本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 2023 年 1 月 – 12 月
2023 年,AWS Control Tower 发布了以下更新:
+ [过渡到新的 AWS Service Catalog 外部产品类型(第 3 阶段)](#phase-3-tos-external)
+ [AWS Control Tower 登录区版本 3.3](#lz-3-3)
+ [过渡到新的 AWS Service Catalog 外部产品类型(第 2 阶段)](#phase-2-tos-external)
+ [AWS Control Tower 宣布推出有助于实现数字主权的控件](#digital-sovereignty)
+ [AWS Control Tower 着陆区 APIs](#landing-zone-apis)
+ [AWS Control Tower 控制标记 APIs](#control-tagging-apis)
+ [AWS Control Tower 已在 AWS 亚太地区(墨尔本)上市](#mel-region)
+ [过渡到新的 AWS Service Catalog 外部产品类型(第 1 阶段)](#transition-sc-tos-external)
+ [AWS Control Tower 增加了新控件 API](#new-control-api)
+ [AWS Control Tower 增加了新的控件](#q3-new-controls)
+ [AWS Control Tower 检测可信访问权限偏移](#trust-access-drift)
+ [AWS Control Tower 还有四款可供选择 AWS 区域](#four-regions)
+ [AWS Control Tower 在 AWS 以色列(特拉维夫)上市](#new-tlv-region)
+ [AWS Control Tower 新增了 28 个主动性控件](#28-proactive-controls)
+ [AWS Control Tower 弃用 2 个控件](#deprecate-2controls)
+ [AWS Control Tower 登录区版本 3.2](#lz-3-2)
+ [AWS Control Tower 为 IAM 身份中心添加了 email-to-ID映射](#email-to-id)
+ [AWS Control Tower 添加了更多 AWS Security Hub CSPM 控件](#more-sh-controls)
+ [AWS Control Tower 发布 AWS Security Hub CSPM 控件的元数据](#publish-metadata)
+ [AWS Control Tower 添加了 Account Factory Customization(AFC)for Terraform](#afc-terraform)
+ [AWS Control Tower 增加了自行管理的 IAM Identity Center](#iam-self-manage)
+ [AWS Control Tower 增加了混合监管说明](#mixed-governance-note)
+ [AWS Control Tower 新增了主动性控件](#new-proactive-controls)
+ [AWS Control Tower 更新了 Amazon EC2 控件](#updated-ec2-controls)
+ [AWS Control Tower 还有七个版本可供选择 AWS 区域](#seven-regions)
+ [AWS Control Tower Account Factory Customization(AFC)和请求跟踪正式发布](#account-customization-request-tracing-ga)
+ [AWS Control Tower 登录区版本 3.1](#lz-3-1)
+ [AWS Control Tower 主动性控件正式发布](#proactive-control-ga)
## 过渡到新的 AWS Service Catalog 外部产品类型(第 3 阶段)
**2023 年 12 月 14 日**
(AWS Control Tower 登录区无需更新。)
在创建新产品时,AWS Control Tower 不再支持 *Terraform 开源*作为产品类型(蓝图)。 AWS 账户要了解更多信息以及有关更新账户蓝图的说明,请查看[过渡到 AWS Service Catalog 外部产品类型](https://docs.aws.amazon.com//controltower/latest/userguide/service-catalog.html)。
如果您不将账户蓝图更新为使用*外部*产品类型,则只能更新或终止使用 Terraform 开源蓝图预置的账户。
## AWS Control Tower 登录区版本 3.3
**2023 年 12 月 14 日**
(AWS Control Tower 登录区需要更新到版本 3.3。有关信息,请参阅 [更新您的登录区](update-controltower.md))。
**AWS Control Tower 审计账户中 S3 存储桶策略的更新**
我们修改了 AWS Control Tower 在各账户中部署的 Amazon S3 审计存储桶策略,因此任何写入权限都必须满足 `aws:SourceOrgID` 条件。在此版本中,只有当请求来自您的组织或组织单位 (OU) 时, AWS 服务才能访问您的资源。
您可以在 S3 存储桶策略的条件元素中使用 `aws:SourceOrgID` 条件键,并将其值设置为您的**组织 ID**。此条件可确保 CloudTrail 只有代表组织内的账户才能将日志写入您的 S3 存储桶;它可以防止组织外部的 CloudTrail 日志写入您的 AWS Control Tower S3 存储桶。
我们进行此项更改是为了修复一个潜在的安全漏洞,同时不影响现有工作负载的功能。要查看更新后的策略,请参阅 [审计账户中的 Amazon S3 存储桶策略](logging-s3-audit-bucket.md)。
有关新条件密钥的更多信息,请参阅 IAM 文档和 IAM 博客文章,标题为 “*对访问资源的 AWS 服务使用可扩展的控制*”。
** AWS Config SNS 主题中对政策的更新**
[我们在 SNS 主题的策略中添加了新的`aws:SourceOrgID`条件密钥。要查看更新的政策,请参阅 AWS Config SNS 主题政策。 AWS Config](https://docs.aws.amazon.com//controltower/latest/userguide/receive-notifications.html#config-sns-policy)
**登录区区域拒绝控件的更新**
+ 删除了 `discovery-marketplace:`。此操作已包含在 `aws-marketplace:*` 豁免范围内。
+ 添加了 `quicksight:DescribeAccountSubscription`
**更新了 CloudFormation 模板**
我们更新了名为的堆栈的 CloudFormation 模板,`BASELINE-CLOUDTRAIL-MASTER`使其在不使用 AWS KMS 加密时不会显示偏差。
## 过渡到新的 AWS Service Catalog 外部产品类型(第 2 阶段)
**2023 年 12 月 7 日**
(AWS Control Tower 登录区无需更新。)
HashiCorp 更新了他们的 Terraform 许可。*因此,将对 *Terraform 开源产品的支持 AWS Service Catalog 更改为一种名为 Exter* nal 的新产品类型。*
为避免中断您账户中的现有工作负载和 AWS 资源,请在 2023 年 12 月 14 日之前按照[过渡到 AWS Service Catalog 外部产品类型](af-customization-page.md#service-catalog-external-product-type)中的 AWS Control Tower 过渡步骤进行操作。
## AWS Control Tower 宣布推出有助于实现数字主权的控件
**2023 年 11 月 27 日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 宣布推出 65 种新的 AWS托管控件,以帮助您满足数字主权要求。随着此次发布,您可以在 AWS Control Tower 控制台中新的*数字主权组*下找到这些控件。您可以使用这些控件来帮助防止与*数据驻留*、*精细访问限制*、*加密* 和*弹性* 功能相关的操作,并检测这些方面的资源更改。这些控件旨在让您能够更轻松地大规模满足相关要求。有关数字主权控件的更多信息,请参阅 [Controls that enhance digital sovereignty protection](https://docs.aws.amazon.com//controltower/latest/controlreference/digital-sovereignty-controls.html)。
例如,您可以选择启用有助于强制执行加密和弹性策略的控件,例如**要求 AWS AppSync API 缓存启用传输中的加密或要求****跨多个可用区域部署 AWS Network Firew** all。您还可以自定义 AWS Control Tower 区域拒绝控件,以应用最符合您独特业务需求的区域限制。
此次发布为 AWS Control Tower 带来了更加完善的区域拒绝功能。您可以在 OU 级别应用一种新的参数化区域拒绝控件,以提高监管的精细度,同时在登录区级别维持额外的区域监管。这种可自定义的区域拒绝控件可帮助您应用最符合自身独特业务需求的区域限制。有关新的可配置区域拒绝控件的更多信息,请参阅 [Region deny control applied to the OU](https://docs.aws.amazon.com//controltower/latest/controlreference/ou-region-deny.html)。
本次发布新增了一个 API `UpdateEnabledControl`,作为针对新的区域拒绝增强功能的新工具,可用于将已启用的控件重置为默认设置。在需要快速解决偏移问题,或者以编程方式确保某个控件未处于偏移状态的用例中,此 API 特别有用。有关该新 API 的更多信息,请参阅 [AWS Control Tower API 参考](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)
**新的主动性控件**
+ CT.APIGATEWAY.PR.6: 要求 Amazon API Gateway REST 域使用指定最低 TLS 协议版本为 TLSv1 .2 的安全策略
+ CT.APPSYNC.PR.2: 要求将 AWS AppSync GraphQL API 配置为私有可见性
+ CT.APPSYNC.PR.3: 要求不使用 API 密 AWS AppSync 钥对 GraphQL API 进行身份验证
+ CT.APPSYNC.PR.4:需要 AWS AppSync GraphQL API 缓存才能启用传输中加密。
+ CT.APPSYNC.PR.5:需要 AWS AppSync GraphQL API 缓存才能启用静态加密。
+ CT.AUTOSCALING.PR.9:要求通过 Amazon EC2 Auto Scaling 启动配置将 Amazon EBS 卷配置为加密静态数据
+ CT.AUTOSCALING.PR.10: 要求 Amazon EC2 Auto Scaling 组在覆盖启动模板时仅使用 AWS Nitro 实例类型
+ CT.AUTOSCALING.PR.11:在覆盖启动模板时,仅要求将支持实例间网络流量加密的 AWS Nitro 实例类型添加到 Amazon EC2 Auto Scaling 组中
+ CT.DAX.PR.3:要求 DynamoDB Accelerator 集群使用传输层安全性协议(TLS)对传输中数据进行加密。
+ CT.DMS.PR.2: 需要 D AWS atabase Migration Service (DMS) 端点来加密源端点和目标端点的连接
+ CT.EC2.PR.15:要求在使用 `AWS::EC2::LaunchTemplate` 资源类型创建 Amazon EC2 实例时,必须使用 AWS Nitro 实例类型。
+ CT.EC2.PR.16:要求在使用 `AWS::EC2::Instance` 资源类型创建 Amazon EC2 实例时,必须使用 AWS Nitro 实例类型。
+ CT.EC2.PR.17:要求 Amazon EC2 专属主机使用 AWS Nitro 实例类型
+ CT.EC2.PR.18: 要求 Amazon EC2 队列仅覆盖那些具有 AWS Nitro 实例类型的启动模板
+ CT.EC2.PR.19:要求在使用 `AWS::EC2::Instance` 资源类型创建 Amazon EC2 实例时,必须使用支持实例间传输中加密的 Nitro 实例类型。
+ CT.EC2.PR.20:要求 Amazon EC2 队列仅覆盖那些支持实例之间传输加密的 AWS Nitro 实例类型的启动模板
+ CT.ELASTICACHE.PR.8: 需要一个包含更高版本 Redis 的 Amazon ElastiCache 复制组才能激活 RBAC 身份验证
+ CT.MQ.PR.1: 要求 Amazon MQ ActiveMQ 代理使用部署模式以实现高可用性 active/standby
+ CT.MQ.PR.2:要求 Amazon MQ Rabbit MQ 代理使用多可用区集群模式以实现高可用性
+ CT.MSK.PR.1:要求 Amazon Managed Streaming for Apache Kafka(MSK)集群在集群代理节点间强制实施传输中加密。
+ CT.MSK.PR.2: 要求将适用于 Apache Kafka 的亚马逊托管流媒体 Kafka (MSK) 集群配置为禁用 PublicAccess
+ CT.NETWORK-FIREWALL.PR.5: 要求在多个可用区域之间部署 AWS Network Firewall 防火墙
+ CT.RDS.PR.26:要求 Amazon RDS 数据库代理必须使用传输层安全性协议(TLS)连接
+ CT.RDS.PR.27:要求 Amazon RDS 数据库集群参数组必须针对支持的引擎类型使用传输层安全性协议(TLS)连接
+ CT.RDS.PR.28:要求 Amazon RDS 数据库参数组必须针对支持的引擎类型使用传输层安全性协议(TLS)连接
+ CT.RDS.PR.29:要求未通过 “PubliclyAccessible” 属性将 Amazon RDS 集群配置为可公开访问
+ CT.RDS.PR.30:要求 Amazon RDS 数据库实例配置静态加密,以针对所支持的引擎类型使用您指定的 KMS 密钥
+ CT.S3.PR.12:要求 Amazon S3 接入点设置屏蔽公共访问(BPA)配置,并将所有选项都设置为 true
**新的预防性控件**
+ CT.APPSYNC.PV.1要求将 AWS AppSync GraphQL API 配置为私有可见性
+ CT.EC2.PV.1 要求从加密的 EC2 卷创建 Amazon EBS 快照
+ CT.EC2.PV.2 要求将连接的 Amazon EBS 卷配置为对静态数据进行加密
+ CT.EC2.PV.3 要求 Amazon EBS 快照不可公开还原
+ CT.EC2.PV.4要求不要调用 Amazon EBS Dire APIs ct
+ CT.EC2.PV.5 禁止使用 Amazon EC2 虚拟机导入和导出
+ CT.EC2.PV.6禁止使用已弃用的 Amazon EC2 RequestSpotFleet 和 API 操作 RequestSpotInstances
+ CT.KMS.PV.1要求 AWS KMS 密钥政策中包含一项声明,将 AWS KMS 补助金的创建限制在 AWS 服务范围内
+ CT.KMS.PV.2要求带有用于加密的 RSA 密钥材料的 AWS KMS 非对称密钥的密钥长度不能为 2048 位
+ CT.KMS.PV.3要求在启用绕过策略锁定安全检查的情况下配置 AWS KMS 密钥
+ CT.KMS.PV.4要求使用源自 Cl AWS KMS oudHSM 的密钥材料配置客户管理的密钥 (CMK) AWS
+ CT.KMS.PV.5要求使用导入的密钥材料配置 AWS KMS 客户管理的密钥 (CMK)
+ CT.KMS.PV.6要求使用来自外部密钥存储库 (XKS) 的密钥材料配置 AWS KMS 客户管理的密钥 (CMK)
+ CT.LAMBDA.PV.1需要 AWS Lambda 函数 URL 才能使用 AWS 基于 IAM 的身份验证
+ CT.LAMBDA.PV.2要求将 AWS Lambda 函数 URL 配置为仅供您内部的委托人访问 AWS 账户
## AWS Control Tower 着陆区 APIs
**2023 年 11 月 26 日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在提供的 APIs 服务可帮助您以编程方式管理着陆区。它们 APIs 允许您创建、更新和重置着陆区,以及检索有关着陆区配置和操作的信息。相关详情,请参阅[登录区 API 示例](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html)。
除了 GovCloud (美国)地区外,所有可用 AWS Con APIs trol Tower AWS 区域 的地方都可以使用着陆区。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 控制标记 APIs
**2023 年 11 月 10 日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在提供的 APIs 功能可帮助您以编程方式标记已启用的控件。它们 APIs 允许您为已启用的控件添加、删除和列出标签。有关更多信息,请参阅[标记 AWS Control Tower 资源](https://docs.aws.amazon.com//controltower/latest/userguide/tagging-resources.html)。
除了 GovCloud (美国)区域外,所有可 APIs 用 AWS Control Tower AWS 区域 的地方都可以使用控制标记。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 已在 AWS 亚太地区(墨尔本)上市
**2023 年 11 月 3 日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 在亚太地区(墨尔本)推出。要查看推出 AWS Control Tower 的区域的完整列表,请参阅 [AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## 过渡到新的 AWS Service Catalog 外部产品类型(第 1 阶段)
**2023 年 10 月 31 日**
(AWS Control Tower 登录区无需更新。)
HashiCorp 更新了他们的 Terraform 许可。*因此,将对 *Terraform 开源产品的支持 AWS Service Catalog 更改为一种名为 Exter* nal 的新产品类型。*
为避免中断您账户中的现有工作负载和 AWS 资源,请在 2023 年 12 月 14 日之前按照[过渡到 AWS Service Catalog 外部产品类型](af-customization-page.md#service-catalog-external-product-type)中的 AWS Control Tower 过渡步骤进行操作。
## AWS Control Tower 增加了新控件 API
**2023年10月27日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在提供一个新的 API `UpdateEnabledControl`,允许您更新已启用的控件。在需要快速解决偏移问题,或者以编程方式确保某个控件未处于偏移状态的用例中,此 API 特别有用。有关该新 API 的更多信息,请参阅 [AWS Control Tower API 参考](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)。
除 GovCloud (美国)地区外,AWS Control Tower 的所有 AWS 区域 可用地区均提供`UpdateEnabledControl`此 API。要查看推出 AWS Control Tower 的 AWS 区域 列表,请参阅 [AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 增加了新的控件
**2023年10月20日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 在 AWS Control Tower 控件库中添加了 22 个新控件。这些控制措施可帮助您对 AWS 资源实施最佳实践。有关新控件的更多信息,请参阅[控件类别](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
新控件可在所有可用 AWS Control Tower AWS 区域 的地方使用。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 检测可信访问权限偏移
**2023年10月13日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在可以检测并报告可信访问权限设置的偏移。可信访问设置允许 AWS Control Tower 代表您与其他 AWS 服务进行交互。如果这些设置在 AWS Control Tower 之外出现更改,则 AWS Control Tower 将检测偏移并在 AWS Control Tower 控制台中进行报告。有关可信访问权限偏移的更多信息,请参阅[监管偏移的类型](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html)。
AWS Control Tower 的所有可用 AWS 区域 区域均提供可信访问偏差检测。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 还有四款可供选择 AWS 区域
**2023年9月29日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 在另外四个地区可用 AWS 区域:亚太地区(海得拉巴)、亚太地区(雅加达)、欧洲(西班牙)和欧洲(苏黎世)。要查看推出 AWS Control Tower 的区域的完整列表,请参阅 [AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 在 AWS 以色列(特拉维夫)上市
**2023年8月1日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 在以色列(特拉维夫)推出。要查看推出 AWS Control Tower 的区域的完整列表,请参阅 [AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增了 28 个主动性控件
**2023年7月27日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 在 AWS Control Tower 控件库中新增了 28 个主动性控件。这些控制措施可帮助您对 AWS 资源实施最佳实践。有关新控件的更多信息,请参阅[控件类别](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
新控件可在所有可用 AWS Control Tower AWS 区域 的地方使用。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 弃用 2 个控件
**2023年7月27日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 弃用了以下两个控件:CT.CLOUDFORMATION.PR.2 和 CT.CLOUDFORMATION.PR.3。这些控件在 AWS Control Tower 控件库中不再可用。有关已弃用控件的更多信息,请参阅[控件类别](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
已弃用的控件在任何 AWS 区域控件中都不再可用。
## AWS Control Tower 登录区版本 3.2
**2023 年 6 月 16 日**
(AWS Control Tower 登录区需要更新到版本 3.2。有关信息,请参阅 [更新您的登录区](update-controltower.md))。
AWS Control Tower 着陆区版本 3.2 将 AWS Security Hub CSPM **服务管理标准:AWS Control Tower 中的控**件全面推出。它引入了在 AWS Control Tower 控制台中查看该标准所含控件的偏移状态的功能。
**此更新包括一个名为 Tower 的新服务相关角色 (SLR)。AWSService RoleFor AWSControl**该角色通过创建 EventBridge 托管规则来协助 AWS Control Tower,该规则**AWSControlTowerManagedRule**在每个成员账户中名为。该托管规则收集 AWS Security Hub CSPM **查找**事件,通过 AWS Control Tower 可以确定控制偏差。
这条规则是 AWS Control Tower 创建的首条托管规则。该规则不是由堆栈部署的;而是直接从堆栈部署的 EventBridge APIs。您可以在 EventBridge 控制台中查看规则,也可以通过 EventBridge APIs。如果 `managed-by` 字段已填充,它将显示 AWS Control Tower 的服务主体。
以前,AWS Control Tower 负责在成员账户中执行操作。**AWSControlTowerExecution**这一新的角色和规则更符合在多账户 AWS 环境中执行操作时允许最低权限的最佳实践原则。新角色提供范围更小的权限,这些权限具体包括:在成员账户中创建托管规则、维护托管规则、通过 SNS 发布安全通知以及验证偏移。有关更多信息,请参阅 [AWSServiceRoleForAWSControl塔](access-control-managing-permissions.md#AWSServiceRoleForAWSControlTower)。
landing zone 3.2 更新还在管理账户中加入了一个新 StackSet 资源`BP_BASELINE_SERVICE_LINKED_ROLE`,该账户最初部署的是服务相关角色。
在报告 Security Hub CSPM 控制偏差(在着陆区 3.2 及更高版本中)时,AWS Control Tower 会收到来自 Security Hub CSPM 的每日状态更新。尽管控件在每个受管控区域都处于活动状态,但 AWS Control Tower 仅向 AWS 控制塔主区域发送 AWS Security Hub CSPM **发现**事件。有关更多信息,请参阅 [Security Hub control drift reporting](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html#sh-drift).。
**更新区域拒绝控件**
此登录区版本还包括对区域拒绝控件的更新。
**全球服务并 APIs 添加**
+ AWS 账单与成本管理 (`billing:*`)
+ AWS CloudTrail (`cloudtrail:LookupEvents`) 以允许在成员账户中查看全球事件。
+ AWS 整合账单 (`consolidatedbilling:*`)
+ AWS 管理控制台 Mobile Application (`consoleapp:*`)
+ AWS 免费套餐 (`freetier:*`)
+ AWS 开票 (`invoicing:*`)
+ AWS IQ (`iq:*`)
+ AWS 用户通知 (`notifications:*`)
+ AWS 用户通知联系人 (`notifications-contacts:*`)
+ Amazon Payments (`payments:*`)
+ AWS 税务设置 (`tax:*`)
**全球服务并 APIs 已移除**
+ 已删除 `s3:GetAccountPublic`,因为它不是一个有效的操作。
+ 已删除 `s3:PutAccountPublic`,因为它不是一个有效的操作。
## AWS Control Tower 为 IAM 身份中心添加了 email-to-ID映射
**2023年7月13日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持 IAM 身份中心的 email-to-ID映射。此功能允许您将电子邮件地址映射到 IAM Identity Center 用户 IDs,从而更轻松地管理用户对您的 AWS Control Tower 环境的访问权限。有关 email-to-ID映射的更多信息,请参阅[与 IAM 身份中心集成](https://docs.aws.amazon.com//controltower/latest/userguide/sso-integration.html)。
Email-to-ID AWS Control Tower 的所有 AWS 区域 可用区域均提供映射功能。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 添加了更多 AWS Security Hub CSPM 控件
**2023年6月29日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 已向 AWS Control Tower 的控件库添加了更多 AWS Security Hub CSPM 控件。这些控制措施可帮助您对 AWS 资源实施最佳实践。有关新控件的更多信息,请参阅[控件类别](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
新控件可在所有可用 AWS Control Tower AWS 区域 的地方使用。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 发布 AWS Security Hub CSPM 控件的元数据
**2023年6月22日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在会发布 AWS Security Hub CSPM 控件的元数据。此元数据包括控件的相关信息,例如控件 ID、控件标题和控件描述。有关元数据的更多信息,请参阅[控件元数据](https://docs.aws.amazon.com//controltower/latest/userguide/control-metadata.html)。
控制元数据可在所有可用 AWS Control Tower AWS 区域 的地方使用。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 添加了 Account Factory Customization(AFC)for Terraform
**2023 年 6 月 15 日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持 Account Factory Customization(AFC)for Terraform。借助这项功能,您可以使用 Terraform 自定义 AWS Control Tower 账户。有关 AFC for Terraform 的更多信息,请参阅 [Account Factory Customization for Terraform](https://docs.aws.amazon.com//controltower/latest/userguide/afc-terraform.html)。
适用于 Terraform 的 AFC 在所有可用 AWS Control Tower AWS 区域 的地方都可用。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 增加了自行管理的 IAM Identity Center
**2023年6月8日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在支持自行管理的 IAM Identity Center。借助这项功能,您可以在 AWS Control Tower 中使用自己的身份提供程序。有关自行管理的 IAM Identity Center 的更多信息,请参阅 [IAM Identity Center](https://docs.aws.amazon.com//controltower/latest/userguide/iam-identity-center.html)。
AWS Control Tower 的所有可用区域均 AWS 区域 提供自我管理的 IAM 身份中心。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 增加了混合监管说明
**2023 年 6 月 1 日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 现在包含有关混合监管的说明。本说明介绍了 AWS Control Tower 如何与其他 AWS 服务协作,为您的 AWS 资源提供管理。有关混合监管的更多信息,请参阅[混合监管](https://docs.aws.amazon.com//controltower/latest/userguide/mixed-governance.html)。
混合治理说明可在所有可用 AWS Control Tower AWS 区域 的地方获得。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增了主动性控件
**2023年5月25日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 在 AWS Control Tower 控件库中新增了主动性控件。这些控制措施可帮助您对 AWS 资源实施最佳实践。有关新控件的更多信息,请参阅[控件类别](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
新控件可在所有可用 AWS Control Tower AWS 区域 的地方使用。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 更新了 Amazon EC2 控件
**2023年5月18日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 更新了 AWS Control Tower 控件库中的 Amazon EC2 控件。这些更新提高了 AWS Control Tower 环境的安全性和可靠性。有关更新后的控件的更多信息,请参阅[控件类别](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
更新后的控件可在所有可用 AWS Control Tower AWS 区域 的地方使用。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 还有七个版本可供选择 AWS 区域
**2023年5月11日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 在另外七个地区可用 AWS 区域:亚太地区(大阪)、加拿大(中部)、欧洲(米兰)、欧洲(斯德哥尔摩)、中东(巴林)、中东(阿联酋)和南美洲(圣保罗)。要查看推出 AWS Control Tower 的区域的完整列表,请参阅 [AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower Account Factory Customization(AFC)和请求跟踪正式发布
**2023年4月27日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower Account Factory Customization(AFC)和请求跟踪现已正式发布。AFC 允许您自定义 AWS Control Tower 账户,请求跟踪允许您跟踪 AWS Control Tower 请求的状态。有关 AFC 和请求跟踪的更多信息,请参阅 [Account Factory Customization](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-customization.html) 和[请求跟踪](https://docs.aws.amazon.com//controltower/latest/userguide/request-tracing.html)。
AWS Control Tower 的所有可用 AWS 区域 区域均提供 AFC 和请求跟踪。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 登录区版本 3.1
2023 年 2 月 9 日
(AWS Control Tower 登录区需要更新到版本 3.1。有关信息,请参阅 [更新您的登录区](update-controltower.md))
AWS Control Tower 登录区版本 3.1 包括以下更新:
+ 随着此次发布,AWS Control Tower 将针对您的*访问日志记录存储桶*(即日志归档账户中存储访问日志的 Amazon S3 存储桶)停用不必要的访问日志记录,同时继续为 S3 存储桶启用服务器访问日志记录。此版本还包括对 “区域拒绝” 控件的更新,允许对全球服务执行其他操作,例如 支持 计划和 AWS Artifact。
+ 停用 AWS Control Tower 访问日志存储桶的服务器访问日志会导致 Security Hub CSPM 为日志存档账户的*访问日志存储桶*创建调查结果, AWS Security Hub CSPM 根据规则,应启用 [[S3.9] S3 存储桶服务器访问日志记录](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-9)。为了与 Security Hub CSPM 保持一致,我们建议您按照 Security Hub CSPM 对此规则的描述中所述的那样,取消此特定发现。有关其他信息,请参阅[有关抑制的调查发现的信息](https://docs.aws.amazon.com//securityhub/latest/userguide/finding-workflow-status.html)。
+ 在 3.1 版本中,日志存档账户中(常规)日志记录存储桶的访问日志记录保持不变。根据最佳实践,该存储桶的访问事件将作为日志条目记录在*访问日志存储桶*中。有关访问日志记录的更多信息,请参阅 Amazon S3 文档中的 [Logging requests using server access logging](https://docs.aws.amazon.com//AmazonS3/latest/userguide/ServerLogs.html)。
+ 我们更新了区域拒绝控件。此更新允许更多全局服务执行相关操作。有关此 SCP 的详细信息,请参阅[AWS 根据请求拒绝访问 AWS 区域](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)和[增强数据驻留保护的控制措施](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html)。
**添加的全局服务:**
+ AWS 账户管理 (`account:*`)
+ AWS 激活 (`activate:*`)
+ AWS Artifact (`artifact:*`)
+ AWS Billing Conductor (`billingconductor:*`)
+ AWS Compute Optimizer (`compute-optimizer:*`)
+ AWS Data Pipeline (`datapipeline:GetAccountLimits`)
+ AWS Device Farm(`devicefarm:*`)
+ AWS Marketplace (`discovery-marketplace:*`)
+ Amazon ECR (`ecr-public:*`)
+ AWS License Manager (`license-manager:ListReceivedLicenses`)
+ AWS Lightsail () `lightsail:Get*`
+ AWS 资源探索器 (`resource-explorer-2:*`)
+ Amazon S3(`s3:CreateMultiRegionAccessPoint`、`s3:GetBucketPolicyStatus`、`s3:PutMultiRegionAccessPointPolicy`)
+ AWS Savings Plans (`savingsplans:*`)
+ IAM Identity Center (`sso:*`)
+ AWS Support App (`supportapp:*`)
+ 支持 计划 (`supportplans:*`)
+ AWS 可持续发展 (`sustainability:*`)
+ AWS Resource Groups Tagging API (`tag:GetResources`)
+ AWS Marketplace 供应商见解 (`vendor-insights:ListEntitledSecurityProfiles`)
## AWS Control Tower 主动性控件正式发布
**2023年4月13日**
(AWS Control Tower 登录区无需更新。)
AWS Control Tower 主动性控件现已正式发布。主动控制可帮助您对 AWS 资源实施最佳实践。有关主动控制功能的更多信息,请参阅[主动控制功能](https://docs.aws.amazon.com//controltower/latest/userguide/proactive-controls.html)。
AWS Control Tow AWS 区域 er 的所有可用区域均提供主动控制功能。有关 AWS Con AWS 区域 trol Tower 可用区域的列表,请参阅[AWS 区域 表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。