2023 年 1 月~12 月 - AWS Control Tower
新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 3)AWS Control Tower ランディングゾーンバージョン 3.3新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 2)AWS Control Tower がデジタル主権を支援するコントロールを発表AWS Control Tower ランディングゾーン APIsAWS Control Tower コントロールのタグ付け APIsAWS アジアパシフィック (メルボルン) で AWS Control Tower が利用可能に新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 1)AWS Control Tower が新しいコントロール API を追加AWS Control Tower が新しいコントロールを追加AWS Control Tower が信頼されたアクセスドリフトを検出するAWS Control Tower が 4 つの追加で利用可能に AWS リージョンAWS イスラエル (テルアビブ) で利用可能な AWS Control TowerAWS Control Tower が 28 の新しいプロアクティブコントロールを追加AWS Control Tower で 2 つのコントロールが廃止されますAWS Control Tower ランディングゾーンバージョン 3.2AWS Control Tower が IAM Identity Center email-to-IDマッピングを追加AWS Control Tower が AWS Security Hub コントロールを追加AWS Control Tower が AWS Security Hub コントロールのメタデータを発行するAWS Control Tower が Terraform の Account Factory Customization (AFC) を追加AWS Control Tower がセルフマネージド IAM アイデンティティセンターを追加AWS Control Tower が混合ガバナンスノートを追加AWS Control Tower が新しいプロアクティブコントロールを追加AWS Control Tower が Amazon EC2 コントロールを更新するAWS Control Tower が 7 つの追加で利用可能に AWS リージョンAWS Control Tower Account Factory Customization (AFC) とリクエストトレースの一般提供AWS Control Tower ランディングゾーンバージョン 3.1AWS Control Tower プロアクティブコントロールの一般提供

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

2023 年 1 月~12 月

2023 年、AWS Control Tower は次の更新をリリースしました。

新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 3)

2023 年 12 月 14 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、新規作成時に Terraform Open Source を製品タイプ (ブループリント) としてサポートしなくなりました AWS アカウント。アカウントブループリントの更新の詳細と手順については、AWS Service Catalog 「外部製品タイプへの移行」を参照してください。

External 製品タイプを使用するようにアカウントブループリントを更新しない場合、Terraform オープンソースブループリントを使用してプロビジョニングしたアカウントの更新または終了のみが可能です。

AWS Control Tower ランディングゾーンバージョン 3.3

2023 年 12 月 14 日

(AWS Control Tower ランディングゾーンをバージョン 3.3 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください)。

AWS Control Tower 監査アカウントの S3 バケットポリシーの更新

AWS Control Tower がアカウントにデプロイする Amazon S3 監査バケットポリシーが変更されました。これにより、すべての書き込みアクセス許可のためには aws:SourceOrgID 条件を満たす必要があります。このリリースでは、リクエストが組織または組織単位 (OU) から送信された場合にのみ、 AWS サービスはリソースにアクセスできます。

aws:SourceOrgID 条件キーを使用して、S3 バケットポリシーの条件要素で [組織 ID] の値を設定できます。この条件によってのみ、CloudTrail は組織内のアカウントに代わってお客様の S3 バケットへログを書き込めるようになり、組織外の CloudTrail ログによるお客様の AWS Control Tower S3 バケットへの書き込みを防ぎます。

この変更は、既存のワークロードの機能に影響を与えることなく、潜在的なセキュリティ上の脆弱性を修正するために行われました。更新されたポリシーを表示する方法については、「監査アカウントの Amazon S3 バケットポリシー」を参照してください。

新しい条件キーの詳細については、IAM ドキュメントと「リソースにアクセスする AWS サービスにスケーラブルなコントロールを使用する」というタイトルの IAM ブログ記事を参照してください。

SNS AWS Config トピックのポリシーの更新

AWS Config SNS のポリシーに新しいaws:SourceOrgID条件キーを追加しました。更新されたポリシー topic.To を表示します。AWS Config 「SNS トピックポリシー」を参照してください。

ランディングゾーンのリージョン拒否コントロールの更新

  • discovery-marketplace: を削除しました。このアクションは aws-marketplace:* 除外の対象となります。

  • quicksight:DescribeAccountSubscription」を追加

AWS CloudFormation テンプレートの更新

AWS KMS 暗号化が使用されていないときに にドリフトが表示されないようにBASELINE-CLOUDTRAIL-MASTER、 という名前のスタックの AWS CloudFormation テンプレートを更新しました。

新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 2)

2023 年 12 月 7 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

HashiCorp が Terraform ライセンスを更新しました。その結果、Terraform Open Source 製品とプロビジョニング済み製品のサポートが External という新しい製品タイプ AWS Service Catalog に変更されました。

アカウント内の既存のワークロードと AWS リソースの中断を回避するには、2023 年 12 月 14 日までにAWS Service Catalog 「外部製品タイプへの移行」の「AWS Control Tower の移行手順」に従ってください。

AWS Control Tower がデジタル主権を支援するコントロールを発表

2023 年 11 月 27 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、デジタル主権の要件を満たすのに役立つ 65 の新しい AWSマネージドコントロールを発表しました。このリリースでは、これらのコントロールを AWS Control Tower コンソールの新しいデジタル主権グループで確認できます。これらのコントロールを利用することで、データレジデンシー、きめ細かなアクセス制限、暗号化、レジリエンシー機能に関するアクションを防止したり、リソースの変更を検出したりできます。これらのコントロールは、要件に対して大規模かつ簡単に対応できるように設計されています。デジタル主権コントロールの詳細については、「Controls that enhance digital sovereignty protection」を参照してください。

例えば、 AWS AppSync API キャッシュで転送中の暗号化を有効にするか、Network Firewall を複数のアベイラビリティーゾーンにデプロイするかなど、 AWS 暗号化と回復戦略を適用するのに役立つコントロールを有効にすることができます。また、AWS Control Tower のリージョン拒否コントロールをカスタマイズして、独自のビジネスニーズに最適なリージョン別の制限を適用することもできます。

このリリースでは、AWS Control Tower のリージョン拒否機能が大幅に強化されています。パラメータ化された新しいリージョン拒否コントロールを OU レベルで適用して、ガバナンスの細分性を高めながら、ランディングゾーンレベルでの追加のリージョンガバナンスを維持できます。このカスタマイズ可能なリージョン拒否コントロールにより、独自のビジネスニーズに最適なリージョン別の制限を適用できます。新しい設定可能なリージョン拒否コントロールの詳細については、「Region deny control applied to the OU」を参照してください。

リージョン拒否の新しい強化ツールとして、このリリースには新しい API、UpdateEnabledControl が含まれています。これにより、有効にしたコントロールをデフォルト設定にリセットできます。この API は、ドリフトを迅速に解決する必要がある場合や、コントロールがドリフト状態でないことをプログラムで確認する必要がある場合に特に役立ちます。新しい API の詳細については、「AWS Control Tower API リファレンス」を参照してください。

新しいプロアクティブコントロール

  • CT.APIGATEWAY.PR.6: Amazon API Gateway REST ドメインでは TLS プロトコルの最小バージョン TLSv1.2 を指定するセキュリティポリシーを使用する必要があります

  • CT.APPSYNC.PR.2: AWS AppSync GraphQL API をプライベート可視性で設定する必要があります

  • CT.APPSYNC.PR.3: AWS AppSync GraphQL API が API キーで認証されていない必要があります

  • CT.APPSYNC.PR.4: AWS AppSync GraphQL API キャッシュで転送中の暗号化を有効にする必要があります。

  • CT.APPSYNC.PR.5: AWS AppSync GraphQL API キャッシュで保管時の暗号化を有効にする必要があります。

  • CT.AUTOSCALING.PR.9: Amazon EC2 Auto Scaling 起動設定を使用して設定した Amazon EBS ボリュームでは、保管中のデータを暗号化する必要があります

  • CT.AUTOSCALING.PR.10: 起動テンプレートを上書きするときに、Amazon EC2 Auto Scaling グループが AWS Nitro インスタンスタイプのみを使用する必要がある

  • CT.AUTOSCALING.PR.11: 起動テンプレートを上書きするときに、インスタンス間のネットワークトラフィックの暗号化をサポートする AWS Nitro インスタンスタイプのみを Amazon EC2 Auto Scaling グループに追加する必要があります

  • CT.DAX.PR.3: DynamoDB Accelerator クラスターでは Transport Layer Security (TLS) を使用して転送中のデータを暗号化する必要があります

  • CT.DMS.PR.2: AWS Database Migration Service (DMS) エンドポイントがソースエンドポイントとターゲットエンドポイントの接続を暗号化する必要がある

  • CT.EC2.PR.15: Amazon EC2 インスタンスは、AWS::EC2::LaunchTemplate リソースタイプから作成する場合、 AWS Nitro インスタンスタイプを使用する必要があります

  • CT.EC2.PR.16: Amazon EC2 インスタンスは、AWS::EC2::Instance リソースタイプを使用して作成した場合、 AWS Nitro インスタンスタイプを使用する必要があります

  • CT.EC2.PR.17: Amazon EC2 専有ホストでは AWS Nitro インスタンスタイプを使用する必要があります

  • CT.EC2.PR.18: Amazon EC2 フリートは、これらの起動テンプレートのみを AWS Nitro インスタンスタイプで上書きする必要があります

  • CT.EC2.PR.19: Amazon EC2 インスタンスは、AWS::EC2::Instance リソースタイプを使用して作成した場合、インスタンス間の転送中の暗号化をサポートする Nitro インスタンスタイプを使用する必要があります

  • CT.EC2.PR.20: Amazon EC2 フリートは、インスタンス間の転送中の暗号化をサポートする AWS Nitro インスタンスタイプを持つ起動テンプレートのみを上書きする必要があります。

  • CT.ELASTICACHE.PR.8: 新しい Redis バージョンの Amazon ElastiCache レプリケーショングループでは RBAC 認証をアクティブにする必要があります

  • CT.MQ.PR.1: Amazon MQ ActiveMQ ブローカーでは、高可用性を確保するためにアクティブ/スタンバイデプロイモードを使用する必要があります

  • CT.MQ.PR.2: Amazon MQ Rabbit MQ ブローカーでは、高可用性を確保するためにマルチ AZ クラスターモードを使用する必要があります

  • CT.MSK.PR.1: Amazon Managed Streaming for Apache Kafka (MSK) クラスターでは、クラスターブローカーノード間の転送中の暗号化を適用する必要があります

  • CT.MSK.PR.2: Amazon Managed Streaming for Apache Kafka (MSK) クラスターでは、PublicAccess を無効に設定する必要があります

  • CT.NETWORK-FIREWALL.PR.5: AWS Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります

  • CT.RDS.PR.26: Amazon RDS DB Proxy は Transport Layer Security (TLS) 接続を要求する必要があります

  • CT.RDS.PR.27: Amazon RDS DB クラスターパラメータグループは、サポートしているエンジンタイプのために Transport Layer Security (TLS) 接続を要求する必要があります

  • CT.RDS.PR.28: Amazon RDS DB パラメータグループは、サポートしているエンジンタイプのために Transport Layer Security (TLS) 接続を要求する必要があります

  • CT.RDS.PR.29: Amazon RDS クラスターは、「PubliclyAccessible」プロパティを使用してパブリックでアクセスできないように設定する必要があります

  • CT.RDS.PR.30: Amazon RDS データベースインスタンスでは、サポートしているエンジンタイプのために指定した KMS キーを使用するように保管中の暗号化を設定する必要があります

  • CT.S3.PR.12: Amazon S3 のアクセスポイントでは、パブリックアクセスブロック (BPA) 設定のすべてのオプションを true に設定する必要があります

新しい予防コントロール

  • CT.APPSYNC.PV.1 AWS AppSync GraphQL API がプライベート可視性で設定されている必要があります

  • CT.EC2.PV.1 Amazon EBS スナップショットは、暗号化した EC2 ボリュームから作成する必要があります

  • CT.EC2.PV.2 アタッチした Amazon EBS ボリュームは、保管中のデータを暗号化するように設定する必要があります

  • CT.EC2.PV.3 Amazon EBS スナップショットはパブリックに復元できないようにする必要があります

  • CT.EC2.PV.4 Amazon EBS direct API が呼び出されないようにする必要があります

  • CT.EC2.PV.5 Amazon EC2 VM のインポートとエクスポートの使用を禁止します

  • CT.EC2.PV.6 廃止された Amazon EC2 RequestSpotFleet および RequestSpotInstances API アクションの使用を禁止します

  • CT.KMS.PV.1 AWS サービスへの AWS KMS 許可の作成を制限するステートメントを AWS KMS キーポリシーに要求する

  • CT.KMS.PV.2 暗号化に使用される RSA キーマテリアルを持つ AWS KMS 非対称キーのキー長が 2048 ビットでないことを要求する

  • CT.KMS.PV.3 バイパスポリシーのロックアウト安全チェックを有効にして AWS KMS キーを設定する必要があります

  • CT.KMS.PV.4 AWS KMS カスタマーマネージドキー (CMK) が AWS CloudHSM から発信されるキーマテリアルで設定されている必要があります

  • CT.KMS.PV.5 AWS KMS カスタマーマネージドキー (CMK) がインポートされたキーマテリアルで設定されている必要があります

  • CT.KMS.PV.6 AWS KMS カスタマーマネージドキー (CMK) は、外部キーストア (XKS) から発信されるキーマテリアルで設定する必要があります。

  • CT.LAMBDA.PV.1 AWS Lambda 関数 URL に AWS IAM ベースの認証の使用を要求する

  • CT.LAMBDA.PV.2 AWS Lambda 関数 URL は、 内のプリンシパルのみがアクセスできるように設定する必要があります。 AWS アカウント

AWS Control Tower ランディングゾーン APIs

2023 年 11 月 26 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower ではAPIs が提供されるようになりました。これらの APIsを使用すると、ランディングゾーンを作成、更新、リセットしたり、ランディングゾーンの設定とオペレーションに関する情報を取得したりできます。詳細については、「ランディングゾーン API の例」を参照してください。

ランディングゾーン APIsは、 GovCloud (米国) リージョンを除く、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、表を参照してくださいAWS リージョン

AWS Control Tower コントロールのタグ付け APIs

2023 年 11 月 10 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower ではAPIs が提供されるようになりました。これらの APIsを使用すると、有効なコントロールのタグを追加、削除、一覧表示できます。詳細については、「AWS Control Tower リソースのタグ付け」を参照してください。

コントロールタグ付け APIsは、 GovCloud (米国) リージョンを除く、AWS Control Tower AWS リージョン が利用可能なすべての で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。

AWS アジアパシフィック (メルボルン) で AWS Control Tower が利用可能に

2023 年 11 月 3 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、アジアパシフィック (メルボルン) で利用できます。AWS Control Tower が利用可能なリージョンの完全なリストについては、表を参照してくださいAWS リージョン

新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 1)

2023 年 10 月 31 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

HashiCorp が Terraform ライセンスを更新しました。その結果、Terraform Open Source 製品とプロビジョニング済み製品のサポートが External という新しい製品タイプ AWS Service Catalog に変更されました。

アカウント内の既存のワークロードと AWS リソースの中断を回避するには、2023 年 12 月 14 日までにAWS Service Catalog 「外部製品タイプへの移行」の「AWS Control Tower の移行手順」に従ってください。

AWS Control Tower が新しいコントロール API を追加

2023 年 10 月 27 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower で新しい API、 が提供されるようになりました。これによりUpdateEnabledControl、有効なコントロールを更新できます。この API は、ドリフトを迅速に解決する必要がある場合や、コントロールがドリフト状態でないことをプログラムで確認する必要がある場合に特に役立ちます。新しい API の詳細については、AWS Control Tower API リファレンスを参照してください。

UpdateEnabledControl API は、 GovCloud (米国) リージョンを除く、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な のリスト AWS リージョン については、 AWS リージョン 表を参照してください。

AWS Control Tower が新しいコントロールを追加

2023 年 10 月 20 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、AWS Control Tower のコントロールライブラリに 22 の新しいコントロールを追加しました。これらのコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「コントロールカテゴリ」を参照してください。

新しいコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。

AWS Control Tower が信頼されたアクセスドリフトを検出する

2023 年 10 月 13 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、信頼されたアクセス設定のドリフトを検出してレポートするようになりました。信頼できるアクセス設定により、AWS Control Tower はユーザーに代わって他の AWS サービスとやり取りできます。これらの設定が AWS Control Tower の外部で変更された場合、AWS Control Tower はドリフトを検出し、AWS Control Tower コンソールで報告します。信頼されたアクセスドリフトの詳細については、「ガバナンスドリフトのタイプ」を参照してください。

信頼できるアクセスドリフト検出は、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。

AWS Control Tower が 4 つの追加で利用可能に AWS リージョン

2023 年 9 月 29 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、アジアパシフィック (ハイデラバード) AWS リージョン、アジアパシフィック (ジャカルタ)、欧州 (スペイン)、欧州 (チューリッヒ) の 4 つの追加で利用できます。AWS Control Tower が利用可能なリージョンの完全なリストについては、表を参照してくださいAWS リージョン

AWS イスラエル (テルアビブ) で利用可能な AWS Control Tower

2023 年 8 月 1 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower はイスラエル (テルアビブ) で利用できます。AWS Control Tower が利用可能なリージョンの完全なリストについては、表を参照してくださいAWS リージョン

AWS Control Tower が 28 の新しいプロアクティブコントロールを追加

2023 年 7 月 27 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、AWS Control Tower のコントロールライブラリに 28 の新しいプロアクティブコントロールを追加しました。これらのコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「コントロールカテゴリ」を参照してください。

新しいコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。

AWS Control Tower で 2 つのコントロールが廃止されます

2023 年 7 月 27 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、 CT.CLOUDFORMATION.PR.2と の 2 つのコントロールを廃止しましたCT.CLOUDFORMATION.PR.3。これらのコントロールは、AWS Control Tower のコントロールライブラリで利用できなくなりました。廃止されたコントロールの詳細については、「コントロールカテゴリ」を参照してください。

廃止されたコントロールは、どの でも使用できなくなりました AWS リージョン。

AWS Control Tower ランディングゾーンバージョン 3.2

2023 年 6 月 16 日

(AWS Control Tower ランディングゾーンをバージョン 3.2 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください)。

AWS Control Tower ランディングゾーンバージョン 3.2 では、 AWS Security Hub サービスマネージドスタンダード: AWS Control Tower の一部であるコントロールが一般公開されます。この標準に含まれるコントロールのドリフトステータスを AWS Control Tower コンソールで表示する機能が導入されました。

このアップデートには、AWSServiceRoleForAWSControlTower と呼ばれる新しいサービスにリンクされたロール (SLR) が含まれています。このロールは、各メンバーアカウントに AWSControlTowerManagedRule と呼ばれる EventBridge マネージドルールを作成することで AWS Control Tower を支援します。このマネージドルールは、AWS Control Tower を使用して から AWS Security Hub 検出イベントを収集し、コントロールドリフトを判断できます。

このルールは、AWS Control Tower によって作成される最初のマネージドルールです。ルールはスタックによってデプロイされるのではなく、EventBridge API から直接デプロイされます。ルールは EventBridge コンソールで確認することも、EventBridge API を使用して表示することもできます。managed-by フィールドに入力すると、AWS Control Tower のサービスプリンシパルが表示されます。

以前は、AWS Control Tower は AWSControlTowerExecution ロールを前提として、メンバーアカウントで操作を実行していました。この新しいロールとルールは、マルチアカウント AWS 環境でオペレーションを実行するときに最小特権を許可するというベストプラクティスの原則により適しています。新しいロールでは、メンバーアカウントでのマネージドルールの作成、マネージドルールの管理、SNS によるセキュリティ通知の公開、ドリフトの検証など、具体的に許可する範囲を絞ったアクセス許可が提供されます。詳細については、「AWSServiceRoleForAWSControlTower」を参照してください。

ランディングゾーン 3.2 のアップデートには、管理アカウントに新しい StackSet リソース、BP_BASELINE_SERVICE_LINKED_ROLE も含まれています。これは、サービスにリンクされたロールを最初にデプロイします。

Security Hub のコントロールドリフト (ランディングゾーン 3.2 以降) を報告すると、AWS Control Tower は Security Hub から日次ステータス更新を受け取ります。コントロールはすべての管理対象リージョンでアクティブですが、AWS Control Tower は AWS Security Hub 検出イベントを AWS Control Tower ホームリージョンにのみ送信します。詳細については、「Security Hub control drift reporting」を参照してください。

リージョン拒否コントロールの更新

このランディングゾーンバージョンには、リージョン拒否コントロールの更新も含まれています。

追加されたグローバルサービスと API

  • AWS Billing and Cost Management (billing:*)

  • AWS CloudTrail (cloudtrail:LookupEvents) は、メンバーアカウントのグローバルイベントを可視化します。

  • AWS 一括請求 (consolidatedbilling:*

  • AWS マネジメントコンソールモバイルアプリケーション (consoleapp:*

  • AWS 無料利用枠 (freetier:*

  • AWS Invoicing (invoicing:*)

  • AWS IQ (iq:*

  • AWS ユーザー通知 (notifications:*

  • AWS ユーザー通知の連絡先 (notifications-contacts:*

  • Amazon Payments (payments:*)

  • AWS 税設定 (tax:*

削除されたグローバルサービスと API

  • 有効なアクションではないため、s3:GetAccountPublic は削除されました。

  • 有効なアクションではないため、s3:PutAccountPublic は削除されました。

AWS Control Tower が IAM Identity Center email-to-IDマッピングを追加

2023 年 7 月 13 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower が IAM Identity Center の email-to-IDマッピングをサポートするようになりました。この機能を使用すると、E メールアドレスを IAM Identity Center ユーザー IDs にマッピングできるため、AWS Control Tower 環境へのユーザーアクセスを簡単に管理できます。E email-to-IDマッピングの詳細については、「IAM Identity Center との統合」を参照してください。

Email-to-IDマッピングは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。

AWS Control Tower が AWS Security Hub コントロールを追加

2023 年 6 月 29 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、AWS Control Tower AWS Security Hub のコントロールライブラリにコントロールを追加しました。これらのコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「コントロールカテゴリ」を参照してください。

新しいコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。

AWS Control Tower が AWS Security Hub コントロールのメタデータを発行する

2023 年 6 月 22 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower が AWS Security Hub コントロールのメタデータを発行するようになりました。このメタデータには、コントロール ID、コントロールタイトル、コントロールの説明など、コントロールに関する情報が含まれます。メタデータの詳細については、「メタデータの制御」を参照してください。

コントロールメタデータは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。

AWS Control Tower が Terraform の Account Factory Customization (AFC) を追加

2023 年 6 月 15 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower が Terraform の Account Factory Customization (AFC) をサポートするようになりました。この機能を使用すると、Terraform を使用して AWS Control Tower アカウントをカスタマイズできます。AFC for Terraform の詳細については、「Account Factory Customization for Terraform」を参照してください。

AFC for Terraform は、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、「 AWS リージョン テーブル」を参照してください。

AWS Control Tower がセルフマネージド IAM アイデンティティセンターを追加

2023 年 6 月 8 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower がセルフマネージド IAM アイデンティティセンターをサポートするようになりました。この機能を使用すると、AWS Control Tower で独自の ID プロバイダーを使用できます。セルフマネージド IAM アイデンティティセンターの詳細については、「IAM アイデンティティセンター」を参照してください。

セルフマネージド IAM アイデンティティセンターは、AWS Control Tower が利用可能なすべての AWS リージョン で利用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。

AWS Control Tower が混合ガバナンスノートを追加

2023 年 6 月 1 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower に、混合ガバナンスに関するメモが追加されました。このノートでは、AWS Control Tower が他の AWS サービスと連携してリソースの AWS ガバナンスを提供する方法について説明します。混合ガバナンスの詳細については、「混合ガバナンス」を参照してください。

混合ガバナンスノートは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。

AWS Control Tower が新しいプロアクティブコントロールを追加

2023 年 5 月 25 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、AWS Control Tower コントロールライブラリに新しいプロアクティブコントロールを追加しました。これらのコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「コントロールカテゴリ」を参照してください。

新しいコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。

AWS Control Tower が Amazon EC2 コントロールを更新する

2023 年 5 月 18 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は、AWS Control Tower コントロールライブラリの Amazon EC2 コントロールを更新しました。これらの更新により、AWS Control Tower 環境のセキュリティと信頼性が向上します。更新されたコントロールの詳細については、「コントロールカテゴリ」を参照してください。

更新されたコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。

AWS Control Tower が 7 つの追加で利用可能に AWS リージョン

2023 年 5 月 11 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower は AWS リージョン、アジアパシフィック (大阪)、カナダ (中部)、欧州 (ミラノ)、欧州 (ストックホルム)、中東 (バーレーン)、中東 (アラブ首長国連邦)、南米 (サンパウロ) の 7 つの追加で利用できます。AWS Control Tower が利用可能なリージョンの完全なリストについては、表を参照してくださいAWS リージョン

AWS Control Tower Account Factory Customization (AFC) とリクエストトレースの一般提供

2023 年 4 月 27 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower Account Factory Customization (AFC) とリクエストトレースが一般公開されました。AFC では AWS Control Tower アカウントをカスタマイズでき、リクエストトレースでは AWS Control Tower リクエストのステータスを追跡できます。AFC とリクエストトレースの詳細については、「Account Factory のカスタマイズリクエストのトレース」を参照してください。

AFC とリクエストのトレースは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。

AWS Control Tower ランディングゾーンバージョン 3.1

2023 年 2 月 9 日

(AWS Control Tower のランディングゾーンをバージョン 3.1 に更新する必要があります。詳細については、「ランディングゾーンを更新する」を参照してください)

AWS Control Tower ランディングゾーンバージョン 3.1 には、次の更新が含まれています。

  • 今回のリリースでは、AWS Control Tower はアクセスログバケット (アクセスログが Log Archive アカウントに保存される Amazon S3 バケット) の不要なアクセスログを無効化し、S3 バケットのサーバーアクセスログを引き続き有効にします。このリリースには、 サポート Plans や などのグローバルサービスに追加のアクションを許可するリージョン拒否コントロールの更新も含まれています AWS Artifact。

  • AWS Control Tower アクセスログバケットのサーバーアクセスログを無効にすると、Security Hub は Log Archive アカウントのアクセスログバケットの結果を作成します。これは、[S3.9] S3 バケットのサーバーアクセスログを有効にする必要があるという AWS Security Hub ルールによるものです。Security Hub に従い、このルールの Security Hub の説明に記載されているように、この特定の結果を非表示にすることをお勧めします。追加情報については、「非表示の結果に関する情報」を参照してください。

  • Log Archive アカウントの (通常の) ログバケットのアクセスログは、バージョン 3.1 でも変更されていません。ベストプラクティスに従い、そのバケットのアクセスイベントは、アクセスログバケットにログエントリとして記録されます。アクセスログの詳細については、Amazon S3 ドキュメントの「サーバーアクセスログを使用したリクエストのログ記録」を参照してください。

  • リージョン拒否コントロールを更新しました。この更新により、より多くのグローバルサービスによるアクションが可能になります。この SCP の詳細については、「リクエストされた AWS に基づいて へのアクセスを拒否する AWS リージョン」および「データレジデンシー保護を強化するコントロール」を参照してください。

    追加されたグローバルサービス:

    • AWS アカウント管理 (account:*)

    • AWS アクティブ化 (activate:*

    • AWS Artifact (artifact:*)

    • AWS Billing Conductor (billingconductor:*)

    • AWS Compute Optimizer (compute-optimizer:*)

    • AWS Data Pipeline (datapipeline:GetAccountLimits)

    • AWS Device Farm(devicefarm:*)

    • AWS Marketplace (discovery-marketplace:*)

    • Amazon ECR (ecr-public:*)

    • AWS License Manager (license-manager:ListReceivedLicenses)

    • AWS Lightsail (lightsail:Get*)

    • AWS Resource Explorer (resource-explorer-2:*)

    • Amazon S3 (s3:CreateMultiRegionAccessPoints3:GetBucketPolicyStatuss3:PutMultiRegionAccessPointPolicy)

    • AWS Savings Plans (savingsplans:*

    • IAM Identity Center (sso:*)

    • AWS Support App (supportapp:*)

    • サポート プラン (supportplans:*

    • AWS 持続可能性 (sustainability:*

    • AWS Resource Groups Tagging API (tag:GetResources)

    • AWS Marketplace Vendor Insights (vendor-insights:ListEntitledSecurityProfiles

AWS Control Tower プロアクティブコントロールの一般提供

2023 年 4 月 13 日

(AWS Control Tower ランディングゾーンに更新は必要ありません。)

AWS Control Tower プロアクティブコントロールが一般公開されました。プロアクティブコントロールは、 AWS リソースにベストプラクティスを適用するのに役立ちます。プロアクティブコントロールの詳細については、「Proactive controls」を参照してください。

プロアクティブコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 AWS リージョン 表を参照してください。