Control Tower.
Pour démarrer depuis la console AWS Control Tower, accédez au catalogue de contrôles et recherchez les contrôles à l'aide du filtre d'implémentation AWS Config. Vous pouvez activer les commandes directement depuis la console AWS Control Tower.
Pour plus de détails, consultez la section AWS Config Contrôles intégrés disponibles dans AWS Control Tower.
Avec ce lancement, nous avons mis à jour le ListControls et GetControl APIs pour prendre en charge trois nouveaux champs : CreateTimeSévérité et Implémentation, que vous pouvez utiliser lorsque vous recherchez un contrôle dans Control Catalog. Par exemple, vous pouvez désormais rechercher par programmation des AWS Config règles de sévérité élevées créées après votre dernière évaluation.
Vous pouvez rechercher les nouvelles AWS Config règles partout Régions AWS où AWS Control Tower est disponible. Pour déployer une règle, consultez la liste des règles prises en charge Régions AWS pour cette règle afin de savoir où elle peut être activée.
Désenregistrer et supprimer des actions pour OUs
8 avril 2025
(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)
AWS Control Tower prend désormais en charge des actions de console distinctes pour désenregistrer une unité d'organisation et pour supprimer une unité d'organisation. Vous devez désenregistrer l'UO avant de la supprimer. Vous pouvez supprimer une unité d'organisation d'AWS Control Tower en la désinscrivant.
Pour de plus amples informations, veuillez consulter Supprimer une UO.
Control Catalog prend en charge les IPv6 adresses
2 avril 2025
(Aucune mise à jour requise pour la zone d'atterrissage d'AWS Control Tower.)
L'API AWS Control Control Catalog prend désormais en charge les adresses du protocole Internet version 6 (IPv6) via nos nouveaux points de terminaison à double pile. Les points de terminaison existants pris en charge par le Control Catalog IPv4 restent disponibles à des fins de rétrocompatibilité. Les nouveaux domaines à double pile sont disponibles soit sur Internet, soit depuis un Amazon Virtual Private Cloud (VPC) à l'aide de. AWS PrivateLink
