翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 2023 年 1 月~12 月
2023 年、AWS Control Tower は次の更新をリリースしました。
+ [新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 3)](#phase-3-tos-external)
+ [AWS Control Tower ランディングゾーンバージョン 3.3](#lz-3-3)
+ [新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 2)](#phase-2-tos-external)
+ [AWS Control Tower がデジタル主権を支援するコントロールを発表](#digital-sovereignty)
+ [AWS Control Tower ランディングゾーン API](#landing-zone-apis)
+ [AWS Control Tower コントロールのタグ付け API](#control-tagging-apis)
+ [AWS アジアパシフィック (メルボルン) で利用可能な AWS Control Tower](#mel-region)
+ [新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 1)](#transition-sc-tos-external)
+ [AWS Control Tower で新しいコントロール API が追加されました](#new-control-api)
+ [AWS Control Tower で新しいコントロールが追加されました](#q3-new-controls)
+ [AWS Control Tower で信頼されるアクセスドリフトを検出する](#trust-access-drift)
+ [AWS Control Tower が 4 つの追加で利用可能に AWS リージョン](#four-regions)
+ [AWS イスラエル (テルアビブ) で AWS Control Tower が利用可能に](#new-tlv-region)
+ [AWS Control Tower に 28 個の新しいプロアクティブコントロールを追加](#28-proactive-controls)
+ [AWS Control Tower で 2 つのコントロールが廃止されます](#deprecate-2controls)
+ [AWS Control Tower ランディングゾーンバージョン 3.2](#lz-3-2)
+ [AWS Control Tower に IAM Identity Center の email-to-IDマッピングが追加されました](#email-to-id)
+ [AWS Control Tower が AWS Security Hub CSPM コントロールを追加](#more-sh-controls)
+ [AWS Control Tower が AWS Security Hub CSPM コントロールのメタデータを発行する](#publish-metadata)
+ [AWS Control Tower に Terraform 用の Account Factory Customization (AFC) を追加](#afc-terraform)
+ [AWS Control Tower にセルフマネージド IAM アイデンティティセンターを追加](#iam-self-manage)
+ [AWS Control Tower に 混合ガバナンスの注意事項を追加](#mixed-governance-note)
+ [AWS Control Tower に新しいプロアクティブコントロールを追加](#new-proactive-controls)
+ [AWS Control Tower で Amazon EC2 コントロールを更新する](#updated-ec2-controls)
+ [AWS Control Tower が 7 つの追加で利用可能に AWS リージョン](#seven-regions)
+ [AWS Control Tower Account Factory Customization (AFC) とリクエストトレースが一般利用可能](#account-customization-request-tracing-ga)
+ [AWS Control Tower ランディングゾーンバージョン 3.1](#lz-3-1)
+ [AWS Control Tower プロアクティブコントロールが一般利用可能](#proactive-control-ga)
## 新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 3)
**2023 年 12 月 14 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、新規作成時に製品タイプ (ブループリント) として *Terraform Open Source* をサポートしなくなりました AWS アカウント。アカウントブループリントの更新の詳細と手順については、[AWS Service Catalog 「外部製品タイプへの移行](https://docs.aws.amazon.com//controltower/latest/userguide/service-catalog.html)」を参照してください。
*External* 製品タイプを使用するようにアカウントブループリントを更新しない場合、Terraform オープンソースブループリントを使用してプロビジョニングしたアカウントの更新または終了のみが可能です。
## AWS Control Tower ランディングゾーンバージョン 3.3
**2023 年 12 月 14 日**
(AWS Control Tower ランディングゾーンをバージョン 3.3 に更新する必要があります。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください)。
**AWS Control Tower 監査アカウントの S3 バケットポリシーの更新**
AWS Control Tower がアカウントにデプロイする Amazon S3 監査バケットポリシーが変更されました。これにより、すべての書き込みアクセス許可のためには `aws:SourceOrgID` 条件を満たす必要があります。このリリースでは、リクエストが組織または組織単位 (OU) から送信された場合にのみ、 AWS サービスはリソースにアクセスできます。
`aws:SourceOrgID` 条件キーを使用して、S3 バケットポリシーの条件要素で **[組織 ID]** の値を設定できます。この条件によってのみ、CloudTrail は組織内のアカウントに代わってお客様の S3 バケットへログを書き込めるようになり、組織外の CloudTrail ログによるお客様の AWS Control Tower S3 バケットへの書き込みを防ぎます。
この変更は、既存のワークロードの機能に影響を与えることなく、潜在的なセキュリティ上の脆弱性を修正するために行われました。更新されたポリシーを表示する方法については、「[監査アカウントの Amazon S3 バケットポリシー](logging-s3-audit-bucket.md)」を参照してください。
新しい条件キーの詳細については、IAM ドキュメントと*「リソースにアクセスする AWS サービスにスケーラブルなコントロールを使用する*」というタイトルの IAM ブログ記事を参照してください。
**SNS AWS Config トピックのポリシーの更新**
AWS Config SNS のポリシーに新しい`aws:SourceOrgID`条件キーを追加しました。更新されたポリシー topic.To を表示します。[AWS Config 「SNS トピックポリシー](https://docs.aws.amazon.com//controltower/latest/userguide/receive-notifications.html#config-sns-policy)」を参照してください。
**ランディングゾーンのリージョン拒否コントロールの更新**
+ `discovery-marketplace:` を削除しました。このアクションは `aws-marketplace:*` 除外の対象となります。
+ 「`quicksight:DescribeAccountSubscription`」を追加
** CloudFormation テンプレートの更新**
AWS KMS 暗号化が使用されていない場合に がドリフトを表示しないように`BASELINE-CLOUDTRAIL-MASTER`、 という名前のスタックの CloudFormation テンプレートを更新しました。
## 新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 2)
**2023 年 12 月 7 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
HashiCorp が Terraform ライセンスを更新しました。その結果、*Terraform Open Source* 製品とプロビジョニング済み製品のサポートが *External* という新しい製品タイプ AWS Service Catalog に変更されました。
アカウント内の既存のワークロードと AWS リソースの中断を回避するには、2023 年 12 月 14 日までに[AWS Service Catalog 「外部製品タイプへの移行」の「AWS Control Tower の移行](af-customization-page.md#service-catalog-external-product-type)手順」に従ってください。
## AWS Control Tower がデジタル主権を支援するコントロールを発表
**2023 年 11 月 27 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、デジタル主権要件を満たすのに役立つ 65 の新しい AWSマネージドコントロールを発表しました。このリリースでは、これらのコントロールを AWS Control Tower コンソールの新しいデジタル主権グループで確認できます。**これらのコントロールを利用することで、*データレジデンシー*、*きめ細かなアクセス制限*、*暗号化*、*レジリエンシー*機能に関するアクションを防止したり、リソースの変更を検出したりできます。これらのコントロールは、要件に対して大規模かつ簡単に対応できるように設計されています。デジタル主権コントロールの詳細については、「[Controls that enhance digital sovereignty protection](https://docs.aws.amazon.com//controltower/latest/controlreference/digital-sovereignty-controls.html)」を参照してください。
たとえば、** AWS AppSync API キャッシュで転送中の暗号化を有効にしたり、Network Firewall を複数のアベイラビリティーゾーンにデプロイ****したりする必要があるなど、 AWS **暗号化と回復戦略を適用するのに役立つコントロールを有効にすることができます。また、AWS Control Tower のリージョン拒否コントロールをカスタマイズして、独自のビジネスニーズに最適なリージョン別の制限を適用することもできます。
このリリースでは、AWS Control Tower のリージョン拒否機能が大幅に強化されています。パラメータ化された新しいリージョン拒否コントロールを OU レベルで適用して、ガバナンスの細分性を高めながら、ランディングゾーンレベルでの追加のリージョンガバナンスを維持できます。このカスタマイズ可能なリージョン拒否コントロールにより、独自のビジネスニーズに最適なリージョン別の制限を適用できます。新しい設定可能なリージョン拒否コントロールの詳細については、「[Region deny control applied to the OU](https://docs.aws.amazon.com//controltower/latest/controlreference/ou-region-deny.html)」を参照してください。
リージョン拒否の新しい強化ツールとして、このリリースには新しい API、`UpdateEnabledControl` が含まれています。これにより、有効にしたコントロールをデフォルト設定にリセットできます。この API は、ドリフトを迅速に解決する必要がある場合や、コントロールがドリフト状態でないことをプログラムで確認する必要がある場合に特に役立ちます。新しい API の詳細については、「[AWS Control Tower API リファレンス](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)」を参照してください。
**新しいプロアクティブコントロール**
+ CT.APIGATEWAY.PR.6: Amazon API Gateway REST ドメインでは TLS プロトコルの最小バージョン TLSv1.2 を指定するセキュリティポリシーを使用する必要があります
+ CT.APPSYNC.PR.2: AWS AppSync GraphQL API をプライベート可視性で設定する必要があります
+ CT.APPSYNC.PR.3: AWS AppSync GraphQL API が API キーで認証されていない必要があります
+ CT.APPSYNC.PR.4: AWS AppSync GraphQL API キャッシュで転送中の暗号化を有効にする必要があります。
+ CT.APPSYNC.PR.5: AWS AppSync GraphQL API キャッシュで保管時の暗号化を有効にする必要があります。
+ CT.AUTOSCALING.PR.9: Amazon EC2 Auto Scaling 起動設定を使用して設定した Amazon EBS ボリュームでは、保管中のデータを暗号化する必要があります
+ CT.AUTOSCALING.PR.10: 起動テンプレートを上書きするときに、Amazon EC2 Auto Scaling グループが AWS Nitro インスタンスタイプのみを使用する必要がある
+ CT.AUTOSCALING.PR.11: 起動テンプレートを上書きするときに、インスタンス間のネットワークトラフィックの暗号化をサポートする AWS Nitro インスタンスタイプのみを Amazon EC2 Auto Scaling グループに追加する必要があります
+ CT.DAX.PR.3: DynamoDB Accelerator クラスターでは Transport Layer Security (TLS) を使用して転送中のデータを暗号化する必要があります
+ CT.DMS.PR.2: AWS Database Migration Service (DMS) エンドポイントがソースエンドポイントとターゲットエンドポイントの接続を暗号化する必要がある
+ CT.EC2.PR.15: Amazon EC2 インスタンスは、`AWS::EC2::LaunchTemplate` リソースタイプから作成する場合、 AWS Nitro インスタンスタイプを使用する必要があります
+ CT.EC2.PR.16: Amazon EC2 インスタンスは、`AWS::EC2::Instance` リソースタイプを使用して作成した場合、 AWS Nitro インスタンスタイプを使用する必要があります
+ CT.EC2.PR.17: Amazon EC2 専有ホストでは AWS Nitro インスタンスタイプを使用する必要があります
+ CT.EC2.PR.18: Amazon EC2 フリートは、これらの起動テンプレートのみを AWS Nitro インスタンスタイプで上書きする必要があります
+ CT.EC2.PR.19: Amazon EC2 インスタンスは、`AWS::EC2::Instance` リソースタイプを使用して作成した場合、インスタンス間の転送中の暗号化をサポートする Nitro インスタンスタイプを使用する必要があります
+ CT.EC2.PR.20: Amazon EC2 フリートは、インスタンス間の転送中の暗号化をサポートする AWS Nitro インスタンスタイプを持つ起動テンプレートのみを上書きする必要があります。
+ CT.ELASTICACHE.PR.8: 新しい Redis バージョンの Amazon ElastiCache レプリケーショングループでは RBAC 認証をアクティブにする必要があります
+ CT.MQ.PR.1: Amazon MQ ActiveMQ ブローカーでは、高可用性を確保するためにアクティブ/スタンバイデプロイモードを使用する必要があります
+ CT.MQ.PR.2: Amazon MQ Rabbit MQ ブローカーでは、高可用性を確保するためにマルチ AZ クラスターモードを使用する必要があります
+ CT.MSK.PR.1: Amazon Managed Streaming for Apache Kafka (MSK) クラスターでは、クラスターブローカーノード間の転送中の暗号化を適用する必要があります
+ CT.MSK.PR.2: Amazon Managed Streaming for Apache Kafka (MSK) クラスターでは、PublicAccess を無効に設定する必要があります
+ CT.NETWORK-FIREWALL.PR.5: AWS Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります
+ CT.RDS.PR.26: Amazon RDS DB Proxy は Transport Layer Security (TLS) 接続を要求する必要があります
+ CT.RDS.PR.27: Amazon RDS DB クラスターパラメータグループは、サポートしているエンジンタイプのために Transport Layer Security (TLS) 接続を要求する必要があります
+ CT.RDS.PR.28: Amazon RDS DB パラメータグループは、サポートしているエンジンタイプのために Transport Layer Security (TLS) 接続を要求する必要があります
+ CT.RDS.PR.29: Amazon RDS クラスターは、「PubliclyAccessible」プロパティを使用してパブリックでアクセスできないように設定する必要があります
+ CT.RDS.PR.30: Amazon RDS データベースインスタンスでは、サポートしているエンジンタイプのために指定した KMS キーを使用するように保管中の暗号化を設定する必要があります
+ CT.S3.PR.12: Amazon S3 のアクセスポイントでは、パブリックアクセスブロック (BPA) 設定のすべてのオプションを true に設定する必要があります
**新しい予防コントロール**
+ CT.APPSYNC.PV.1 AWS AppSync GraphQL API がプライベート可視性で設定されている必要があります
+ CT.EC2.PV.1 Amazon EBS スナップショットは、暗号化した EC2 ボリュームから作成する必要があります
+ CT.EC2.PV.2 アタッチした Amazon EBS ボリュームは、保管中のデータを暗号化するように設定する必要があります
+ CT.EC2.PV.3 Amazon EBS スナップショットはパブリックに復元できないようにする必要があります
+ CT.EC2.PV.4 Amazon EBS direct API が呼び出されないようにする必要があります
+ CT.EC2.PV.5 Amazon EC2 VM のインポートとエクスポートの使用を禁止します
+ CT.EC2.PV.6 廃止された Amazon EC2 RequestSpotFleet および RequestSpotInstances API アクションの使用を禁止します
+ CT.KMS.PV.1 AWS サービスへの AWS KMS 許可の作成を制限するステートメントを AWS KMS キーポリシーに要求する
+ CT.KMS.PV.2 暗号化に使用される RSA キーマテリアルを持つ AWS KMS 非対称キーのキー長が 2048 ビットでない必要があります
+ CT.KMS.PV.3 バイパスポリシーのロックアウト安全チェックを有効にして AWS KMS キーを設定する必要があります
+ CT.KMS.PV.4 AWS KMS カスタマーマネージドキー (CMK) が AWS CloudHSM から発信されるキーマテリアルで設定されている必要があります
+ CT.KMS.PV.5 AWS KMS カスタマーマネージドキー (CMK) がインポートされたキーマテリアルで設定されている必要があります
+ CT.KMS.PV.6 AWS KMS カスタマーマネージドキー (CMK) は、外部キーストア (XKS) から発信されるキーマテリアルで設定する必要があります。
+ CT.LAMBDA.PV.1 AWS Lambda 関数 URL に AWS IAM ベースの認証の使用を要求する
+ CT.LAMBDA.PV.2 AWS Lambda 関数 URL は、 内のプリンシパルのみがアクセスできるように設定する必要があります。 AWS アカウント
## AWS Control Tower ランディングゾーン API
**2023 年 11 月 26 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、プログラムを使用してランディングゾーンを管理できる API が提供されるようになりました。これらの API を使用すると、ランディングゾーンを作成、更新、リセットしたり、ランディングゾーンの設定とオペレーションに関する情報を取得したりできます。詳細については、「[ランディングゾーン API の例](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html)」を参照してください。
ランディングゾーン APIsは、 GovCloud (米国) AWS リージョン リージョンを除く、AWS Control Tower が利用可能なすべての で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower コントロールのタグ付け API
**2023 年 11 月 10 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、プログラムを使用して有効なコントロールにタグ付けする API が提供されるようになりました。これらの API を使用すると、有効なコントロールのタグを追加、削除、一覧表示できます。詳細については、「[AWS Control Tower リソースのタグ付け](https://docs.aws.amazon.com//controltower/latest/userguide/tagging-resources.html)」を参照してください。
コントロールタグ付け APIsは、 GovCloud (米国) リージョンを除く、AWS Control Tower AWS リージョン が利用可能なすべての で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS アジアパシフィック (メルボルン) で利用可能な AWS Control Tower
**2023 年 11 月 3 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower がアジアパシフィック (メルボルン) で利用可能です。AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン の表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## 新しい AWS Service Catalog 外部製品タイプへの移行 (フェーズ 1)
**2023 年 10 月 31 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
HashiCorp が Terraform ライセンスを更新しました。その結果、*Terraform Open Source* 製品とプロビジョニング済み製品のサポートが *External* という新しい製品タイプ AWS Service Catalog に変更されました。
アカウント内の既存のワークロードと AWS リソースの中断を回避するには、2023 年 12 月 14 日までに[AWS Service Catalog 「外部製品タイプへの移行](af-customization-page.md#service-catalog-external-product-type)」の「AWS Control Tower の移行手順」に従ってください。
## AWS Control Tower で新しいコントロール API が追加されました
**2023 年 10 月 27 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、有効なコントロールを更新できる新しい API、`UpdateEnabledControl` が提供されるようになりました。この API は、ドリフトを迅速に解決する必要がある場合や、コントロールがドリフト状態でないことをプログラムで確認する必要がある場合に特に役立ちます。新しい API の詳細については、「[AWS Control Tower API リファレンス](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)」を参照してください。
`UpdateEnabledControl` API は、 GovCloud (米国) リージョンを除く、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、「[AWS リージョン の表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS Control Tower で新しいコントロールが追加されました
**2023 年 10 月 20 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower に、AWS Control Tower コントロールライブラリに 22 個の新しいコントロールが追加されました。これらのコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「[Control のカテゴリ](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)」を参照してください。
新しいコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower で信頼されるアクセスドリフトを検出する
**2023 年 10 月 13 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、信頼されるアクセス設定のドリフトを検出して報告するようになりました。信頼できるアクセス設定により、AWS Control Tower はユーザーに代わって他の AWS サービスとやり取りできます。これらの設定が AWS Control Tower の外部で変更された場合、AWS Control Tower はドリフトを検出し、AWS Control Tower コンソールで報告します。信頼されるアクセスのドリフトに関する詳細については、「[ガバナンスドリフトのタイプ](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html)」を参照してください。
信頼できるアクセスドリフト検出は、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower が 4 つの追加で利用可能に AWS リージョン
**2023 年 9 月 29 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、アジアパシフィック (ハイデラバード) AWS リージョン、アジアパシフィック (ジャカルタ)、欧州 (スペイン)、欧州 (チューリッヒ) の 4 つの追加で利用できます。AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン の表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS イスラエル (テルアビブ) で AWS Control Tower が利用可能に
**2023 年 8 月 1 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower がイスラエル (テルアビブ) で利用可能です。AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン の表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS Control Tower に 28 個の新しいプロアクティブコントロールを追加
**2023 年 7 月 27 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower に、AWS Control Tower コントロールライブラリに 28 個の新しいプロアクティブコントロールが追加されました。これらのコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「[Control のカテゴリ](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)」を参照してください。
新しいコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower で 2 つのコントロールが廃止されます
**2023 年 7 月 27 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、CT.CLOUDFORMATION.PR.2 と CT.CLOUDFORMATION.PR.3 の 2 つのコントロールが廃止されました。これらのコントロールは、AWS Control Tower のコントロールライブラリで利用できなくなりました。廃止されたコントロールの詳細については、「[Control のカテゴリ](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)」を参照してください。
廃止されたコントロールは、どの でも使用できなくなりました AWS リージョン。
## AWS Control Tower ランディングゾーンバージョン 3.2
**2023 年 6 月 16 日**
(AWS Control Tower ランディングゾーンをバージョン 3.2 に更新する必要があります。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください)。
AWS Control Tower ランディングゾーンバージョン 3.2 では、 AWS Security Hub CSPM **サービスマネージドスタンダード: AWS Control Tower** の一部であるコントロールが一般公開されています。この標準に含まれるコントロールのドリフトステータスを AWS Control Tower コンソールで表示する機能が導入されました。
このアップデートには、**AWSServiceRoleForAWSControlTower** と呼ばれる新しいサービスにリンクされたロール (SLR) が含まれています。このロールは、各メンバーアカウントに **AWSControlTowerManagedRule** と呼ばれる EventBridge マネージドルールを作成することで AWS Control Tower を支援します。このマネージドルールは、AWS Control Tower を使用して から AWS Security Hub CSPM **検出**イベントを収集し、コントロールドリフトを判断できます。
このルールは、AWS Control Tower によって作成される最初のマネージドルールです。ルールはスタックによってデプロイされるのではなく、EventBridge API から直接デプロイされます。ルールは EventBridge コンソールで確認することも、EventBridge API を使用して表示することもできます。`managed-by` フィールドに入力すると、AWS Control Tower のサービスプリンシパルが表示されます。
以前は、AWS Control Tower は **AWSControlTowerExecution** ロールを前提として、メンバーアカウントで操作を実行していました。この新しいロールとルールは、マルチアカウント AWS 環境でオペレーションを実行するときに最小特権を許可するというベストプラクティスの原則により適しています。新しいロールでは、メンバーアカウントでのマネージドルールの作成、マネージドルールの管理、SNS によるセキュリティ通知の公開、ドリフトの検証など、具体的に許可する範囲を絞ったアクセス許可が提供されます。詳細については、「[AWSServiceRoleForAWSControlTower](access-control-managing-permissions.md#AWSServiceRoleForAWSControlTower)」を参照してください。
ランディングゾーン 3.2 のアップデートには、管理アカウントに新しい StackSet リソース、`BP_BASELINE_SERVICE_LINKED_ROLE` も含まれています。これは、サービスにリンクされたロールを最初にデプロイします。
Security Hub CSPM コントロールドリフト (ランディングゾーン 3.2 以降) を報告すると、AWS Control Tower は Security Hub CSPM から毎日のステータス更新を受け取ります。コントロールはすべての管理対象リージョンでアクティブですが、AWS Control Tower は AWS Security Hub CSPM **検出**イベントを AWS Control Tower ホームリージョンにのみ送信します。詳細については、「[Security Hub control drift reporting](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html#sh-drift)」を参照してください。
**リージョン拒否コントロールの更新**
このランディングゾーンバージョンには、リージョン拒否コントロールの更新も含まれています。
**追加されたグローバルサービスと API**
+ AWS Billing and Cost Management (`billing:*`)
+ AWS CloudTrail (`cloudtrail:LookupEvents`) は、メンバーアカウントのグローバルイベントを可視化します。
+ AWS 一括請求 (`consolidatedbilling:*`)
+ AWS マネジメントコンソールモバイルアプリケーション (`consoleapp:*`)
+ AWS 無料利用枠 (`freetier:*`)
+ AWS Invoicing (`invoicing:*`)
+ AWS IQ (`iq:*`)
+ AWS ユーザー通知 (`notifications:*`)
+ AWS ユーザー通知の連絡先 (`notifications-contacts:*`)
+ Amazon Payments (`payments:*`)
+ AWS 税設定 (`tax:*`)
**削除されたグローバルサービスと API**
+ 有効なアクションではないため、`s3:GetAccountPublic` は削除されました。
+ 有効なアクションではないため、`s3:PutAccountPublic` は削除されました。
## AWS Control Tower に IAM Identity Center の email-to-IDマッピングが追加されました
**2023 年 7 月 13 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で IAM Identity Center の email-to-ID マッピングがサポートされるようになりました。この機能を使用すると、E メールアドレスを IAM Identity Center ユーザー ID にマッピングし、AWS Control Tower 環境へのユーザーアクセスを簡単に管理できます。email-to-ID マッピングの詳細については、「[IAM Identity Center との統合](https://docs.aws.amazon.com//controltower/latest/userguide/sso-integration.html)」を参照してください。
Email-to-IDマッピングは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower が AWS Security Hub CSPM コントロールを追加
**2023 年 6 月 29 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は、AWS Control Tower の AWS Security Hub CSPM コントロールライブラリにコントロールを追加しました。これらのコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「[Control のカテゴリ](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)」を参照してください。
新しいコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower が AWS Security Hub CSPM コントロールのメタデータを発行する
**2023 年 6 月 22 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower が AWS Security Hub CSPM コントロールのメタデータを発行するようになりました。このメタデータには、コントロール ID、コントロールタイトル、コントロールの説明など、コントロールに関する情報が含まれます。メタデータの詳細については、「[コントロールのメタデータ](https://docs.aws.amazon.com//controltower/latest/userguide/control-metadata.html)」を参照してください。
コントロールメタデータは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower に Terraform 用の Account Factory Customization (AFC) を追加
**2023 年 6 月 15 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower に Terraform 用の Account Factory Customization (AFC) が追加されました。この機能を使用すると、Terraform を使用して AWS Control Tower アカウントをカスタマイズできます。AFC for Terraform の詳細については、「[Account Factory for Terraform のカスタマイズ](https://docs.aws.amazon.com//controltower/latest/userguide/afc-terraform.html)」を参照してください。
AFC for Terraform は、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower にセルフマネージド IAM アイデンティティセンターを追加
**2023 年 6 月 8 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower でセルフマネージド IAM アイデンティティセンターがサポートされるようになりました。この機能を使用すると、AWS Control Tower で独自の ID プロバイダーを使用できます。セルフマネージド IAM Identity Center の詳細については、「[IAM Identity Center](https://docs.aws.amazon.com//controltower/latest/userguide/iam-identity-center.html)」を参照してください。
セルフマネージド IAM アイデンティティセンターは、AWS Control Tower が利用可能なすべての AWS リージョン で利用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower に 混合ガバナンスの注意事項を追加
**2023 年 6 月 1 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower に、混合ガバナンスに関する注意事項が追加されました。このノートでは、AWS Control Tower が他の AWS サービスと連携してリソースの AWS ガバナンスを提供する方法について説明します。混合ガバナンスの詳細については、「[混合ガバナンス](https://docs.aws.amazon.com//controltower/latest/userguide/mixed-governance.html)」を参照してください。
混合ガバナンスノートは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower に新しいプロアクティブコントロールを追加
**2023 年 5 月 25 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower に、AWS Control Tower コントロールライブラリに新しいプロアクティブコントロールが追加されました。これらのコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。新しいコントロールの詳細については、「[Control のカテゴリ](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)」を参照してください。
新しいコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower で Amazon EC2 コントロールを更新する
**2023 年 5 月 18 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower で、AWS Control Tower コントロールライブラリの Amazon EC2 コントロールが更新されました。これらの更新により、AWS Control Tower 環境のセキュリティと信頼性が向上します。更新されたコントロールの詳細については、「[Control のカテゴリ](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)」を参照してください。
更新されたコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower が 7 つの追加で利用可能に AWS リージョン
**2023 年 5 月 11 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower は AWS リージョン、アジアパシフィック (大阪)、カナダ (中部)、欧州 (ミラノ)、欧州 (ストックホルム)、中東 (バーレーン)、中東 (アラブ首長国連邦)、南米 (サンパウロ) の 7 つの追加で利用できます。AWS Control Tower を使用できるリージョンの全リストについては、「[AWS リージョン の表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。
## AWS Control Tower Account Factory Customization (AFC) とリクエストトレースが一般利用可能
**2023 年 4 月 27 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower Account Factory Customization (AFC) とリクエストトレースが一般利用可能になりました。AFC では AWS Control Tower アカウントをカスタマイズでき、リクエストトレースにより AWS Control Tower リクエストのステータスを追跡できます。AFC とリクエストトレースの詳細については、「[Account Factory のカスタマイズ](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-customization.html)」と「[リクエストのトレース](https://docs.aws.amazon.com//controltower/latest/userguide/request-tracing.html)」を参照してください。
AFC とリクエストのトレースは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。
## AWS Control Tower ランディングゾーンバージョン 3.1
2023 年 2 月 9 日
(AWS Control Tower のランディングゾーンをバージョン 3.1 に更新する必要があります。詳細については、「[ランディングゾーンを更新する](update-controltower.md)」を参照してください)
AWS Control Tower ランディングゾーンバージョン 3.1 には、次の更新が含まれています。
+ 今回のリリースでは、AWS Control Tower は*アクセスログバケット* (アクセスログが Log Archive アカウントに保存される Amazon S3 バケット) の不要なアクセスログを無効化し、S3 バケットのサーバーアクセスログを引き続き有効にします。このリリースには、 サポート Plans や などのグローバルサービスに追加のアクションを許可するリージョン拒否コントロールの更新も含まれています AWS Artifact。
+ AWS Control Tower アクセスログバケットのサーバーアクセスログ記録を無効にすると、Security Hub CSPM は Log Archive アカウントの*アクセスログバケット*の結果を作成します。 AWS Security Hub CSPM ルールにより、[[S3.9] S3 バケットサーバーのアクセスログ記録を有効にする必要があります](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-9)。Security Hub CSPM に合わせて、このルールの Security Hub CSPM の説明に記載されているように、この特定の検出結果を抑制することをお勧めします。追加情報については、「[非表示の結果に関する情報](https://docs.aws.amazon.com//securityhub/latest/userguide/finding-workflow-status.html)」を参照してください。
+ Log Archive アカウントの (通常の) ログバケットのアクセスログは、バージョン 3.1 でも変更されていません。ベストプラクティスに従い、そのバケットのアクセスイベントは、*アクセスログバケット*にログエントリとして記録されます。アクセスログの詳細については、Amazon S3 ドキュメントの「[サーバーアクセスログを使用したリクエストのログ記録](https://docs.aws.amazon.com//AmazonS3/latest/userguide/ServerLogs.html)」を参照してください。
+ リージョン拒否コントロールを更新しました。この更新により、より多くのグローバルサービスによるアクションが可能になります。この SCP の詳細については、[「リクエストされた AWS に基づいて へのアクセスを拒否する AWS リージョン](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)」および[「データレジデンシー保護を強化するコントロール](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html)」を参照してください。
**追加されたグローバルサービス:**
+ AWS アカウント管理 (`account:*`)
+ AWS アクティブ化 (`activate:*`)
+ AWS Artifact (`artifact:*`)
+ AWS Billing Conductor (`billingconductor:*`)
+ AWS Compute Optimizer (`compute-optimizer:*`)
+ AWS Data Pipeline (`datapipeline:GetAccountLimits`)
+ AWS Device Farm(`devicefarm:*`)
+ AWS Marketplace (`discovery-marketplace:*`)
+ Amazon ECR (`ecr-public:*`)
+ AWS License Manager (`license-manager:ListReceivedLicenses`)
+ AWS Lightsail (`lightsail:Get*`)
+ AWS Resource Explorer (`resource-explorer-2:*`)
+ Amazon S3 (`s3:CreateMultiRegionAccessPoint`、`s3:GetBucketPolicyStatus`、`s3:PutMultiRegionAccessPointPolicy`)
+ AWS Savings Plans (`savingsplans:*`)
+ IAM Identity Center (`sso:*`)
+ AWS Support App (`supportapp:*`)
+ サポート プラン (`supportplans:*`)
+ AWS 持続可能性 (`sustainability:*`)
+ AWS Resource Groups Tagging API (`tag:GetResources`)
+ AWS Marketplace Vendor Insights (`vendor-insights:ListEntitledSecurityProfiles`)
## AWS Control Tower プロアクティブコントロールが一般利用可能
**2023 年 4 月 13 日**
(AWS Control Tower ランディングゾーンに更新は必要ありません。)
AWS Control Tower プロアクティブコントロールが一般利用可能になりました。プロアクティブコントロールは、 AWS リソースのベストプラクティスを適用するのに役立ちます。プロアクティブコントロールの詳細については、「[Proactive controls](https://docs.aws.amazon.com//controltower/latest/userguide/proactive-controls.html)」を参照してください。
プロアクティブコントロールは、AWS Control Tower が利用可能なすべての AWS リージョン で使用できます。AWS Control Tower が利用可能な AWS リージョン のリストについては、 [AWS リージョン 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)を参照してください。