Januari - Desember 2023 - AWS Control Tower
Transisi ke jenis produk AWS Service Catalog Eksternal baru (fase 3)AWS Control Tower landing zone versi 3.3Transisi ke jenis produk AWS Service Catalog Eksternal baru (fase 2)AWS Control Tower mengumumkan kontrol untuk membantu kedaulatan digitalAWS Control Tower landing zone APIsPenandaan kontrol AWS Control Tower APIsAWS Control Tower tersedia di AWS Asia Pasifik (Melbourne)Transisi ke jenis produk AWS Service Catalog Eksternal baru (fase 1)AWS Control Tower menambahkan API kontrol baruAWS Control Tower menambahkan kontrol baruAWS Control Tower mendeteksi drift akses tepercayaAWS Control Tower tersedia dalam empat tambahan Wilayah AWSAWS Control Tower tersedia di AWS Israel (Tel Aviv)AWS Control Tower menambahkan 28 kontrol proaktif baruAWS Control Tower menghentikan dua kontrolAWS Control Tower landing zone versi 3.2AWS Control Tower menambahkan email-to-ID pemetaan untuk IAM Identity CenterAWS Control Tower menambahkan lebih banyak AWS Security Hub kontrolAWS Control Tower menerbitkan metadata untuk kontrol AWS Security HubAWS Control Tower menambahkan Kustomisasi Account Factory (AFC) untuk TerraformAWS Control Tower menambahkan pusat identitas IAM yang dikelola sendiriAWS Control Tower menambahkan catatan tata kelola campuranAWS Control Tower menambahkan kontrol proaktif baruAWS Control Tower memperbarui EC2 kontrol AmazonAWS Control Tower tersedia dalam tujuh tambahan Wilayah AWSKustomisasi Pabrik Akun AWS Control Tower (AFC) dan penelusuran permintaan tersedia secara umumAWS Control Tower landing zone versi 3.1Kontrol proaktif AWS Control Tower umumnya tersedia

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Januari - Desember 2023

Pada tahun 2023, AWS Control Tower merilis pembaruan berikut:

Transisi ke jenis produk AWS Service Catalog Eksternal baru (fase 3)

Desember 14, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower tidak lagi mendukung Terraform Open Source sebagai jenis produk (cetak biru) saat membuat produk baru. Akun AWS Untuk informasi selengkapnya dan petunjuk tentang memperbarui cetak biru akun Anda, tinjau Transisi ke jenis produk AWS Service Catalog Eksternal.

Jika Anda tidak memperbarui cetak biru akun untuk menggunakan jenis produk Eksternal, Anda hanya dapat memperbarui atau menghentikan akun yang Anda sediakan menggunakan cetak biru Sumber Terraform Open Source.

AWS Control Tower landing zone versi 3.3

Desember 14, 2023

(Pembaruan diperlukan untuk landing zone AWS Control Tower ke versi 3.3. Untuk informasi, lihatPerbarui landing zone Anda).

Pembaruan kebijakan bucket S3 di akun AWS Control Tower Audit

Kami telah memodifikasi kebijakan bucket Audit Amazon S3 yang diterapkan AWS Control Tower di akun, sehingga aws:SourceOrgID kondisi harus dipenuhi untuk izin menulis apa pun. Dengan rilis ini, AWS layanan memiliki akses ke sumber daya Anda hanya jika permintaan berasal dari organisasi atau unit organisasi (OU) Anda.

Anda dapat menggunakan kunci aws:SourceOrgID kondisi dan menyetel nilainya ke ID organisasi di elemen kondisi kebijakan bucket S3 Anda. Kondisi ini memastikan bahwa CloudTrail hanya dapat menulis log atas nama akun dalam organisasi Anda ke bucket S3 Anda; ini mencegah CloudTrail log di luar organisasi Anda menulis ke bucket AWS Control Tower S3 Anda.

Kami membuat perubahan ini untuk memulihkan potensi kerentanan keamanan, tanpa memengaruhi fungsionalitas beban kerja Anda yang ada. Untuk melihat kebijakan yang diperbarui, lihatKebijakan bucket Amazon S3 di akun audit.

Untuk informasi selengkapnya tentang kunci kondisi baru, lihat dokumentasi IAM dan posting blog IAM berjudul "Gunakan kontrol yang dapat diskalakan untuk AWS layanan yang mengakses sumber daya Anda.”

Pembaruan kebijakan dalam topik AWS Config SNS

Kami menambahkan kunci aws:SourceOrgID kondisi baru ke kebijakan untuk topik AWS Config SNS.Untuk melihat kebijakan yang diperbarui, lihat Kebijakan topik SNS. AWS Config

Pembaruan untuk kontrol wilayah Deny landing zone

  • Dihapusdiscovery-marketplace:. Tindakan ini dicakup oleh aws-marketplace:* pengecualian.

  • Ditambahkan quicksight:DescribeAccountSubscription

AWS CloudFormation Template yang diperbarui

Kami memperbarui AWS CloudFormation template untuk tumpukan bernama BASELINE-CLOUDTRAIL-MASTER sehingga tidak menunjukkan penyimpangan ketika AWS KMS enkripsi tidak digunakan.

Transisi ke jenis produk AWS Service Catalog Eksternal baru (fase 2)

Desember 7, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

HashiCorp memperbarui lisensi Terraform mereka. Akibatnya, AWS Service Catalog mengubah dukungan untuk produk Terraform Open Source dan menyediakan produk ke jenis produk baru, yang disebut Eksternal.

Untuk menghindari gangguan pada beban kerja dan AWS sumber daya yang ada di akun Anda, ikuti langkah transisi AWS Control Tower dalam Transisi ke jenis produk AWS Service Catalog Eksternal paling lambat 14 Desember 2023.

AWS Control Tower mengumumkan kontrol untuk membantu kedaulatan digital

November 27, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower mengumumkan 65 kontrol AWS terkelola baru, untuk membantu Anda memenuhi persyaratan kedaulatan digital Anda. Dengan rilis ini, Anda dapat menemukan kontrol ini di bawah grup kedaulatan digital baru di konsol AWS Control Tower. Anda dapat menggunakan kontrol ini untuk membantu mencegah tindakan dan mendeteksi perubahan sumber daya terkait residensi data, pembatasan akses terperinci, enkripsi, dan kemampuan ketahanan. Kontrol ini dirancang untuk memudahkan Anda menangani persyaratan dalam skala besar. Untuk informasi lebih lanjut tentang kontrol kedaulatan digital, lihat Kontrol yang meningkatkan perlindungan kedaulatan digital.

Misalnya, Anda dapat memilih untuk mengaktifkan kontrol yang membantu menerapkan strategi enkripsi dan ketahanan Anda, seperti Memerlukan cache AWS AppSync API agar enkripsi saat transit diaktifkan atau Memerlukan Firewall AWS Jaringan untuk diterapkan di beberapa Availability Zone. Anda juga dapat menyesuaikan kontrol penolakan Wilayah AWS Control Tower untuk menerapkan batasan regional yang paling sesuai dengan kebutuhan bisnis unik Anda.

Rilis ini menghadirkan kemampuan penolakan Wilayah AWS Control Tower AWS yang disempurnakan dengan baik. Anda dapat menerapkan kontrol penolakan Wilayah berparameter baru di tingkat OU, untuk meningkatkan perincian tata kelola, sambil mempertahankan tata kelola Wilayah tambahan di tingkat landing zone. Kontrol penolakan Wilayah yang dapat disesuaikan ini membantu Anda menerapkan batasan regional yang paling sesuai dengan kebutuhan bisnis unik Anda. Untuk informasi selengkapnya tentang kontrol penolakan Wilayah baru yang dapat dikonfigurasi, lihat Kontrol penolakan Wilayah yang diterapkan ke OU.

Sebagai alat baru untuk peningkatan penolakan Wilayah baru, rilis ini menyertakan API baruUpdateEnabledControl, yang memungkinkan Anda mengatur ulang kontrol yang diaktifkan ke pengaturan default. API ini sangat membantu dalam kasus penggunaan di mana Anda perlu menyelesaikan drift dengan cepat, atau untuk menjamin secara terprogram bahwa kontrol tidak dalam keadaan drift. Untuk informasi selengkapnya tentang API baru, lihat AWS Control Tower API Referensi

Kontrol proaktif baru

  • CT.APIGATEWAY.PR.6: Memerlukan domain Amazon API Gateway REST untuk menggunakan kebijakan keamanan yang menentukan versi protokol TLS minimum .2 TLSv1

  • CT.APPSYNC.PR.2: Memerlukan AWS AppSync GraphQL API untuk dikonfigurasi dengan visibilitas pribadi

  • CT.APPSYNC.PR.3: Mengharuskan AWS AppSync GraphQL API tidak diautentikasi dengan kunci API

  • CT.APPSYNC.PR.4: AWS AppSync Memerlukan cache API GraphQL agar enkripsi saat transit diaktifkan.

  • CT.APPSYNC.PR.5: Memerlukan cache AWS AppSync GraphQL API agar enkripsi saat istirahat diaktifkan.

  • CT.AUTOSCALING.PR.9: Memerlukan volume Amazon EBS yang dikonfigurasi melalui konfigurasi peluncuran Amazon EC2 Auto Scaling untuk mengenkripsi data saat istirahat

  • CT.AUTOSCALING.PR.10: Memerlukan grup EC2 Auto Scaling Amazon untuk hanya menggunakan jenis instans AWS Nitro saat mengganti template peluncuran

  • CT.AUTOSCALING.PR.11: Hanya memerlukan jenis instans AWS Nitro yang mendukung enkripsi lalu lintas jaringan antar instans untuk ditambahkan ke grup Auto EC2 Scaling Amazon, saat mengganti template peluncuran

  • CT.DAX.PR.3: Memerlukan cluster DynamoDB Accelerator untuk mengenkripsi data dalam perjalanan dengan Transport Layer Security (TLS)

  • CT.DMS.PR.2: Memerlukan Endpoint AWS Database Migration Service (DMS) untuk mengenkripsi koneksi untuk titik akhir sumber dan target

  • CT.EC2.PR.15: Memerlukan EC2 instans Amazon untuk menggunakan jenis instans AWS Nitro saat membuat dari jenis AWS::EC2::LaunchTemplate sumber daya

  • CT.EC2.PR.16: Memerlukan EC2 instans Amazon untuk menggunakan jenis instans AWS Nitro saat dibuat menggunakan tipe AWS::EC2::Instance sumber daya

  • CT.EC2.PR.17: Memerlukan host EC2 khusus Amazon untuk menggunakan jenis instans AWS Nitro

  • CT.EC2.PR.18: Memerlukan EC2 armada Amazon untuk mengganti hanya template peluncuran dengan tipe instans AWS Nitro

  • CT.EC2.PR.19: Memerlukan EC2 instans Amazon untuk menggunakan jenis instans nitro yang mendukung enkripsi dalam transit antar instance saat dibuat menggunakan tipe sumber daya AWS::EC2::Instance

  • CT.EC2.PR.20: Mengharuskan EC2 armada Amazon untuk mengganti hanya template peluncuran dengan tipe instans AWS Nitro yang mendukung enkripsi saat transit antar instance

  • CT.ELASTICACHE.PR.8: Memerlukan grup ElastiCache replikasi Amazon dari versi Redis yang lebih baru agar otentikasi RBAC diaktifkan

  • CT.MQ.PR.1: Memerlukan broker Amazon MQ ActiveMQ untuk menggunakan mode penerapan untuk ketersediaan tinggi active/standby

  • CT.MQ.PR.2: Memerlukan broker MQ Amazon MQ Rabbit untuk menggunakan mode cluster multi-AZ untuk ketersediaan tinggi

  • CT.MSK.PR.1: Memerlukan klaster Amazon Managed Streaming for Apache Kafka (MSK) untuk menerapkan enkripsi saat transit antar node broker cluster

  • CT.MSK.PR.2: Memerlukan cluster Amazon Managed Streaming for Apache Kafka (MSK) untuk dikonfigurasi dengan dinonaktifkan PublicAccess

  • CT.NETWORK-FIREWALL.PR.5: Memerlukan firewall AWS Network Firewall untuk digunakan di beberapa Availability Zone

  • CT.RDS.PR.26: Memerlukan Proxy Amazon RDS DB untuk meminta koneksi Transport Layer Security (TLS)

  • CT.RDS.PR.27: Memerlukan grup parameter cluster Amazon RDS DB untuk meminta koneksi Transport Layer Security (TLS) untuk tipe engine yang didukung

  • CT.RDS.PR.28: Memerlukan grup parameter Amazon RDS DB untuk meminta koneksi Transport Layer Security (TLS) untuk jenis engine yang didukung

  • CT.RDS.PR.29: Memerlukan klaster Amazon RDS yang tidak dikonfigurasi agar dapat diakses publik melalui properti '' PubliclyAccessible

  • CT.RDS.PR.30: Mengharuskan instans database Amazon RDS memiliki enkripsi saat istirahat yang dikonfigurasi untuk menggunakan kunci KMS yang Anda tentukan untuk jenis engine yang didukung

  • CT.S3.PR.12: Memerlukan jalur akses Amazon S3 untuk memiliki konfigurasi Block Public Access (BPA) dengan semua opsi disetel ke true

Kontrol preventif baru

  • CT.APPSYNC.PV.1Mengharuskan AWS AppSync GraphQL API dikonfigurasi dengan visibilitas pribadi

  • CT.EC2.PV.1Memerlukan snapshot Amazon EBS dibuat dari volume terenkripsi EC2

  • CT.EC2.PV.2Mengharuskan volume Amazon EBS terlampir dikonfigurasi untuk mengenkripsi data saat istirahat

  • CT.EC2.PV.3Mengharuskan snapshot Amazon EBS tidak dapat dipulihkan secara publik

  • CT.EC2.PV.4Mengharuskan Amazon EBS langsung APIs tidak dipanggil

  • CT.EC2.PV.5Larang penggunaan impor dan ekspor Amazon EC2 VM

  • CT.EC2.PV.6Larang penggunaan tindakan Amazon EC2 RequestSpotFleet dan API yang tidak digunakan lagi RequestSpotInstances

  • CT.KMS.PV.1Memerlukan kebijakan AWS KMS kunci untuk memiliki pernyataan yang membatasi pembuatan AWS KMS hibah untuk layanan AWS

  • CT.KMS.PV.2Mengharuskan kunci AWS KMS asimetris dengan bahan kunci RSA yang digunakan untuk enkripsi tidak memiliki panjang kunci 2048 bit

  • CT.KMS.PV.3Mengharuskan AWS KMS kunci dikonfigurasi dengan pemeriksaan keamanan penguncian kebijakan bypass diaktifkan

  • CT.KMS.PV.4Mengharuskan kunci yang AWS KMS dikelola pelanggan (CMK) dikonfigurasi dengan materi utama yang berasal dari CloudHSM AWS

  • CT.KMS.PV.5Mengharuskan kunci yang AWS KMS dikelola pelanggan (CMK) dikonfigurasi dengan materi kunci yang diimpor

  • CT.KMS.PV.6Mengharuskan kunci yang AWS KMS dikelola pelanggan (CMK) dikonfigurasi dengan materi kunci yang berasal dari penyimpanan kunci eksternal (XKS)

  • CT.LAMBDA.PV.1Memerlukan URL AWS Lambda fungsi untuk menggunakan otentikasi AWS berbasis IAM

  • CT.LAMBDA.PV.2Memerlukan URL AWS Lambda fungsi untuk dikonfigurasi untuk akses hanya oleh prinsipal di dalam Akun AWS

AWS Control Tower landing zone APIs

November 26, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower kini menawarkan APIs yang membantu Anda mengelola landing zone secara terprogram. Ini APIs memungkinkan Anda untuk membuat, memperbarui, dan mengatur ulang landing zone Anda, serta mengambil informasi tentang konfigurasi dan operasi landing zone Anda. Untuk informasi selengkapnya, lihat contoh API zona pendaratan.

Landing zone APIs tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia, kecuali Wilayah GovCloud (AS). Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

Penandaan kontrol AWS Control Tower APIs

November 10, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower kini menawarkan APIs yang membantu Anda menandai kontrol yang diaktifkan secara terprogram. Ini APIs memungkinkan Anda untuk menambahkan, menghapus, dan mencantumkan tag untuk kontrol yang diaktifkan. Untuk informasi selengkapnya, lihat Menandai sumber daya AWS Control Tower.

Penandaan kontrol APIs tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia, kecuali Wilayah GovCloud (AS). Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower tersedia di AWS Asia Pasifik (Melbourne)

November 3, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower tersedia di Asia Pasifik (Melbourne). Untuk daftar lengkap Wilayah di mana AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

Transisi ke jenis produk AWS Service Catalog Eksternal baru (fase 1)

Oktober 31, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

HashiCorp memperbarui lisensi Terraform mereka. Akibatnya, AWS Service Catalog mengubah dukungan untuk produk Terraform Open Source dan menyediakan produk ke jenis produk baru, yang disebut Eksternal.

Untuk menghindari gangguan pada beban kerja dan AWS sumber daya yang ada di akun Anda, ikuti langkah transisi AWS Control Tower dalam Transisi ke jenis produk AWS Service Catalog Eksternal paling lambat 14 Desember 2023.

AWS Control Tower menambahkan API kontrol baru

Oktober 27, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower kini menawarkan API baruUpdateEnabledControl, yang memungkinkan Anda memperbarui kontrol yang diaktifkan. API ini sangat membantu dalam kasus penggunaan di mana Anda perlu menyelesaikan drift dengan cepat, atau untuk menjamin secara terprogram bahwa kontrol tidak dalam keadaan drift. Untuk informasi selengkapnya tentang API baru, lihat Referensi AWS Control Tower API.

UpdateEnabledControlAPI tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia, kecuali Wilayah GovCloud (AS). Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower menambahkan kontrol baru

Oktober 20, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower telah menambahkan 22 kontrol baru ke perpustakaan kontrol AWS Control Tower. Kontrol ini membantu Anda menerapkan praktik terbaik untuk AWS sumber daya Anda. Untuk informasi selengkapnya tentang kontrol baru, lihat Kategori kontrol.

Kontrol baru tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower mendeteksi drift akses tepercaya

Oktober 13, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower sekarang mendeteksi dan melaporkan penyimpangan untuk pengaturan akses tepercaya. Pengaturan akses tepercaya memungkinkan AWS Control Tower berinteraksi dengan AWS layanan lain atas nama Anda. Jika pengaturan ini diubah di luar AWS Control Tower, AWS Control Tower akan mendeteksi drift dan melaporkannya di konsol AWS Control Tower. Untuk informasi selengkapnya tentang drift akses tepercaya, lihat Jenis penyimpangan tata kelola.

Deteksi drift akses tepercaya tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower tersedia dalam empat tambahan Wilayah AWS

September 29, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower tersedia dalam empat tambahan Wilayah AWS: Asia Pasifik (Hyderabad), Asia Pasifik (Jakarta), Eropa (Spanyol), dan Eropa (Zurich). Untuk daftar lengkap Wilayah di mana AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower tersedia di AWS Israel (Tel Aviv)

Agustus 1, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower tersedia di Israel (Tel Aviv). Untuk daftar lengkap Wilayah di mana AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower menambahkan 28 kontrol proaktif baru

Juli 27, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower telah menambahkan 28 kontrol proaktif baru ke perpustakaan kontrol AWS Control Tower. Kontrol ini membantu Anda menerapkan praktik terbaik untuk AWS sumber daya Anda. Untuk informasi selengkapnya tentang kontrol baru, lihat Kategori kontrol.

Kontrol baru tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower menghentikan dua kontrol

Juli 27, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower telah menghentikan dua kontrol: dan. CT.CLOUDFORMATION.PR.2 CT.CLOUDFORMATION.PR.3 Kontrol ini tidak lagi tersedia di pustaka kontrol AWS Control Tower. Untuk informasi selengkapnya tentang kontrol yang tidak digunakan lagi, lihat Kategori kontrol.

Kontrol usang tidak lagi tersedia di manapun. Wilayah AWS

AWS Control Tower landing zone versi 3.2

Juni 16, 2023

(Pembaruan diperlukan untuk landing zone AWS Control Tower ke versi 3.2. Untuk informasi, lihatPerbarui landing zone Anda).

AWS Control Tower landing zone versi 3.2 menghadirkan kontrol yang merupakan bagian dari Standar yang AWS Security Hub Dikelola Layanan: AWS Control Tower ke ketersediaan umum. Ini memperkenalkan kemampuan untuk melihat status drift kontrol yang merupakan bagian dari standar ini di konsol AWS Control Tower.

Pembaruan ini mencakup peran terkait layanan (SLR) baru, yang disebut Menara. AWSService RoleFor AWSControl Peran ini membantu AWS Control Tower dengan membuat Aturan EventBridge Terkelola, yang disebut AWSControlTowerManagedRuledi setiap akun anggota. Aturan terkelola ini mengumpulkan peristiwa AWS Security Hub Finding, dari AWS Control Tower dapat menentukan penyimpangan kontrol.

Aturan ini adalah aturan terkelola pertama yang dibuat oleh AWS Control Tower. Aturan ini tidak digunakan oleh tumpukan; itu diterapkan langsung dari file. EventBridge APIs Anda dapat melihat aturan di EventBridge konsol, atau dengan cara EventBridge APIs. Jika managed-by bidang diisi, itu akan menampilkan prinsip layanan AWS Control Tower.

Sebelumnya, AWS Control Tower AWSControlTowerExecutionberperan untuk melakukan operasi di akun anggota. Peran dan aturan baru ini lebih selaras dengan prinsip praktik terbaik yang memungkinkan hak istimewa paling sedikit saat melakukan operasi di lingkungan AWS multi-akun. Peran baru ini memberikan izin cakupan ke bawah yang secara khusus memungkinkan: membuat aturan terkelola di akun anggota, mempertahankan aturan terkelola, menerbitkan pemberitahuan keamanan melalui SNS, dan memverifikasi penyimpangan. Untuk informasi selengkapnya, lihat AWSServiceRoleForAWSControlMenara.

Pembaruan landing zone 3.2 juga menyertakan StackSet sumber daya baru di akun manajemenBP_BASELINE_SERVICE_LINKED_ROLE, yang awalnya menyebarkan peran terkait layanan.

Saat melaporkan drift kontrol Security Hub (di landing zone 3.2 dan yang lebih baru), AWS Control Tower menerima pembaruan status harian dari Security Hub. Meskipun kontrol aktif di setiap Wilayah yang diatur, AWS Control Tower mengirimkan peristiwa AWS Security Hub Finding ke Wilayah home AWS Control Tower saja. Untuk informasi selengkapnya, lihat Security Hub mengontrol pelaporan drift.

Perbarui ke kontrol Tolak Wilayah

Versi landing zone ini juga menyertakan pembaruan ke kontrol Region Deny.

Layanan global dan APIs ditambahkan

  • AWS Manajemen Penagihan dan Biaya (billing:*)

  • AWS CloudTrail (cloudtrail:LookupEvents) untuk memungkinkan visibilitas peristiwa global di akun anggota.

  • AWS Penagihan Konsolidasi () consolidatedbilling:*

  • AWS Manajemen Console Mobile Application (consoleapp:*)

  • AWS Tingkat Gratis (freetier:*)

  • AWS Invoicing (invoicing:*)

  • AWS IQ () iq:*

  • AWS Pemberitahuan Pengguna (notifications:*)

  • AWS Kontak Pemberitahuan Pengguna (notifications-contacts:*)

  • Amazon Payments (payments:*)

  • AWS Pengaturan Pajak (tax:*)

Layanan global dan APIs dihapus

  • Dihapus s3:GetAccountPublic karena ini bukan tindakan yang valid.

  • Dihapus s3:PutAccountPublic karena ini bukan tindakan yang valid.

AWS Control Tower menambahkan email-to-ID pemetaan untuk IAM Identity Center

Juli 13, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower sekarang mendukung email-to-ID pemetaan untuk IAM Identity Center. Fitur ini memungkinkan Anda untuk memetakan alamat email ke pengguna IAM Identity Center IDs, yang membuatnya lebih mudah untuk mengelola akses pengguna ke lingkungan AWS Control Tower Anda. Untuk informasi selengkapnya tentang email-to-ID pemetaan, lihat Integrasi dengan Pusat Identitas IAM.

Email-to-ID pemetaan tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower menambahkan lebih banyak AWS Security Hub kontrol

Juni 29, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower telah menambahkan lebih banyak AWS Security Hub kontrol ke pustaka kontrol AWS Control Tower. Kontrol ini membantu Anda menerapkan praktik terbaik untuk AWS sumber daya Anda. Untuk informasi selengkapnya tentang kontrol baru, lihat Kategori kontrol.

Kontrol baru tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower menerbitkan metadata untuk kontrol AWS Security Hub

Juni 22, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower sekarang menerbitkan metadata untuk kontrol. AWS Security Hub Metadata ini mencakup informasi tentang kontrol, seperti ID kontrol, judul kontrol, dan deskripsi kontrol. Untuk informasi selengkapnya tentang metadata, lihat Mengontrol metadata.

Metadata kontrol tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower menambahkan Kustomisasi Account Factory (AFC) untuk Terraform

Juni 15, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower sekarang mendukung Kustomisasi Account Factory (AFC) untuk Terraform. Fitur ini memungkinkan Anda menggunakan Terraform untuk menyesuaikan akun AWS Control Tower Anda. Untuk informasi lebih lanjut tentang AFC untuk Terraform, lihat Kustomisasi Account Factory untuk Terraform.

AFC untuk Terraform tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower menambahkan pusat identitas IAM yang dikelola sendiri

Juni 8, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower sekarang mendukung pusat identitas IAM yang dikelola sendiri. Fitur ini memungkinkan Anda untuk menggunakan penyedia identitas Anda sendiri dengan AWS Control Tower. Untuk informasi selengkapnya tentang pusat identitas IAM yang dikelola sendiri, lihat Pusat identitas IAM.

Pusat identitas IAM yang dikelola sendiri tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower menambahkan catatan tata kelola campuran

Juni 1, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower sekarang menyertakan catatan tentang tata kelola campuran. Catatan ini menjelaskan cara AWS Control Tower bekerja dengan AWS layanan lain untuk menyediakan tata kelola AWS sumber daya Anda. Untuk informasi lebih lanjut tentang tata kelola campuran, lihat Tata kelola campuran.

Catatan tata kelola campuran tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower menambahkan kontrol proaktif baru

25 Mei 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower telah menambahkan kontrol proaktif baru ke pustaka kontrol AWS Control Tower. Kontrol ini membantu Anda menerapkan praktik terbaik untuk AWS sumber daya Anda. Untuk informasi selengkapnya tentang kontrol baru, lihat Kategori kontrol.

Kontrol baru tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower memperbarui EC2 kontrol Amazon

18 Mei 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower telah memperbarui EC2 kontrol Amazon di pustaka kontrol AWS Control Tower. Pembaruan ini meningkatkan keamanan dan keandalan lingkungan AWS Control Tower Anda. Untuk informasi selengkapnya tentang kontrol yang diperbarui, lihat Kategori kontrol.

Kontrol yang diperbarui tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower tersedia dalam tujuh tambahan Wilayah AWS

11 Mei 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

AWS Control Tower tersedia dalam tujuh tambahan Wilayah AWS: Asia Pasifik (Osaka), Kanada (Tengah), Eropa (Milan), Eropa (Stockholm), Timur Tengah (Bahrain), Timur Tengah (UEA), dan Amerika Selatan (São Paulo). Untuk daftar lengkap Wilayah di mana AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

Kustomisasi Pabrik Akun AWS Control Tower (AFC) dan penelusuran permintaan tersedia secara umum

April 27, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

Kustomisasi Pabrik Akun AWS Control Tower (AFC) dan penelusuran permintaan sekarang tersedia secara umum. AFC memungkinkan Anda untuk menyesuaikan akun AWS Control Tower Anda, dan penelusuran permintaan memungkinkan Anda melacak status permintaan AWS Control Tower Anda. Untuk informasi selengkapnya tentang AFC dan penelusuran permintaan, lihat Kustomisasi Account Factory dan Penelusuran permintaan.

AFC dan penelusuran permintaan tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.

AWS Control Tower landing zone versi 3.1

9 Februari 2023

(Pembaruan diperlukan untuk landing zone AWS Control Tower ke versi 3.1. Untuk informasi, lihatPerbarui landing zone Anda)

AWS Control Tower landing zone versi 3.1 mencakup pembaruan berikut:

  • Dengan rilis ini, AWS Control Tower menonaktifkan pencatatan akses yang tidak perlu untuk bucket logging akses Anda, yang merupakan bucket Amazon S3 tempat log akses disimpan di akun Arsip Log, sambil terus mengaktifkan pencatatan akses server untuk bucket S3. Rilis ini juga mencakup pembaruan pada kontrol Region Deny yang memungkinkan tindakan tambahan untuk layanan global, seperti Dukungan Paket dan AWS Artifact.

  • Penonaktifan pencatatan akses server untuk bucket logging akses AWS Control Tower menyebabkan Security Hub membuat temuan untuk bucket logging akses akun Arsip Log, karena AWS Security Hub aturan, pencatatan akses server bucket [S3.9] S3 harus diaktifkan. Sejalan dengan Security Hub, sebaiknya Anda menekan temuan khusus ini, seperti yang dinyatakan dalam deskripsi Security Hub dari aturan ini. Untuk informasi tambahan, lihat informasi tentang temuan yang ditekan.

  • Pencatatan akses untuk bucket logging (reguler) di akun Arsip Log tidak berubah di versi 3.1. Sejalan dengan praktik terbaik, peristiwa akses untuk bucket tersebut direkam sebagai entri log di bucket logging akses. Untuk informasi selengkapnya tentang pencatatan akses, lihat Permintaan logging menggunakan pencatatan akses server di dokumentasi Amazon S3.

  • Kami membuat pembaruan kontrol Region Deny. Pembaruan ini memungkinkan tindakan oleh lebih banyak layanan global. Untuk detail SCP ini, lihat Tolak akses AWS berdasarkan permintaan Wilayah AWS dan Kontrol yang meningkatkan perlindungan residensi data.

    Layanan global menambahkan:

    • AWS Account Management (account:*)

    • AWS Aktifkan (activate:*)

    • AWS Artifact (artifact:*)

    • AWS Billing Conductor (billingconductor:*)

    • AWS Compute Optimizer (compute-optimizer:*)

    • AWS Data Pipeline (datapipeline:GetAccountLimits)

    • AWS Device Farm(devicefarm:*)

    • AWS Marketplace (discovery-marketplace:*)

    • Amazon ECR () ecr-public:*

    • AWS License Manager (license-manager:ListReceivedLicenses)

    • AWS Lightsail () lightsail:Get*

    • Penjelajah Sumber Daya AWS (resource-explorer-2:*)

    • Amazon S3 (s3:CreateMultiRegionAccessPoint,,s3:GetBucketPolicyStatus) s3:PutMultiRegionAccessPointPolicy

    • AWS Savings Plans (savingsplans:*)

    • Pusat Identitas IAM () sso:*

    • AWS Support App (supportapp:*)

    • Dukungan Rencana (supportplans:*)

    • AWS Keberlanjutan () sustainability:*

    • AWS Resource Groups Tagging API (tag:GetResources)

    • AWS Marketplace Wawasan Vendor () vendor-insights:ListEntitledSecurityProfiles

Kontrol proaktif AWS Control Tower umumnya tersedia

April 13, 2023

(Tidak diperlukan pembaruan untuk landing zone AWS Control Tower.)

Kontrol proaktif AWS Control Tower sekarang tersedia secara umum. Kontrol proaktif membantu Anda menerapkan praktik terbaik untuk sumber daya Anda AWS . Untuk informasi selengkapnya tentang kontrol proaktif, lihat Kontrol proaktif.

Kontrol proaktif tersedia di semua Wilayah AWS tempat AWS Control Tower tersedia. Untuk daftar Wilayah AWS tempat AWS Control Tower tersedia, lihat Wilayah AWS Tabel.