Janeiro de 2025 - dezembro de 2025 - AWS Control Tower
AWS Control Tower landing zone versão 4.0O AWS Control Tower adiciona 279 AWS Config controles adicionais ao catálogo de controleAWS Control Tower disponível na região Ásia-Pacífico (Nova Zelândia)O AWS Control Tower oferece suporte ao registro automático de contasAWS Control Tower atualiza a versão do PythonAWS Control Tower reduz o desvioO AWS Control Tower oferece suporte a IPv6 endereçosAccount Factory for Terraform versão 1.15.0 disponívelControles atualizados com tipos de instância NitroAWS Control Tower disponível na região da Ásia-Pacífico (Taipei)O AWS Control Tower oferece suporte PrivateLinkSuporte para estruturas adicionais do setor, metadados atualizadosControles vinculados a serviços AWS ConfigA visualização do console de controles habilitados oferece visibilidade centralizadaO Account Factory for Terraform (AFT) é compatível com novas configurações na implantaçãoO AWS Control Tower apresenta relatórios em nível de conta para a linha de base APIsO AWS Control Tower está disponível nas regiões AWS Ásia-Pacífico (Tailândia) e México (Central)AWS Config Controles adicionais disponíveisCancele o registro e exclua ações do OUsO Control Catalog suporta IPv6 endereços

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Janeiro de 2025 - dezembro de 2025

Desde janeiro de 2025, o AWS Control Tower lançou as seguintes atualizações:

AWS Control Tower landing zone versão 4.0

17 de novembro de 2025

(É necessária uma atualização para a landing zone do AWS Control Tower para a versão 4.0. Para obter informações, consulteAtualizar a zona de pouso).

A landing zone 4.0 da AWS Control Tower é uma grande atualização que introduz uma experiência flexível somente para controles, permitindo que os clientes personalizem a forma como implementam e gerenciam seu ambiente multicontas da AWS. Essa versão muda significativamente a forma como o AWS Control Tower se integra aos serviços da AWS e gerencia os recursos organizacionais. Para obter informações sobre as principais mudanças, consulteGuia de migração do Landing Zone v4.0.

Principais mudanças e recursos

  • Integrações de serviços opcionais - o landing zone 4.0 permite que você escolha quais integrações de serviços habilitar em seu ambiente. A desativação de uma integração limpará os recursos implantados pelo AWS Control Tower específicos para essa integração nas contas gerenciadas e nas contas centrais de integração de serviços. Agora você pode ativar ou desativar seletivamente as integrações de serviços:

    • AWS Config

    • AWS CloudTrail

    • Funções de segurança

    • AWS Backup

Importante: Se você quiser desativar a integração com o AWS Config, você também deve desativar as integrações Security Roles, IAM Identity Center e AWS Backup.

  • Recursos dedicados em vez de usar recursos compartilhados - o landing zone 4.0 agora cria recursos dedicados para os principais serviços. Essa separação fornece melhor isolamento de recursos e controle mais granular sobre os recursos específicos do serviço:

    • Buckets S3 separados para o AWS Config

    • Buckets S3 separados para AWS CloudTrail

    • Tópicos individuais do SNS para cada serviço

  • Estrutura organizacional flexível - o landing zone 4.0 remove os requisitos anteriores da estrutura organizacional:

    • Você não precisa mais usar uma OU de segurança

    • Você pode definir sua própria estrutura organizacional

    • O único requisito é que todas as contas do hub estejam na mesma OU

  • Experiência de controles dedicada - Agora você pode criar uma configuração mínima de landing zone que inclui:

    • Integração básica com o AWS Organizations

    • Capacidade de ativar controles sem ativar a AWSControlTowerBaseline linha de base

    • Configurações personalizadas de governança com base em suas necessidades

  • AWS Config Changes — Landing Zone 4.0 introduz várias melhorias na implementação da integração do AWS Config:

    • Uma nova linha de base do Config spoke especificamente para controles de detetive

    • Agregador de configuração vinculado ao serviço (SLCA) na conta do Config hub

    • Substituição da organização tradicional e dos agregadores de contas

  • Manifesto opcional:

    • O campo do manifesto agora é opcional, permitindo que você:

      • Crie zonas de pouso sem nenhuma integração de serviços

      • Mais flexibilidade na configuração inicial

      • Opções de implantação personalizadas

O AWS Control Tower adiciona 279 AWS Config controles adicionais ao catálogo de controle

14 de novembro de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora inclui 279 AWS Config controles adicionais como parte do Catálogo de Controle. Você pode visualizar os controles no console do AWS Control Tower e por meio do APIs.

Certos controles têm relações com outros controles. Essas relações também são expressas no console do AWS Control Tower e no APIs. Os tipos de relacionamento incluem complementar, mutuamente exclusivo e alternativo.

AWS Control Tower disponível na região Ásia-Pacífico (Nova Zelândia)

28 de outubro de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora está disponível na região Ásia-Pacífico (Nova Zelândia).

Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na Tabela de regiões da AWS.

O AWS Control Tower oferece suporte ao registro automático de contas

15 de outubro de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Para clientes que operam a versão 3.1 ou superior da zona de pouso da AWS Control Tower, a AWS Control Tower agora permite a inscrição automática de contas em OUs. Se você optar pela inscrição automática de contas, o AWS Control Tower aplica os recursos e controles básicos habilitados pela UO a uma conta quando você a move para uma nova UO. Os controles e as linhas de base da UO anterior são removidos. Na maioria dos casos, nenhum desvio é criado por essa ação.

Para ativar a inscrição automática: você pode selecionar a inscrição automática de contas na página de configurações da landing zone no console da AWS Control Tower, ou ligando para a AWS Control Tower CreateLandingZone ou UpdateLandingZone APIs, com o valor do RemediationType parâmetro definido como Inheritance Drift.

Para aplicar a inscrição automática: depois de selecionar essa opção na sua página de configurações, você pode mover uma conta por meio do AWS Organizations console, da AWS Organizations MoveAccount API ou do console do AWS Control Tower.

Para cancelar o registro de uma conta com inscrição automática: se você mover uma conta para fora de uma UO registrada, o AWS Control Tower removerá automaticamente todos os recursos e controles básicos implantados.

Para obter mais informações sobre o ajuste de escala automático, consulte Opcionalmente, configure a inscrição automática para contas.

Essa versão também inclui uma atualização para uma política gerenciada e uma nova política gerenciada. Atualizamos AWS ControlTowerServiceRolePolicye adicionamos o novo AWS ControlTowerIdentityCenterManagementPolicy.

Atualizamos o AWS Control Tower CreateLandingZone e UpdateLandingZone APIs adicionamos um novoRemediationType, chamadoInheritance Drift.

AWS Control Tower atualiza a versão do Python

3 de setembro de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A versão 3.9 do Python está obsoleta. O AWS Control Tower atualizou as versões do Python em seus ambientes do AWS Control Tower. Nenhuma ação é necessária e essa atualização não afeta suas workloads existentes.

AWS Control Tower reduz o desvio

20 de agosto de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower atualizou a funcionalidade do desvio da política de controle de serviços (SCP). Com essa versão, dois tipos de mudança de governança são gerenciados diretamente pelo AWS Control Tower e não causam mais desvios em seu ambiente.

Dois tipos de desvios de governança removidos

  • SCP anexado à UO gerenciada: esse tipo de desvio ocorria quando uma SCP para um controle era anexada a qualquer outra UO. Essa ocorrência era especialmente comum quando você atualizava OUs de fora do console do AWS Control Tower.

  • SCP vinculado à conta de membro: esse tipo de desvio geralmente ocorria quando um SCP de um controle era vinculado a uma conta de fora do console do AWS Control Tower.

Consulte mais informações sobre desvios em Detect and resolve drift in AWS Control Tower.

O AWS Control Tower oferece suporte a IPv6 endereços

18 de agosto de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A API do AWS Control Tower agora oferece suporte a endereços do Protocolo de Internet versão 6 (IPv6) por meio de nossos novos endpoints de pilha dupla. O suporte existente para endpoints IPv4 permanece disponível para compatibilidade com versões anteriores. Os novos domínios de pilha dupla estão disponíveis na Internet ou em uma Amazon Virtual Private Cloud (VPC) usando. AWS PrivateLink

Account Factory for Terraform versão 1.15.0 disponível

28 de julho de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A versão 1.15.0 do Account Factory for Terraform (AFT) do AWS Control Tower está disponível. Para obter mais informações, consulte o GitHub repositório AFT.

Controles atualizados com tipos de instância Nitro

24 de julho de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower atualizou os oito controles proativos no Catálogo de Controle (anteriormente chamado de Biblioteca de Controle) que aplicam os tipos de instância do Amazon EC2. Essa atualização permite instanciar alguns novos tipos de instância do Nitro e remove alguns tipos de instância obsoletos da série u.

Controles atualizados
Novos tipos de instância disponíveis

  • c8gd

  • c8gn

  • i7i

  • m8gd

  • p6-b200

  • r8gd

Tipos de instância removidos

  • u-12tb1

  • u-18tb1

  • u-24tb1

  • u-9tb1

Os controles atualizados estão disponíveis em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Consulte uma lista de Regiões em que o AWS Control Tower está disponível na Tabela de Região da AWS.

AWS Control Tower disponível na região da Ásia-Pacífico (Taipei)

23 de julho de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora está disponível na região da Ásia-Pacífico (Taipei):

Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na Tabela de regiões da AWS.

30 de junho de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte a AWS PrivateLink. Você pode invocar o AWS Control Tower e o Control Catalog APIs de dentro da sua Amazon Virtual Private Cloud (VPC) sem atravessar a Internet pública. AWS PrivateLink fornece conectividade privada entre nuvens privadas virtuais (VPCs), serviços e recursos suportados e suas redes locais. AWS PrivateLink o suporte para o AWS Control Tower está disponível em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível.

Suporte para estruturas adicionais do setor, metadados atualizados

12 de junho de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Com esse lançamento, o AWS Control Tower se expande para incluir suporte para 10 estruturas do setor. Para obter uma lista de estruturas, consulte Estruturas compatíveis.

Por exemplo, você pode começar navegando até a página do Control Catalog no console do AWS Control Tower e pesquisando uma estrutura, como PCI-DSS-v4.0, para visualizar todos os controles relacionados a essa estrutura. Ou pode examinar controles e estruturas de forma programática, chamando a nova API ListControlMappings.

As definições de metadados associadas aos controles estão mudando para melhor apoiar essas estruturas adicionais do setor. As alterações nos metadados podem afetar a forma como você avalia os controles para habilitação. Por exemplo, os valores dos metadados NIST, PCI e CIS podem ter sido alterados. Recomendamos que você revise os mapeamentos dos controles habilitados na página Detalhes do controle no console.

No console e na API, introduzimos três novos campos de metadados. Coletivamente, esses campos descrevem uma hierarquia que ajuda você a entender como categorizar e habilitar controles. Os campos são: Domínio, Objetivo e Controle comum. Redefinimos nossos objetivos de controle para nos alinharmos melhor ao escopo mais amplo das estruturas do setor que estão disponíveis. Para obter mais informações sobre essa hierarquia, consulte Visão geral da ontologia.

  • Essas alterações de metadados são refletidas no console do AWS Control Tower, e a experiência do console é consistente em toda a AWS Control Tower e nos AWS Config consoles.

  • Para visualizar as informações de controle no console do AWS Control Tower, você deve adicionar permissões controlcatalog adicionais às suas políticas do IAM. Consulte mais informações em Permissões necessárias para usar o console do AWS Control Tower.

  • Cada controle agora tem um novo campo chamado GovernedResources, que mostra os tipos de recursos que o controle governa. Em alguns casos, esse campo mostra o prefixo do serviço para os recursos e, em outras instâncias, pode estar em branco. Para obter mais informações, consulte GetControl e ListControls.

Com esta versão, renomeamos a Controls Library para Control Catalog, para manter a consistência com outras terminologias.

Controles vinculados a serviços AWS Config

12 de junho de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A AWS Control Tower anuncia o suporte para que os controles de detetive da AWS Control Tower sejam implantados como regras vinculadas a serviços. AWS Config

Com essa versão, o AWS Control Tower agora implanta regras de Config vinculadas a serviços diretamente em suas contas inscritas, substituindo o método anterior de implantação por conjuntos de pilhas. AWS CloudFormation Essa mudança melhora significativamente a velocidade de implantação. Além disso, essas regras de Configuração vinculadas a serviços ajudam a garantir a governança consistente de seus recursos, pois evitam desvios de configuração não intencionais que podem ser causados por alterações manuais nos conjuntos de pilhas ou nas regras do Config. CloudFormation

No futuro, todos os controles do AWS Control Tower implementados por AWS Config regras serão implantados com esse mecanismo, que chama diretamente o. AWS Config APIs

Importante

Antes de adotar as regras do Config vinculadas ao serviço, revise as personalizações existentes, como correções, que você fez nas regras do Config fora do AWS Control Tower, pois essas personalizações serão removidas durante a transição. Eles AWS Config APIs não oferecem suporte à adição de configurações de remediação para regras vinculadas a serviços AWS Config . Consulte PutRemediationConfigurations.

Detalhes e ação necessária

  • Quando você atualiza ou redefine sua zona de pouso, o AWS Control Tower atualiza os controles obrigatórios que regem a UO de segurança. Para concluir a atualização, você também deve redefinir cada um dos controles de detetive que são implementados com AWS Config regras ou registrar novamente a OU.

  • O escopo completo dessa atualização se aplica a você se a versão da sua zona de pouso do AWS Control Tower for 3.2 ou superior. Quando você aplica essa atualização, suas AWS Config regras existentes são alteradas para se tornarem regras de Config gerenciadas pelo serviço, junto com o novo método de implantação.

  • Se sua zona de pouso for a versão 3.1 ou inferior, todas as novas regras de Config serão implantadas com o novo método, não mais com Stack Sets. Suas regras de Config existentes NÃO são atualizadas para se tornarem regras de Config gerenciadas pelo serviço. Elas permanecerão do tipo padrão.

  • Você pode identificar as regras de configuração vinculadas ao serviço pelo ARN do recurso, que tem o formato:

    arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*

A funcionalidade pretendida dos controles, quando implementada por AWS Config regras vinculadas a serviços, não mudou. As regras de Config do detetive e vinculadas ao serviço no AWS Control Tower podem identificar recursos não compatíveis em suas contas, como violações de políticas, e fornecer alertas por meio do painel. Para manter a consistência, evitar desvios na configuração e simplificar a experiência geral do usuário, essas regras agora podem ser modificadas somente por meio do AWS Control Tower.

Como parte dessa versão, adicionamos quatro novas permissões à política da função vinculada ao serviço (SLR) AWSServiceRoleForAWSControlTower, para que você possa ativar e desativar AWS Config as regras vinculadas ao serviço para suas contas inscritas.


config:DescribeConfigRules
config:TagResource
config:PutConfigRule
config:DeleteConfigRule

A visualização do console de controles habilitados oferece visibilidade centralizada

21 de maio de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower adicionou uma nova página no console que exibe todos os seus controles habilitados em uma única visualização centralizada. Anteriormente, os controles eram visíveis somente com a conta ou UO na qual estavam habilitados. A visão consolidada facilita a identificação de lacunas em sua governança de controle, em grande escala.

Na página Controles habilitados, você pode filtrar os controles de acordo com o comportamento: Preventivo, Detetive ou Proativo. Você também pode filtrar de acordo com a implementação do controle, como o SCP. Para cada controle, você pode ver quantos OUs têm esse controle ativado.

Para ver a página de controles habilitados, navegue até a seção Controles no console do AWS Control Tower.

O Account Factory for Terraform (AFT) é compatível com novas configurações na implantação

13 de maio de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A estrutura de personalização de contas do AWS Control Tower, Account Factory for Terraform (AFT), agora oferece suporte a três configurações opcionais adicionais no momento da implantação. Você pode implantar o AFT em uma nuvem privada virtual (VPC) personalizada, especificar o nome do projeto Terraform para sua implantação do AFT e marcar os recursos que o AFT cria.

Consulte mais informações em Implantar o AWS Control Tower Account Factory for Terraform (AFT).

O AWS Control Tower apresenta relatórios em nível de conta para a linha de base APIs

12 de maio de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

Agora você pode visualizar programaticamente os status de desvio e inscrição de contas para suas contas administradas, ligando para a linha de base. APIs Com esse recurso, você pode identificar quando as configurações básicas da conta e da UO estão desviadas ou fora de sincronia. Para visualizar o status do desvio programaticamente, você pode chamar a API ListEnabledBaselines para suas linhas de base habilitadas. Para visualizar os status de contas individuais de forma programática com a API ListEnabledBaselines, use a bandeira includeChildren. Você pode filtrar por esses status e ver apenas as contas OUs que exigem sua atenção.

O AWS ControlTowerBaseline define as configurações, os controles e os recursos de práticas recomendadas que são necessários para a governança. Quando você habilita essa linha de base em uma unidade organizacional (UO), as contas de membro dentro da UO são inscritas automaticamente no AWS Control Tower. A linha de base do AWS Control Tower APIs inclui CloudFormation suporte, que permite criar automações que gerenciam suas contas OUs e suas contas com infraestrutura como código (IaC).

Para saber mais sobre elas APIs, analise as linhas de base no Guia do usuário do AWS Control Tower. Os recursos básicos APIs e recém-lançados de relatórios para o status de desvio e inscrição na conta estão disponíveis em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para obter uma lista de Regiões da AWS onde o AWS Control Tower está disponível, consulte a Região da AWS tabela.

O AWS Control Tower está disponível nas regiões AWS Ásia-Pacífico (Tailândia) e México (Central)

9 de maio de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora está disponível nas seguintes AWS regiões:

  • Ásia-Pacífico (Tailândia)

  • México (Centro)

Consulte uma lista completa das regiões em que o AWS Control Tower está disponível na Tabela de regiões da AWS.

AWS Config Controles adicionais disponíveis

11 de abril de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte a mais 223 AWS Config regras gerenciadas para vários casos de uso, como segurança, custo, durabilidade e operações. Com esse lançamento, agora você pode usar o AWS Control Tower para pesquisar e descobrir as AWS Config regras necessárias para governar seu ambiente de várias contas; depois, habilitar e gerenciar os controles diretamente da AWS Control Tower.

Para começar a usar o console do AWS Control Tower, acesse o Control Catalog e pesquise controles com o filtro de implementação AWS Config. É possível habilitar os controles diretamente do console do AWS Control Tower.

Para obter mais detalhes, consulte AWS Config Controles integrados disponíveis no AWS Control Tower.

Com este lançamento, atualizamos o ListControls e GetControl APIs para oferecer suporte a três novos campos: CreateTimeGravidade e Implementação, que você pode usar ao pesquisar um controle no Catálogo de Controle. Por exemplo, agora você pode encontrar programaticamente AWS Config regras de alta severidade que foram criadas após sua última avaliação.

Você pode pesquisar as novas AWS Config regras em todos os Regiões da AWS lugares onde o AWS Control Tower está disponível. Para implantar uma regra, consulte a lista de regras compatíveis Regiões da AWS para essa regra para ver onde ela pode ser ativada.

Cancele o registro e exclua ações do OUs

8 de abril de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

O AWS Control Tower agora oferece suporte a ações de console separadas para cancelar o registro de uma UO e excluir uma UO. É necessário cancelar o registro da UO antes de excluí-la. Você pode remover uma UO do AWS Control Tower cancelando seu registro.

Para obter mais informações, consulte Remover uma UO.

O Control Catalog suporta IPv6 endereços

2 de abril de 2025

(Não é necessário atualizar a zona de pouso do AWS Control Tower.)

A API do AWS Control Tower Control Catalog agora oferece suporte a endereços do Protocolo de Internet versão 6 (IPv6) por meio de nossos novos endpoints de pilha dupla. O suporte existente aos endpoints do Control Catalog IPv4 permanece disponível para compatibilidade com versões anteriores. Os novos domínios de pilha dupla estão disponíveis na Internet ou em uma Amazon Virtual Private Cloud (VPC) usando. AWS PrivateLink