De janeiro a dezembro de 2024
Em 2024, o AWS Control Tower lançou as seguintes atualizações:
-
O AWS Control Tower adiciona controles preventivos com políticas declarativas
-
O AWS Control Tower adiciona opções de plano de backup prescritivo
-
O AWS Control Tower melhora o gerenciamento de hooks e adiciona regiões de controle proativas
-
O AWS Control Tower lança políticas de controle de recursos gerenciado
-
AWS Control Tower disponível na região da AWS Ásia-Pacífico (Malásia)
-
AWS Control Tower adiciona a seleção de versão da zona de pouso
-
API de controle descritivo disponível, acesso expandido a regiões e controles
-
AWS Control Tower é compatível com AFT e CfCT em regiões opcionais
-
AWS Control Tower permite até 100 operações de controle simultâneas
-
AWS Control Tower disponível na região da AWS Oeste do Canadá (Calgary)
-
AWS Control Tower permite ajustes na cota de autoatendimento
-
AWS Control Tower atualiza e renomeia dois controles proativos
-
AWS Control Tower permite a marcação de recursos EnabledControl no CloudFormation
-
AWS Control Tower é compatível com APIs para registro e configuração de UOs com linhas de base
O AWS Control Tower CfCT é compatível com GitHub e RCPs
de dezembro de 9, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora é compatível com o GitHub como uma opção para um sistema de controle de versão (VCS) de terceiros e origem de configuração para personalizações para o AWS Control Tower (CFCT). Para obter mais informações, consulte Definir o GitHub como fonte de configuração.
O AWS Control Tower agora oferece suporte a políticas de controle de recursos (RCPs) para personalizações para o AWS Control Tower (CFCT). Para obter mais informações, consulte Guia de personalização do CfCT.
O AWS Control Tower adiciona controles preventivos com políticas declarativas
º de dezembro de 1, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora oferece suporte a controles preventivos que são implementados por políticas declarativas do AWS Organizations. As políticas declarativas são aplicadas diretamente no nível do serviço. Essa abordagem garante que a configuração especificada seja aplicada, mesmo quando novos atributos ou APIs são introduzidos pelo serviço. Para obter mais informações, consulte Controles implementados com políticas declarativas.
O AWS Control Tower adiciona opções de plano de backup prescritivo
de novembro de 25, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora oferece suporte a planos prescritivos de AWS Backup que permitem incorporar um fluxo de trabalho de backup e recuperação de dados diretamente na sua zona de pouso. O plano de backup inclui regras predefinidas, como dias de retenção, frequência de backup e a janela de tempo durante a qual o backup ocorre. Essas regras definem como fazer backup de seus recursos da AWS em todas as suas contas de membros governadas. Quando você aplica um plano de backup na zona de pouso, o AWS Control Tower garante que o plano seja consistente para todas as contas de membros e esteja alinhado às recomendações de práticas recomendadas do AWS Backup.
Para obter mais informações, consulte AWS Backup e AWS Control Tower.
O AWS Control Tower integra controles de AWS Config
de novembro de 21, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower integrou controles de AWS Config selecionados, para que possam ser visualizados e gerenciados pelo AWS Control Tower.
Para ter mais informações, consulte Controles AWS Config integrados disponíveis no AWS Control Tower
O AWS Control Tower melhora o gerenciamento de hooks e adiciona regiões de controle proativas
de novembro de 20, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
Com essa versão, você pode utilizar a capacidade total dos hooks do CloudFormation, sem restrições do AWS Control Tower. Além disso, controles proativos estão disponíveis nas regiões Oeste do Canadá (Calgary) e Ásia-Pacífico (Malásia).
Anteriormente, todos os hooks do CloudFormation em seu ambiente precisavam ser protegidos pelo controle CT.CLOUDFORMATION.PR.1, para que somente o AWS Control Tower pudesse modificá-los. Com essa versão, você pode implantar hooks do CloudFormation e modificá-los sem as restrições exigidas anteriormente pelo serviço AWS Control Tower.
Se você atualmente implanta controles proativos, pode migrar para essa funcionalidade aprimorada de hook. Para redefinir todos os controles proativos em uma UO, redefina qualquer controle proativo único que esteja ativo nessa UO. Você pode realizar a redefinição chamando a API ResetEnabledControl ou atualizando o controle no console com a funcionalidade Redefinir. Quando você conclui essa tarefa de redefinição para qualquer controle proativo, o AWS Control Tower move todos os hooks de controle proativo na UO para o novo recurso. Repita esse processo para cada UO que implanta controles proativos.
Depois de redefinir qualquer controle proativo, remova o controle CT.CLOUDFORMATION.PR.1 em suas UOs do AWS Control Tower, a menos que você tenha habilitado esse controle para outra finalidade. Se você não desativar o controle CT.CLOUDFORMATION.PR.1, não poderá criar e modificar seus outros hooks do CloudFormation.
Consulte mais informações em Atualizar hooks de controle proativo.
O AWS Control Tower lança políticas de controle de recursos gerenciado
de novembro de 15, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower oferece um novo tipo de controle preventivo, implementado com políticas de controle de recursos (RCPs). Esses controles ajudam você a estabelecer um perímetro de dados em todo o seu ambiente do AWS Control Tower, para proteger seus recursos contra acesso não intencional.
Por exemplo, você pode habilitar controles baseados em RCP para Amazon S3, AWS Security Token Service, AWS Key Management Service, Amazon SQS e serviços AWS Secrets Manager. Um controle baseado em RCP pode impor um requisito como “Exigir que os recursos do Amazon S3 da organização sejam acessíveis somente pelas entidades principais do IAM que pertencem à organização ou por um serviço AWS”, independentemente das permissões concedidas em políticas de bucket individuais.
Você pode configurar os novos controles baseados em RCP e certos controles preventivos baseados em SCP existentes para especificar isenções de IAM da AWS para entidades principais e recursos. Se você não quiser que uma entidade principal ou um recurso seja governado pelo controle, poderá configurar uma isenção.
Ao combinar controles preventivos, proativos e de detetive no AWS Control Tower, você pode monitorar se seu ambiente de várias contas da AWS é seguro e gerenciado de acordo com as práticas recomendadas, como o padrão AWS Foundational Security Best Practices.
Esses novos controles preventivos baseados em RCP estão disponíveis nas Regiões da AWS onde o AWS Control Tower está disponível. Consulte uma lista completa de Regiões da AWS em que o AWS Control Tower está disponível na Tabela de regiões da Região da AWS
O AWS Control Tower relata desvio da política de controle
de novembro de 15, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora relata desvio da política de controle para controles implementados com políticas de controle de recursos (RCPs) e controles que fazem parte do padrão gerenciado pelo serviço do Security Hub: AWS Control Tower. Esse tipo de desvio pode ser corrigido por meio da nova API ResetEnabledControl. Consulte mais informações em Types of governance drift.
Nova API ResetEnabledControl
de novembro de 14, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower anuncia uma nova API para ajudar você a gerenciar o desvio de controle de forma programática. Você pode reparar o desvio de controle e redefinir um controle para a configuração pretendida. A API ResetEnabledControl funciona com controles opcionais do AWS Control Tower, incluindo controles eletivos e altamente recomendados.
Exceções de controle
-
Controles que são implementados com políticas de controle de serviço (SCPs) não podem ser redefinidos com essa API. Para obter mais informações, consulte
ResetEnabledControl. -
Os controles obrigatórios não podem ser redefinidos, pois eles protegem os recursos do AWS Control Tower.
-
O controle de negação de região para a zona de pouso deve ser redefinido por meio do console.
O desvio de controle ocorre quando um controle do AWS Control Tower é modificado fora do AWS Control Tower, por exemplo, a partir do console do AWS Organizations. Resolver desvios ajuda a garantir a conformidade com os requisitos de governança.
API GetControl de atualizações do catálogo de controle
de novembro de 8, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora oferece suporte a uma API GetControl atualizada que inclui dois novos campos: tipos de Implementation para todos os controles e Parameters para determinados controles que podem ser configurados.
A API GetControl faz parte do namespace controlcatalog do AWS Control Tower.
Consulte mais informações na API GetControl na Referência da API do Control Catalog.
Essa versão inclui mudanças relacionadas que são mostradas no console do AWS Control Tower.
-
Todos os controles do AWS Security Hub CSPM existentes têm seus valores de parâmetros
Implementationalterados da regra AWS Config para AWS Security Hub CSPM. O painel de ajuda do console correspondente foi modificado para refletir essa alteração. -
Todos os controles do hook existentes têm seus valores de parâmetros
Implementationalterados da regra de guarda CloudFormation para hook CloudFormation. O painel de ajuda do console correspondente foi modificado para refletir essa alteração.
AFT do AWS Control Tower é compatível com o GitLab
de outubro de 23, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora é compatível com o GitLab e o GitLab autogerenciado como opções para um sistema de controle de versão (VCS) de terceiros e origem de configuração para o Account Factory for Terraform (AFT).
AWS Control Tower disponível na região da AWS Ásia-Pacífico (Malásia)
de outubro de 21, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower está disponível na região da AWS Ásia-Pacífico (Malásia).
Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na Tabela de regiões da AWS
AWS Control Tower é compatível com até mil contas por UO
de agosto de 30, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower aumentou o número máximo de contas permitidas por unidade organizacional (UO) de 300 para 1.000. Agora, é possível inscrever até mil Contas da AWS na governança do AWS Control Tower de uma só vez, sem alterar a estrutura da UO. Os processos de registro e novo registro da UO também estão mais eficientes, exigindo muito menos tempo para implantar os recursos da linha de base do AWS Control Tower em suas contas.
Algumas limitações da conta ainda se aplicam devido às limitações no número de conjuntos de pilhas do CloudFormation disponíveis. Especificamente, o número máximo de contas que você pode inscrever em uma UO pode variar, dependendo do número de regiões que tem sob governança. Para saber mais, acesse Limitations based on underlying AWS services no Guia do usuário do AWS Control Tower. Consulte uma lista completa de Regiões da AWS em que o AWS Control Tower está disponível na Tabela de regiões da Região da AWS
AWS Control Tower adiciona a seleção de versão da zona de pouso
de agosto de 15, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
Se estiver executando a versão 3.1 ou posterior da zona de pouso do AWS Control Tower, você poderá atualizar ou reparar a zona de pouco no local na versão atual, ou poderá fazer upgrade para uma versão de sua escolha. Anteriormente, qualquer atualização ou reparo da zona de pouso exigia um upgrade para a versão mais recente dela.
Com a seleção de versão da zona de pouso, você tem mais flexibilidade para planejar atualizações de versão enquanto avalia possíveis mudanças no ambiente. Você não precisa escolher entre reparar o desvio para manter a conformidade, atualizar as configurações da zona de pouso ou atualizar para a versão mais recente da zona de pouso. Se estiver executando a versão 3.1 ou posta da zona de pouso, você poderá optar por permanecer na versão atual ou fazer upgrade para uma versão mais nova ao atualizar ou redefinir as configurações da zona de pouso.
API de controle descritivo disponível, acesso expandido a regiões e controles
de agosto de 6, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower adicionou duas novas operações de API que ajudam a encontrar mais informações sobre os controles disponíveis de forma programática. Essa funcionalidade facilita a implantação de controles com automação.
-
A API
GetControlretorna detalhes sobre um controle habilitado, incluindo o identificador de destino, um resumo das informações de controle, uma lista de regiões de destino e o status do desvio. -
A API
ListControlsretorna uma lista paginada de todos os controles disponíveis na biblioteca de controles do AWS Control Tower.
Essas APIs são acessadas por meio do AWS Control Catalog namespace. O AWS Control Catalog faz parte do AWS Control Tower, que inclui controles que ajudam a gerenciar outros serviços da AWS, não apenas o AWS Control Tower. Esse catálogo expandido consolida controles de vários serviços da AWS, para que você possa visualizar os controles da AWS de acordo com alguns casos de uso comuns, como: segurança, custo, durabilidade e operações. Consulte mais informações na Referência da API do Control Catalog.
Disponibilidade expandida da região
A partir desse lançamento, você pode estender a governança do AWS Control Tower nas Regiões da AWS onde alguns dos seus controles (já) habilitados não estejam disponíveis. Além disso, agora é possível habilitar determinados controles em mais regiões, mesmo que o controle não seja compatível com todas as suas regiões administradas.
Anteriormente, o AWS Control Tower impedia que você estendesse a governança às regiões ou habilitasse controles, quando não oferecia consistência em todos os seus controles habilitados e regiões administradas. Com esse lançamento, você tem mais flexibilidade e responsabilidade de garantir que a configuração esteja correta para todos os controles habilitados e todas as regiões administradas. As APIs de controle do AWS Control Tower e as APIs do Control Catalog podem ajudar a ter informações sobre as regiões da AWS nas quais você tem a proteção de controles habilitados e as regiões nas quais controles adicionais podem ser implantados. As informações de região e controle também estão disponíveis no console do AWS Control Tower.
AWS Control Tower é compatível com AFT e CfCT em regiões opcionais
de julho de 18, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
Atualmente, os frameworks de personalização do AWS Control Tower Account Factory for Terraform (AFT) e Customizations for AWS Control Tower (CfCT) estão disponíveis em mais cinco Regiões da AWS: Ásia-Pacífico (Hyderabad, Jacarta e Osaka), Israel (Tel Aviv) e Oriente Médio (EAU).
O Account Factory for Terraform (AFT) configura um pipeline do Terraform para ajudar a provisionar e personalizar contas no AWS Control Tower. O Customizations for AWS Control Tower (CfCT) ajuda a personalizar a zona de pouso e contas do AWS Control Tower com modelos do CloudFormation e políticas de controle de serviços (SCPs).
Para saber mais, acesse as páginas do Account Factory for Terraform e do Customizations for AWS Control Tower no Guia do usuário do AWS Control Tower. Você também pode consultar as notas de lançamento na página do AFT no Github e na página do CfCT no Github. O AFT e CfCT são compatíveis com todas as regiões da AWS, com algumas exceções. Consulte detalhes em Region limitations.
AWS Control Tower adiciona a API ListLandingZoneOperations
de junho de 26, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower adicionou uma API que permite recuperar uma lista das operações aplicadas recentemente à zona de pouso e das operações atualmente em andamento. A API pode retornar o histórico das operações da zona de pouso e seus identificadores por até 90 dias. Consulte exemplos de uso em View the status of your landing zone operations.
Consulte mais informações sobre a API ListLandingZoneOperations em ListLandingZoneOperations na Referência de API do AWS Control Tower.
AWS Control Tower permite até 100 operações de controle simultâneas
de maio de 20, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora é compatível com várias operações de controle com maior simultaneidade. É possível enviar até 100 operações de controle do AWS Control Tower, em várias unidades organizacionais (UOs), ao mesmo tempo, por meio do console ou com APIs. Até dez (10) operações podem ser executadas simultaneamente, e as adicionais são colocadas na fila. Dessa forma, é possível definir uma configuração mais padronizada em várias Contas da AWS, sem a carga operacional das operações de controle repetitivas.
Para monitorar o status das operações de controle em andamento e na fila, você pode acessar a nova página Operações recentes no console do AWS Control Tower ou pode chamar a nova API ListControlOperations.
A biblioteca do AWS Control Tower contém mais de 500 controles, que são mapeados para diferentes serviços, frameworks e objetivos de controle. Para um objetivo de controle específico, como Criptografar dados em repouso, é possível habilitar vários controles com uma única operação de controle, para ajudar a atingir o objetivo. Esse recurso facilita o desenvolvimento acelerado, permite a adoção mais rápida dos controles de práticas recomendadas e reduz as complexidades operacionais.
AWS Control Tower disponível na região da AWS Oeste do Canadá (Calgary)
de maio de 3, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
A partir de hoje, é possível ativar o AWS Control Tower na região Oeste do Canadá (Calgary). Se já implantou o AWS Control Tower e deseja estender seus recursos de governança para essa região, você pode fazer isso com as APIs da zona de pouso do AWS Control Tower. Ou, no console, acesse a página Configurações no painel do AWS Control Tower, selecione as regiões e atualize a zona de pouso.
A região Oeste do Canadá (Calgary) não é compatível com o AWS Service Catalog. Por esse motivo, algumas funcionalidades do AWS Control Tower são diferentes. A mudança de funcionalidade mais notável é que o Account Factory não está disponível. Se você escolher Oeste do Canadá (Calgary) como a região de origem, os procedimentos para atualizar contas, configurar automações de contas e todos os outros processos que envolvam o Service Catalog serão diferentes dos de outras regiões.
Provisionar contas
Para criar e provisionar uma conta na região Oeste do Canadá (Calgary), recomendamos que você crie uma conta fora do AWS Control Tower e, depois, inscreva-a em uma UO registrada. Consulte mais informações em Enroll an existing account e em Steps to enroll an account.
As APIs do Service Catalog APIs não estão disponíveis na região Oeste do Canadá (Calgary). O exemplo de script mostrado em Automate account provisioning in AWS Control Tower by Service Catalog APIs não é viável.
O Account Factory Customization (AFC), o Account Factory for Terraform (AFT) e o Customizations for AWS Control Tower (CfCT) não estão disponíveis na região Oeste do Canadá (Calgary), devido à falta de outras dependências subjacentes do AWS Control Tower. Se estender a governança para a região Oeste do Canadá (Calgary), você poderá continuar gerenciando os esquemas do AFC em todas as regiões compatíveis com o AWS Control Tower, desde que o Service Catalog esteja disponível na região de origem.
Controles
Controles e controles proativos para o Padrão gerenciado por serviços do AWS Security Hub CSPM: AWS Control Tower não estão disponíveis na região Oeste do Canadá (Calgary). O controle preventivo CT.CLOUDFORMATION.PR.1 não está disponível na região Oeste do Canadá (Calgary) porque ele é necessário apenas para ativar os controles proativos baseados em hook. Certos controles de detecção baseados no AWS Config não estão disponíveis. Consulte detalhes em Limitações de controle.
Provedor de identidades
O Centro de Identidade do IAM não está disponível na região Oeste do Canadá (Calgary). As práticas recomendadas instruem a configurar a zona de pouso em uma região onde o Centro de Identidade do IAM esteja disponível. Como alternativa, você tem a opção de autogerenciar a configuração de acesso à conta se usar um provedor de identidades externo na região Oeste do Canadá (Calgary).
A indisponibilidade do Service Catalog na região Oeste do Canadá (Calgary) não afeta outras regiões compatíveis com o AWS Control Tower. Essas diferenças serão aplicadas somente se a região de origem for Oeste do Canadá (Calgary).
Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na Tabela de regiões da AWS
AWS Control Tower permite ajustes na cota de autoatendimento
de abril de 25, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower agora permite ajustes na cota de autoatendimento por meio do console Service Quotas. Para obter mais informações, consulte Solicitar um aumento da cota.
AWS Control Tower lança o Guia de referência de controles
de abril de 21, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower lançou o Guia de referência de controles, um novo documento no qual você pode encontrar informações detalhadas sobre os controles específicos do ambiente do AWS Control Tower. Anteriormente, esse material estava incluído no Guia do usuário do AWS Control Tower. O Guia de referência de controles abrange os controles em um formato expandido. Consulte mais informações no Guia de referência de controles do AWS Control Tower.
AWS Control Tower atualiza e renomeia dois controles proativos
de março de 26, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower renomeou dois controles proativos para se alinharem às atualizações do Amazon OpenSearch Service.
Atualizamos os nomes dos controles e os artefatos desses dois controles para se alinharem ao lançamento recente do Amazon OpenSearch Service, que agora é compatível com o Transport Layer Security (TLS) versão 1.3
Para que esses controles sejam compatíveis com o TLSv1.3, atualizamos o artefato e o nome dos controles para refletir a intenção do controle. Agora, eles avaliam a versão mínima do TLS do domínio do serviço. Para fazer essa atualização no ambiente, é necessário Desabilitar e Habilitar os controles para implantar o artefato mais recente.
Nenhum outro controle proativo é afetado por essa alteração. Recomendamos que você revise esses controles para garantir que eles atendam aos seus objetivos de controle.
Se tiver dúvidas ou solicitações, entre em contato com o AWS Support
Controles obsoletos não estão mais disponíveis
de março de 12, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
O AWS Control Tower desativou alguns controles. Esses controles não estarão mais disponíveis.
-
CT.ATHENA.PR.1
-
CT.CODEBUILD.PR.4
-
CT.AUTOSCALING.PR.3
-
SH.Athena.1
-
SH.Codebuild.5
-
SH.AutoScaling.4
-
SH.SNS.1
-
SH.SNS.2
AWS Control Tower permite a marcação de recursos EnabledControl no CloudFormation
de fevereiro de 22, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
Esse lançamento do AWS Control Tower atualiza o comportamento do recurso EnabledControl, para se alinhar melhor aos controles configuráveis e melhorar a capacidade de gerenciar o ambiente do AWS Control Tower com automação. Com esse lançamento, é possível adicionar tags a recursos EnabledControl configuráveis por meio de modelos do CloudFormation. Anteriormente, você só podia adicionar tags por meio do console e das APIs do AWS Control Tower.
As operações de API GetEnabledControl, EnableControl e ListTagsforResource do AWS Control Tower são atualizadas com esse lançamento, pois dependem da funcionalidade do recurso EnabledControl.
Consulte mais informações em Tagging EnabledControl resources in AWS Control Tower e em EnabledControl no Guia do usuário do CloudFormation.
AWS Control Tower é compatível com APIs para registro e configuração de UOs com linhas de base
de fevereiro de 14, 2024
(Não é necessário atualizar a zona de pouso do AWS Control Tower.)
Essas APIs permitem o registro programático de UO com a chamada EnableBaseline. Quando você habilita uma linha de base em uma UO, as contas-membros dentro da UO são inscritas na governança do AWS Control Tower. Algumas ressalvas podem se aplicar. Por exemplo, o registro de UO por meio do console do AWS Control Tower habilita controles opcionais, bem como controles obrigatórios. Ao chamar APIs, talvez seja necessário concluir uma etapa adicional para que os controles opcionais sejam habilitados.
Uma linha de base do AWS Control Tower incorpora as práticas recomendadas para a governança do AWS Control Tower de uma UO e contas-membros. Por exemplo, quando você habilita uma linha de base em uma UO, as contas-membros dentro da UO recebem um grupo definido de recursos, incluindo, AWS CloudTrail, AWS Config, Centro de Identidade do IAM e os perfis do AWS IAM exigidos.
As linhas de base específicas são compatíveis com versões específicas da zona de pouso do AWS Control Tower. O AWS Control Tower pode aplicar a linha de base compatível mais recente à zona de pouso quando você altera as configurações de zona inicial. Para obter mais informações, consulte Compatibilidade das linhas de base da UO e das versões da zona de pouso.
Esse lançamento inclui quatro Tipos de linhas de base essenciais
-
AWSControlTowerBaseline -
AuditBaseline -
LogArchiveBaseline -
IdentityCenterBaseline
Com as novas APIs e as linhas de base definidas, é possível registrar UOs e automatizar o fluxo de trabalho de provisionamento de UO. As APIs também podem gerenciar UOs que já estão sob a governança do AWS Control Tower, para que você possa registrar as UOs novamente após as atualizações da zona de pouso. As APIs incluem suporte para um recurso EnabledBaseline do CloudFormation, o que permite gerenciar UOs com infraestrutura como código (IaC).
APIs de linha de base
-
EnableBaseline, UpdateEnabledBaseline, DisableBaseline: realize uma ação em uma linha de base de uma UO.
-
GetEnabledBaseline, ListEnabledBaselines: descubra configurações das linhas de base habilitadas.
-
GetBaselineOperation: veja o status de uma operação de linha de base específica.
-
ResetEnabledBaseline: corrija o desvio de recurso em uma UO com uma linha de base habilitada (incluindo UOs aninhadas e desvio de controle obrigatório). Também corrige o desvio do controle de negação de região no nível da zona de pouso
-
GetBaseline, ListBaselines: descubra o conteúdo das linhas de base do AWS Control Tower.
Para saber mais sobre essas APIs, consulte Baselines no Guia do usuário do AWS Control Tower e na Referência de API. As novas APIs estão disponíveis em Regiões da AWS onde o AWS Control Tower está disponível, exceto nas regiões GovCloud (EUA). Consulte uma lista de Regiões da AWS em que o AWS Control Tower está disponível na Tabela de Região da AWS.
