2023 年 1 月~12 月 - AWS Control Tower
新しいAWS Service Catalog外部製品タイプへの移行 (フェーズ 3)AWS Control Tower ランディングゾーンバージョン 3.3新しいAWS Service Catalog外部製品タイプへの移行 (フェーズ 2)AWS Control Tower がデジタル主権を支援するコントロールを発表AWS Control Tower ランディングゾーン APIAWS Control Tower コントロールのタグ付け APIAWSアジアパシフィック (メルボルン) で AWS Control Tower が利用可能に新しいAWS Service Catalog外部製品タイプへの移行 (フェーズ 1)AWS Control Tower で新しいコントロール API が追加されましたAWS Control Tower で新しいコントロールが追加されましたAWS Control Tower で信頼されるアクセスドリフトを検出するAWS Control Tower が 4 つの追加で利用可能にAWS リージョンAWSイスラエル (テルアビブ) で AWS Control Tower が利用可能にAWS Control Tower に 28 個の新しいプロアクティブコントロールを追加AWS Control Tower で 2 つのコントロールが廃止されますAWS Control Tower ランディングゾーンバージョン 3.2AWS Control Tower に IAM Identity Center の email-to-IDマッピングが追加されましたAWS Control Tower がAWS Security Hub CSPMコントロールを追加AWS Control Tower がAWS Security Hub CSPMコントロールのメタデータを発行するAWS Control Tower に Terraform 用の Account Factory Customization (AFC) を追加AWS Control Tower にセルフマネージド IAM アイデンティティセンターを追加AWS Control Tower に 混合ガバナンスの注意事項を追加AWS Control Tower に新しいプロアクティブコントロールを追加AWS Control Tower で Amazon EC2 コントロールを更新するAWS Control Tower が 7 つの追加で利用可能にAWS リージョンAWS Control Tower Account Factory Customization (AFC) とリクエストトレースが一般利用可能AWS Control Tower ランディングゾーンバージョン 3.1AWS Control Tower プロアクティブコントロールが一般利用可能

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

2023 年 1 月~12 月

2023 年、AWS Control Tower は次の更新をリリースしました。

新しいAWS Service Catalog外部製品タイプへの移行 (フェーズ 3)

2023 年 12 月 14 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、新規作成時に製品タイプ (ブループリント) として Terraform Open Source をサポートしなくなりましたAWS アカウント。アカウントブループリントの更新の詳細と手順については、AWS Service Catalog「外部製品タイプへの移行」を参照してください。

External 製品タイプを使用するようにアカウントブループリントを更新しない場合、Terraform オープンソースブループリントを使用してプロビジョニングしたアカウントの更新または終了のみが可能です。

AWS Control Tower ランディングゾーンバージョン 3.3

2023 年 12 月 14 日

(AWS Control Tower ランディングゾーンをバージョン 3.3 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください)。

AWS Control Tower 監査アカウントの S3 バケットポリシーの更新

AWS Control Tower がアカウントにデプロイする Amazon S3 監査バケットポリシーが変更されました。これにより、すべての書き込みアクセス許可のためには aws:SourceOrgID 条件を満たす必要があります。このリリースでは、リクエストが組織または組織単位 (OU) から送信された場合にのみ、AWSサービスはリソースにアクセスできます。

aws:SourceOrgID 条件キーを使用して、S3 バケットポリシーの条件要素で [組織 ID] の値を設定できます。この条件によってのみ、CloudTrail は組織内のアカウントに代わってお客様の S3 バケットへログを書き込めるようになり、組織外の CloudTrail ログによるお客様の AWS Control Tower S3 バケットへの書き込みを防ぎます。

この変更は、既存のワークロードの機能に影響を与えることなく、潜在的なセキュリティ上の脆弱性を修正するために行われました。更新されたポリシーを表示する方法については、「監査アカウントの Amazon S3 バケットポリシー」を参照してください。

新しい条件キーの詳細については、IAM ドキュメントと「リソースにアクセスするAWSサービスにスケーラブルなコントロールを使用する」というタイトルの IAM ブログ記事を参照してください。

SNS AWS Configトピックのポリシーの更新

AWS Config SNS のポリシーに新しいaws:SourceOrgID条件キーを追加しました。更新されたポリシー topic.To を表示します。AWS Config「SNS トピックポリシー」を参照してください。

ランディングゾーンのリージョン拒否コントロールの更新

  • discovery-marketplace: を削除しました。このアクションは aws-marketplace:* 除外の対象となります。

  • quicksight:DescribeAccountSubscription」を追加

CloudFormationテンプレートの更新

AWS KMS暗号化が使用されていないときに にドリフトが表示されないようにBASELINE-CLOUDTRAIL-MASTER、 という名前のスタックのCloudFormationテンプレートを更新しました。

新しいAWS Service Catalog外部製品タイプへの移行 (フェーズ 2)

2023 年 12 月 7 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

HashiCorp が Terraform ライセンスを更新しました。その結果、Terraform Open Source 製品とプロビジョニング済み製品のサポートが External という新しい製品タイプAWS Service Catalogに変更されました。

アカウント内の既存のワークロードとAWSリソースの中断を回避するには、2023 年 12 月 14 日までにAWS Service Catalog「外部製品タイプへの移行」の「AWS Control Tower の移行手順」に従ってください。

AWS Control Tower がデジタル主権を支援するコントロールを発表

2023 年 11 月 27 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、デジタル主権要件を満たすのに役立つ 65 の新しいAWSマネージドコントロールを発表しました。このリリースでは、これらのコントロールを AWS Control Tower コンソールの新しいデジタル主権グループで確認できます。これらのコントロールを利用することで、データレジデンシーきめ細かなアクセス制限暗号化レジリエンシー機能に関するアクションを防止したり、リソースの変更を検出したりできます。これらのコントロールは、要件に対して大規模かつ簡単に対応できるように設計されています。デジタル主権コントロールの詳細については、「Controls that enhance digital sovereignty protection」を参照してください。

たとえば、AWS AppSync API キャッシュで転送中の暗号化を有効にしたり、Network Firewall を複数のアベイラビリティーゾーンにデプロイしたりする必要があるなど、AWS暗号化と回復戦略を適用するのに役立つコントロールを有効にすることができます。また、AWS Control Tower のリージョン拒否コントロールをカスタマイズして、独自のビジネスニーズに最適なリージョン別の制限を適用することもできます。

このリリースでは、AWS Control Tower のリージョン拒否機能が大幅に強化されています。パラメータ化された新しいリージョン拒否コントロールを OU レベルで適用して、ガバナンスの細分性を高めながら、ランディングゾーンレベルでの追加のリージョンガバナンスを維持できます。このカスタマイズ可能なリージョン拒否コントロールにより、独自のビジネスニーズに最適なリージョン別の制限を適用できます。新しい設定可能なリージョン拒否コントロールの詳細については、「Region deny control applied to the OU」を参照してください。

リージョン拒否の新しい強化ツールとして、このリリースには新しい API、UpdateEnabledControl が含まれています。これにより、有効にしたコントロールをデフォルト設定にリセットできます。この API は、ドリフトを迅速に解決する必要がある場合や、コントロールがドリフト状態でないことをプログラムで確認する必要がある場合に特に役立ちます。新しい API の詳細については、「AWS Control Tower API リファレンス」を参照してください。

新しいプロアクティブコントロール

  • CT.APIGATEWAY.PR.6: Amazon API Gateway REST ドメインでは TLS プロトコルの最小バージョン TLSv1.2 を指定するセキュリティポリシーを使用する必要があります

  • CT.APPSYNC.PR.2:AWS AppSync GraphQL API をプライベート可視性で設定する必要があります

  • CT.APPSYNC.PR.3:AWS AppSync GraphQL API が API キーで認証されていない必要があります

  • CT.APPSYNC.PR.4:AWS AppSync GraphQL API キャッシュで転送中の暗号化を有効にする必要があります。

  • CT.APPSYNC.PR.5:AWS AppSync GraphQL API キャッシュで保管時の暗号化を有効にする必要があります。

  • CT.AUTOSCALING.PR.9: Amazon EC2 Auto Scaling 起動設定を使用して設定した Amazon EBS ボリュームでは、保管中のデータを暗号化する必要があります

  • CT.AUTOSCALING.PR.10: 起動テンプレートを上書きするときに、Amazon EC2 Auto Scaling グループがAWS Nitro インスタンスタイプのみを使用する必要がある

  • CT.AUTOSCALING.PR.11: 起動テンプレートを上書きするときに、インスタンス間のネットワークトラフィックの暗号化をサポートするAWS Nitro インスタンスタイプのみを Amazon EC2 Auto Scaling グループに追加する必要があります

  • CT.DAX.PR.3: DynamoDB Accelerator クラスターでは Transport Layer Security (TLS) を使用して転送中のデータを暗号化する必要があります

  • CT.DMS.PR.2:AWS Database Migration Service (DMS) エンドポイントがソースエンドポイントとターゲットエンドポイントの接続を暗号化する必要がある

  • CT.EC2.PR.15: Amazon EC2 インスタンスは、AWS::EC2::LaunchTemplate リソースタイプから作成する場合、AWS Nitro インスタンスタイプを使用する必要があります

  • CT.EC2.PR.16: Amazon EC2 インスタンスは、AWS::EC2::Instance リソースタイプを使用して作成した場合、AWS Nitro インスタンスタイプを使用する必要があります

  • CT.EC2.PR.17: Amazon EC2 専有ホストでは AWS Nitro インスタンスタイプを使用する必要があります

  • CT.EC2.PR.18: Amazon EC2 フリートは、これらの起動テンプレートのみをAWS Nitro インスタンスタイプで上書きする必要があります

  • CT.EC2.PR.19: Amazon EC2 インスタンスは、AWS::EC2::Instance リソースタイプを使用して作成した場合、インスタンス間の転送中の暗号化をサポートする Nitro インスタンスタイプを使用する必要があります

  • CT.EC2.PR.20: Amazon EC2 フリートは、インスタンス間の転送中の暗号化をサポートするAWS Nitro インスタンスタイプを持つ起動テンプレートのみを上書きする必要があります。

  • CT.ELASTICACHE.PR.8: 新しい Redis バージョンの Amazon ElastiCache レプリケーショングループでは RBAC 認証をアクティブにする必要があります

  • CT.MQ.PR.1: Amazon MQ ActiveMQ ブローカーでは、高可用性を確保するためにアクティブ/スタンバイデプロイモードを使用する必要があります

  • CT.MQ.PR.2: Amazon MQ Rabbit MQ ブローカーでは、高可用性を確保するためにマルチ AZ クラスターモードを使用する必要があります

  • CT.MSK.PR.1: Amazon Managed Streaming for Apache Kafka (MSK) クラスターでは、クラスターブローカーノード間の転送中の暗号化を適用する必要があります

  • CT.MSK.PR.2: Amazon Managed Streaming for Apache Kafka (MSK) クラスターでは、PublicAccess を無効に設定する必要があります

  • CT.NETWORK-FIREWALL.PR.5:AWS Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります

  • CT.RDS.PR.26: Amazon RDS DB Proxy は Transport Layer Security (TLS) 接続を要求する必要があります

  • CT.RDS.PR.27: Amazon RDS DB クラスターパラメータグループは、サポートしているエンジンタイプのために Transport Layer Security (TLS) 接続を要求する必要があります

  • CT.RDS.PR.28: Amazon RDS DB パラメータグループは、サポートしているエンジンタイプのために Transport Layer Security (TLS) 接続を要求する必要があります

  • CT.RDS.PR.29: Amazon RDS クラスターは、「PubliclyAccessible」プロパティを使用してパブリックでアクセスできないように設定する必要があります

  • CT.RDS.PR.30: Amazon RDS データベースインスタンスでは、サポートしているエンジンタイプのために指定した KMS キーを使用するように保管中の暗号化を設定する必要があります

  • CT.S3.PR.12: Amazon S3 のアクセスポイントでは、パブリックアクセスブロック (BPA) 設定のすべてのオプションを true に設定する必要があります

新しい予防コントロール

  • CT.APPSYNC.PV.1AWS AppSync GraphQL API がプライベート可視性で設定されている必要があります

  • CT.EC2.PV.1 Amazon EBS スナップショットは、暗号化した EC2 ボリュームから作成する必要があります

  • CT.EC2.PV.2 アタッチした Amazon EBS ボリュームは、保管中のデータを暗号化するように設定する必要があります

  • CT.EC2.PV.3 Amazon EBS スナップショットはパブリックに復元できないようにする必要があります

  • CT.EC2.PV.4 Amazon EBS direct API が呼び出されないようにする必要があります

  • CT.EC2.PV.5 Amazon EC2 VM のインポートとエクスポートの使用を禁止します

  • CT.EC2.PV.6 廃止された Amazon EC2 RequestSpotFleet および RequestSpotInstances API アクションの使用を禁止します

  • CT.KMS.PV.1AWSサービスへのAWS KMS許可の作成を制限するステートメントをAWS KMSキーポリシーに要求する

  • CT.KMS.PV.2 暗号化に使用される RSA キーマテリアルを持つAWS KMS非対称キーのキー長が 2048 ビットでない必要があります

  • CT.KMS.PV.3 バイパスポリシーのロックアウト安全チェックを有効にしてAWS KMSキーを設定する必要があります

  • CT.KMS.PV.4AWS KMSカスタマーマネージドキー (CMK) がAWS CloudHSM から発信されるキーマテリアルで設定されている必要があります

  • CT.KMS.PV.5AWS KMSカスタマーマネージドキー (CMK) がインポートされたキーマテリアルで設定されている必要があります

  • CT.KMS.PV.6AWS KMSカスタマーマネージドキー (CMK) は、外部キーストア (XKS) から発信されるキーマテリアルで設定する必要があります。

  • CT.LAMBDA.PV.1AWS Lambda関数 URL にAWS IAM ベースの認証の使用を要求する

  • CT.LAMBDA.PV.2AWS Lambda関数 URL は、 内のプリンシパルのみがアクセスできるように設定する必要があります。AWS アカウント

AWS Control Tower ランディングゾーン API

2023 年 11 月 26 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower で、プログラムを使用してランディングゾーンを管理できる API が提供されるようになりました。これらの API を使用すると、ランディングゾーンを作成、更新、リセットしたり、ランディングゾーンの設定とオペレーションに関する情報を取得したりできます。詳細については、「ランディングゾーン API の例」を参照してください。

ランディングゾーン APIsは、GovCloud (米国)AWS リージョンリージョンを除く、AWS Control Tower が利用可能なすべての で使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower コントロールのタグ付け API

2023 年 11 月 10 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower で、プログラムを使用して有効なコントロールにタグ付けする API が提供されるようになりました。これらの API を使用すると、有効なコントロールのタグを追加、削除、一覧表示できます。詳細については、「AWS Control Tower リソースのタグ付け」を参照してください。

コントロールタグ付け APIsは、 GovCloud (米国) リージョンを除く、AWS Control Tower AWS リージョンが利用可能なすべての で使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWSアジアパシフィック (メルボルン) で AWS Control Tower が利用可能に

2023 年 11 月 3 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower がアジアパシフィック (メルボルン) で利用可能です。AWS Control Tower を使用できるリージョンの全リストについては、「AWS リージョンの表」を参照してください。

新しいAWS Service Catalog外部製品タイプへの移行 (フェーズ 1)

2023 年 10 月 31 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

HashiCorp が Terraform ライセンスを更新しました。その結果、Terraform Open Source 製品とプロビジョニング済み製品のサポートが External という新しい製品タイプAWS Service Catalogに変更されました。

アカウント内の既存のワークロードとAWSリソースの中断を回避するには、2023 年 12 月 14 日までにAWS Service Catalog「外部製品タイプへの移行」の「AWS Control Tower の移行手順」に従ってください。

AWS Control Tower で新しいコントロール API が追加されました

2023 年 10 月 27 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower で、有効なコントロールを更新できる新しい API、UpdateEnabledControl が提供されるようになりました。この API は、ドリフトを迅速に解決する必要がある場合や、コントロールがドリフト状態でないことをプログラムで確認する必要がある場合に特に役立ちます。新しい API の詳細については、「AWS Control Tower API リファレンス」を参照してください。

UpdateEnabledControl API は、 GovCloud (米国) リージョンを除く、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、「AWS リージョンの表」を参照してください。

AWS Control Tower で新しいコントロールが追加されました

2023 年 10 月 20 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower に、AWS Control Tower コントロールライブラリに 22 個の新しいコントロールが追加されました。これらのコントロールは、AWSリソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「Control のカテゴリ」を参照してください。

新しいコントロールは、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower で信頼されるアクセスドリフトを検出する

2023 年 10 月 13 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、信頼されるアクセス設定のドリフトを検出して報告するようになりました。信頼できるアクセス設定により、AWS Control Tower はユーザーに代わって他のAWSサービスとやり取りできます。これらの設定が AWS Control Tower の外部で変更された場合、AWS Control Tower はドリフトを検出し、AWS Control Tower コンソールで報告します。信頼されるアクセスのドリフトに関する詳細については、「ガバナンスドリフトのタイプ」を参照してください。

信頼できるアクセスドリフト検出は、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower が 4 つの追加で利用可能にAWS リージョン

2023 年 9 月 29 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower はAWS リージョン、アジアパシフィック (ハイデラバード)、アジアパシフィック (ジャカルタ)、欧州 (スペイン)、欧州 (チューリッヒ) の 4 つの追加で利用できます。AWS Control Tower を使用できるリージョンの全リストについては、「AWS リージョンの表」を参照してください。

AWSイスラエル (テルアビブ) で AWS Control Tower が利用可能に

2023 年 8 月 1 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower がイスラエル (テルアビブ) で利用可能です。AWS Control Tower を使用できるリージョンの全リストについては、「AWS リージョンの表」を参照してください。

AWS Control Tower に 28 個の新しいプロアクティブコントロールを追加

2023 年 7 月 27 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower に、AWS Control Tower コントロールライブラリに 28 個の新しいプロアクティブコントロールが追加されました。これらのコントロールは、AWSリソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「Control のカテゴリ」を参照してください。

新しいコントロールは、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower で 2 つのコントロールが廃止されます

2023 年 7 月 27 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower で、CT.CLOUDFORMATION.PR.2 と CT.CLOUDFORMATION.PR.3 の 2 つのコントロールが廃止されました。これらのコントロールは、AWS Control Tower のコントロールライブラリで利用できなくなりました。廃止されたコントロールの詳細については、「Control のカテゴリ」を参照してください。

廃止されたコントロールは、どの でも使用できなくなりましたAWS リージョン。

AWS Control Tower ランディングゾーンバージョン 3.2

2023 年 6 月 16 日

(AWS Control Tower ランディングゾーンをバージョン 3.2 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください)。

AWS Control Tower ランディングゾーンバージョン 3.2 では、AWS Security Hub CSPMサービスマネージドスタンダード: AWS Control Tower の一部であるコントロールが一般公開されています。この標準に含まれるコントロールのドリフトステータスを AWS Control Tower コンソールで表示する機能が導入されました。

このアップデートには、AWSServiceRoleForAWSControlTower と呼ばれる新しいサービスにリンクされたロール (SLR) が含まれています。このロールは、各メンバーアカウントに AWSControlTowerManagedRule と呼ばれる EventBridge マネージドルールを作成することで AWS Control Tower を支援します。このマネージドルールは、AWS Control Tower を使用して からAWS Security Hub CSPM検出イベントを収集し、コントロールドリフトを判断できます。

このルールは、AWS Control Tower によって作成される最初のマネージドルールです。ルールはスタックによってデプロイされるのではなく、EventBridge API から直接デプロイされます。ルールは EventBridge コンソールで確認することも、EventBridge API を使用して表示することもできます。managed-by フィールドに入力すると、AWS Control Tower のサービスプリンシパルが表示されます。

以前は、AWS Control Tower は AWSControlTowerExecution ロールを前提として、メンバーアカウントで操作を実行していました。この新しいロールとルールは、マルチアカウントAWS環境でオペレーションを実行するときに最小特権を許可するというベストプラクティスの原則により適しています。新しいロールでは、メンバーアカウントでのマネージドルールの作成、マネージドルールの管理、SNS によるセキュリティ通知の公開、ドリフトの検証など、具体的に許可する範囲を絞ったアクセス許可が提供されます。詳細については、「AWSServiceRoleForAWSControlTower」を参照してください。

ランディングゾーン 3.2 のアップデートには、管理アカウントに新しい StackSet リソース、BP_BASELINE_SERVICE_LINKED_ROLE も含まれています。これは、サービスにリンクされたロールを最初にデプロイします。

Security Hub CSPM コントロールドリフト (ランディングゾーン 3.2 以降) を報告すると、AWS Control Tower は Security Hub CSPM から毎日のステータス更新を受け取ります。コントロールはすべての管理対象リージョンでアクティブですが、AWS Control Tower はAWS Security Hub CSPM検出イベントを AWS Control Tower ホームリージョンにのみ送信します。詳細については、「Security Hub control drift reporting」を参照してください。

リージョン拒否コントロールの更新

このランディングゾーンバージョンには、リージョン拒否コントロールの更新も含まれています。

追加されたグローバルサービスと API

  • AWS Billing and Cost Management(billing:*)

  • AWS CloudTrail(cloudtrail:LookupEvents) は、メンバーアカウントのグローバルイベントを可視化します。

  • AWS一括請求 (consolidatedbilling:*)

  • AWSマネジメントコンソールモバイルアプリケーション (consoleapp:*)

  • AWS無料利用枠 (freetier:*)

  • AWS Invoicing(invoicing:*)

  • AWS IQ (iq:*)

  • AWSユーザー通知 (notifications:*)

  • AWSユーザー通知連絡先 (notifications-contacts:*)

  • Amazon Payments (payments:*)

  • AWS税設定 (tax:*)

削除されたグローバルサービスと API

  • 有効なアクションではないため、s3:GetAccountPublic は削除されました。

  • 有効なアクションではないため、s3:PutAccountPublic は削除されました。

AWS Control Tower に IAM Identity Center の email-to-IDマッピングが追加されました

2023 年 7 月 13 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower で IAM Identity Center の email-to-ID マッピングがサポートされるようになりました。この機能を使用すると、E メールアドレスを IAM Identity Center ユーザー ID にマッピングし、AWS Control Tower 環境へのユーザーアクセスを簡単に管理できます。email-to-ID マッピングの詳細については、「IAM Identity Center との統合」を参照してください。

Email-to-IDマッピングは、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower がAWS Security Hub CSPMコントロールを追加

2023 年 6 月 29 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、AWS Control Tower AWS Security Hub CSPMのコントロールライブラリにコントロールを追加しました。これらのコントロールは、AWSリソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「Control のカテゴリ」を参照してください。

新しいコントロールは、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower がAWS Security Hub CSPMコントロールのメタデータを発行する

2023 年 6 月 22 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower がAWS Security Hub CSPMコントロールのメタデータを発行するようになりました。このメタデータには、コントロール ID、コントロールタイトル、コントロールの説明など、コントロールに関する情報が含まれます。メタデータの詳細については、「コントロールのメタデータ」を参照してください。

コントロールメタデータは、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower に Terraform 用の Account Factory Customization (AFC) を追加

2023 年 6 月 15 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower に Terraform 用の Account Factory Customization (AFC) が追加されました。この機能を使用すると、Terraform を使用して AWS Control Tower アカウントをカスタマイズできます。AFC for Terraform の詳細については、「Account Factory for Terraform のカスタマイズ」を参照してください。

AFC for Terraform は、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower にセルフマネージド IAM アイデンティティセンターを追加

2023 年 6 月 8 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower でセルフマネージド IAM アイデンティティセンターがサポートされるようになりました。この機能を使用すると、AWS Control Tower で独自の ID プロバイダーを使用できます。セルフマネージド IAM Identity Center の詳細については、「IAM Identity Center」を参照してください。

セルフマネージド IAM アイデンティティセンターは、AWS Control Tower が利用可能なすべてのAWS リージョンで利用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower に 混合ガバナンスの注意事項を追加

2023 年 6 月 1 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower に、混合ガバナンスに関する注意事項が追加されました。このノートでは、AWS Control Tower が他のAWSサービスと連携してリソースのAWSガバナンスを提供する方法について説明します。混合ガバナンスの詳細については、「混合ガバナンス」を参照してください。

混合ガバナンスノートは、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower に新しいプロアクティブコントロールを追加

2023 年 5 月 25 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower に、AWS Control Tower コントロールライブラリに新しいプロアクティブコントロールが追加されました。これらのコントロールは、AWSリソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「Control のカテゴリ」を参照してください。

新しいコントロールは、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower で Amazon EC2 コントロールを更新する

2023 年 5 月 18 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower で、AWS Control Tower コントロールライブラリの Amazon EC2 コントロールが更新されました。これらの更新により、AWS Control Tower 環境のセキュリティと信頼性が向上します。更新されたコントロールの詳細については、「Control のカテゴリ」を参照してください。

更新されたコントロールは、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower が 7 つの追加で利用可能にAWS リージョン

2023 年 5 月 11 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower はAWS リージョン、アジアパシフィック (大阪)、カナダ (中部)、欧州 (ミラノ)、欧州 (ストックホルム)、中東 (バーレーン)、中東 (アラブ首長国連邦)、南米 (サンパウロ) の 7 つの追加で利用できます。AWS Control Tower を使用できるリージョンの全リストについては、「AWS リージョンの表」を参照してください。

AWS Control Tower Account Factory Customization (AFC) とリクエストトレースが一般利用可能

2023 年 4 月 27 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower Account Factory Customization (AFC) とリクエストトレースが一般利用可能になりました。AFC では AWS Control Tower アカウントをカスタマイズでき、リクエストトレースにより AWS Control Tower リクエストのステータスを追跡できます。AFC とリクエストトレースの詳細については、「Account Factory のカスタマイズ」と「リクエストのトレース」を参照してください。

AFC とリクエストのトレースは、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。

AWS Control Tower ランディングゾーンバージョン 3.1

2023 年 2 月 9 日

(AWS Control Tower のランディングゾーンをバージョン 3.1 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください)

AWS Control Tower ランディングゾーンバージョン 3.1 には、次の更新が含まれています。

  • 今回のリリースでは、AWS Control Tower はアクセスログバケット (アクセスログが Log Archive アカウントに保存される Amazon S3 バケット) の不要なアクセスログを無効化し、S3 バケットのサーバーアクセスログを引き続き有効にします。このリリースには、サポート Plans や などのグローバルサービスに追加のアクションを許可するリージョン拒否コントロールの更新も含まれていますAWS Artifact。

  • AWS Control Tower アクセスログ記録バケットのサーバーアクセスログ記録を無効にすると、Security Hub CSPM は Log Archive アカウントのアクセスログ記録バケットの結果を作成します。AWS Security Hub CSPMルールにより、[S3.9] S3 バケットサーバーのアクセスログ記録を有効にする必要があります。Security Hub CSPM に合わせて、このルールの Security Hub CSPM の説明に記載されているように、この特定の検出結果を抑制することをお勧めします。追加情報については、「非表示の結果に関する情報」を参照してください。

  • Log Archive アカウントの (通常の) ログバケットのアクセスログは、バージョン 3.1 でも変更されていません。ベストプラクティスに従い、そのバケットのアクセスイベントは、アクセスログバケットにログエントリとして記録されます。アクセスログの詳細については、Amazon S3 ドキュメントの「サーバーアクセスログを使用したリクエストのログ記録」を参照してください。

  • リージョン拒否コントロールを更新しました。この更新により、より多くのグローバルサービスによるアクションが可能になります。この SCP の詳細については、「リクエストされたAWSに基づいて へのアクセスを拒否するAWS リージョン」および「データレジデンシー保護を強化するコントロール」を参照してください。

    追加されたグローバルサービス:

    • AWS アカウント管理(account:*)

    • AWSアクティブ化 (activate:*)

    • AWS Artifact(artifact:*)

    • AWS Billing Conductor(billingconductor:*)

    • AWS Compute Optimizer(compute-optimizer:*)

    • AWS Data Pipeline(datapipeline:GetAccountLimits)

    • AWS Device Farm(devicefarm:*)

    • AWS Marketplace(discovery-marketplace:*)

    • Amazon ECR (ecr-public:*)

    • AWS License Manager(license-manager:ListReceivedLicenses)

    • AWS Lightsail (lightsail:Get*)

    • AWS Resource Explorer(resource-explorer-2:*)

    • Amazon S3 (s3:CreateMultiRegionAccessPoints3:GetBucketPolicyStatuss3:PutMultiRegionAccessPointPolicy)

    • AWS Savings Plans (savingsplans:*)

    • IAM Identity Center (sso:*)

    • AWS Support App(supportapp:*)

    • サポートプラン (supportplans:*)

    • AWS持続可能性 (sustainability:*)

    • AWS Resource Groups Tagging API(tag:GetResources)

    • AWS Marketplace Vendor Insights (vendor-insights:ListEntitledSecurityProfiles)

AWS Control Tower プロアクティブコントロールが一般利用可能

2023 年 4 月 13 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower プロアクティブコントロールが一般利用可能になりました。プロアクティブコントロールは、AWSリソースのベストプラクティスを適用するのに役立ちます。プロアクティブコントロールの詳細については、「Proactive controls」を参照してください。

プロアクティブコントロールは、AWS Control Tower が利用可能なすべてのAWS リージョンで使用できます。AWS Control Tower が利用可能なAWS リージョンのリストについては、 AWS リージョン表を参照してください。