2025 年 1 月——至今 - AWS Control Tower
AWS Control Tower 支持 PrivateLinkSupport 支持其他行业框架、更新的元数据与服务相关的控件 AWS Config启用的控件控制台视图提供集中可见性 Account Factory for Terraform (AFT) 在部署时支持新的配置AWS Control Tower 引入了账户级别的基准报告 APIsAWS Control Tower 已在 AWS 亚太地区(泰国)和墨西哥(中部)地区推出可用的其他 AWS Config 控件取消注册并删除的操作 OUs控制目录支持 IPv6 地址

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

2025 年 1 月——至今

自 2025 年 1 月起,AWS Control Tower 发布了以下更新:

2025 年 6 月 30 日

(AWS Control Tower 登录区无需更新。)

AWS Control Tower 现在支持AWS PrivateLink。您无需通过公共互联网即可 APIs 从您的亚马逊虚拟私有云 (VPC) 中调用 AWS Control Tower 和控制目录。 AWS PrivateLink 在虚拟私有云 (VPCs)、支持的服务和资源以及您的本地网络之间提供私有连接。 AWS PrivateLink AWS Control Tower 在所有可用 AWS 控制塔 AWS 区域 的地方都提供对 AWS Control Tower 的支持。

Support 支持其他行业框架、更新的元数据

2025年6月12日

(AWS Control Tower 登录区无需更新。)

在此版本中,AWS Control Tower 扩展到包括对 10 个行业框架的支持。有关框架的列表,请参阅支持的框架

例如,您可以先导航到 AWS Control Tower 控制台中的控制目录页面,然后搜索框架(例如 PCI-dss-v4.0),以查看与该框架相关的所有控件。或者,您可以通过调用新的 ListControlMappingsAPI 以编程方式检查控件和框架。

为了更好地支持这些额外的行业框架,与控件相关的元数据定义正在发生变化。对元数据的更改可能会影响您评估控件的启用方式。例如,NIST、PCI 和 CIS 元数据的值可能已更改。我们建议您在控制台的控件详细信息页面上查看已启用控件的映射

在控制台和 API 中,我们引入了 3 个新的元数据字段。这些字段共同描述了一个层次结构,可帮助您了解如何对控件进行分类和启用。这些字段是:目标常用控制。我们重新定义了控制目标,以更好地与更广泛的可用行业框架保持一致。有关此层次结构的更多信息,请参阅本体概述

  • 这些元数据更改反映在 AWS Control Tower 控制台中,控制台体验在 AWS Control Tower 和控制 AWS Config 台上保持一致。

  • 要在 AWS Control Tower 控制台中查看控制信息,您必须向 IAM 策略添加其他controlcatalog权限。有关更多信息,请参阅使用 AWS Control Tower 控制台所需的权限

  • 现在,每个控件都有一个名为的新字段GovernedResources,该字段显示该控件控制的资源类型。在某些情况下,此字段显示资源的服务前缀,而在其他情况下,它可以为空。有关更多信息,请参阅GetControlListControls

在此版本中,为了与其他术语保持一致,我们将件库重命名为控制目录

与服务相关的控件 AWS Config

2025年6月12日

(AWS Control Tower 登录区无需更新。)

AWS Control Tower 宣布支持将 AWS Control Tower 侦探控件部署为服务相关 AWS Config 规则。

在此版本中,AWS Control Tower 现在可以直接在您的注册账户中部署服务相关的 Config 规则,用 AWS CloudFormation 堆栈集取代了之前的部署方法。这一变化显著提高了部署速度。此外,这些与服务相关的 Config 规则有助于确保对您的资源进行一致的管理,因为它们可以防止由于手动更改 AWS CloudFormation 堆栈集或配置规则而导致的意外配置偏差。

今后,所有通过 AWS Config 规则实现的 AWS Control Tower 控件都将使用此机制进行部署,该机制直接调用 AWS Config APIs。

重要

在采用服务相关的 Config 规则之前,请查看您在 AWS Control Tower 之外对 Config 规则所做的现有自定义设置(例如补救),因为这些自定义将在过渡期间移除。 AWS Config APIs 不支持为服务相关 AWS Config 规则添加补救配置。请参阅PutRemediationConfigurations

详情和需要采取的行动

  • 当您更新重置着陆区时,AWS Control Tower 会更新管理安全 OU 的强制控件。要完成升级,您还必须重置使用 AWS Config 规则实现的每个侦探控件,或者重新注册 OU。

  • 如果您的 AWS Control Tower 着陆区版本为 3.2 或更高版本,则此次升级的全部范围适用于您。应用此更新时,您的现有 AWS Config 规则将更改为服务托管 Config 规则以及新的部署方法。

  • 如果您的 landing zone 版本为 3.1 或更低版本,则任何新的 Config 规则都将使用新方法部署,而不是使用堆栈集部署。您的现有 Config 规则不会更新为服务托管的 Config 规则。它们将保持标准类型。

  • 您可以通过与服务相关的配置规则的资源 ARN 来识别这些规则,其格式为:

    arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*

当由服务相关 AWS Config 规则实现时,控件的预期功能并未改变。AWS Control Tower 中与服务相关的侦探 Config 规则可以识别您账户中的不合规资源,例如违反政策,并通过控制面板提供警报。为了保持一致性、防止配置偏离并简化您的整体用户体验,这些规则现在只能通过 AWS Control Tower 进行修改。

作为此版本的一部分,我们在服务相关角色 (SLR) 的策略中添加了四项新权限 AWSServiceRoleForAWSControlTower,以便您可以为注册的账户启用和禁用服务相关 AWS Config 规则。


config:DescribeConfigRules
config:TagResource
config:PutConfigRule
config:DeleteConfigRule

启用的控件控制台视图提供集中可见性

2025年5月21日

(AWS Control Tower 登录区无需更新。)

AWS Control Tower 在控制台中添加了一个新页面,在单个集中视图中显示所有已启用的控件。以前,只有在启用控件的账户或 OU 中才能查看控件。整合视图使您可以更轻松地大规模识别控制治理中的差距。

在 “已启用的控件” 页面上,您可以根据行为筛选控件:预防性、Detective 或 Proactive。您也可以根据控制实现进行筛选,例如 SCP。对于每个控件,您可以看到 OUs 有多少控件启用了此控件。

要查看 “已启用的控件” 页面,请导航至 AWS Control Tower 控制台中的 “控” 部分。

Account Factory for Terraform (AFT) 在部署时支持新的配置

2025年5月13日

(AWS Control Tower 登录区无需更新。)

AWS Control Tower 账户自定义框架,即 Account Factory for Terraform (AFT),现在在部署时支持另外三种可选配置。您可以将 AFT 部署到自定义虚拟私有云 (VPC) 中,为 AFT 部署指定 Terraform 项目名称,并标记 AFT 创建的资源。

有关更多信息,请参阅部署 AWS Control Tower Account Factory for Terraform (AFT)。

AWS Control Tower 引入了账户级别的基准报告 APIs

2025年5月12日

(AWS Control Tower 登录区无需更新。)

现在,您可以通过调用基准,以编程方式查看受监管账户的偏移和账户注册状态。 APIs借助此功能,您可以识别账户和 OU 基准配置何时出现差或不同步。要以编程方式查看偏移状态,您可以为已启用的基准调用 ListEnabledBaselinesAPI。要使用 ListEnabledBaselines API 以编程方式查看单个账户的状态,请使用标志。includeChildren您可以按这些状态进行筛选,只查看需要您关注 OUs 的账户。

AWS ControlTowerBaseline设置了治理所需的最佳实践配置、控件和资源。当您在组织单位 (OU) 上启用此基准时,组织单位内的成员账户将自动注册到 AWS Control Tower。AWS Control Tower 基准 APIs 包括 AWS CloudFormation 支持,允许您使用基础设施即代码 (IaC) 构建自动化来管理您的 OUs 和账户。

要了解有关这些内容的更多信息 APIs,请查看 AWS Control Tower 用户指南中的基准。AWS Control Tower 的所有 AWS 区域 可用区域均提供偏差账户注册状态的基准 APIs 报告功能和新推出的报告功能。有关 AWS Control Tower 在 AWS 区域 哪些地方可用的列表,请参阅AWS 区域 表

AWS Control Tower 已在 AWS 亚太地区(泰国)和墨西哥(中部)地区推出

2025年5月9日

(AWS Control Tower 登录区无需更新。)

AWS Control Tower 现已在以下 AWS 区域推出:

  • 亚太地区(泰国)

  • 墨西哥(中部)

有关 AWS Control Tower 可用区域的完整列表,请参阅 AWS 区域表

可用的其他 AWS Config 控件

2025年4月11日

(AWS Control Tower 登录区无需更新。)

AWS Control Tower 现在支持额外 223 AWS Config 条托管规则,适用于各种用例,例如安全、成本、耐久性和运营。通过此次发布,您现在可以使用 AWS Control Tower 来搜索和发现管理多账户环境所需的 AWS Config 规则;然后直接从 AWS Control Tower 启用和管理控件。

要开始使用 AWS Control Tower 控制台,请前往控制目录并使用实现筛选器搜索控件 AWS Config。您可以直接从 AWS Control Tower 控制台启用这些控件。

有关更多详细信息,请参阅 AWS Control Tower 中提供的集成 AWS Config 控件

此次发布后,我们更新了ListControlsGetControl APIs 以支持三个新字段:CreateTime严重性” 和 “实现”,您可以在控制目录中搜索控件时使用这些字段。例如,您现在可以通过编程方式查找在上次评估后创建的高严重性 AWS Config 规则。

您可以在 AWS Control Tow AWS 区域 er 的所有可用区域搜索新 AWS Config 规则。要部署规则,请参阅该规则支持的列表, AWS 区域 以了解可以在何处启用该规则。

取消注册并删除的操作 OUs

2025年4月8日

(AWS Control Tower 登录区无需更新。)

AWS Control Tower 现在支持单独的控制台操作来注销 OU 和删除 OU。您必须先取消注册 OU,然后才能将其删除。您可以通过注销某个 OU 将其从 AWS Control Tower 中移除。

有关更多信息,请参阅 移除 OU

控制目录支持 IPv6 地址

2025年4月2日

(AWS Control Tower 登录区无需更新。)

AWS Control Tower 控制目录 API 现在通过我们新的双栈终端节点支持互联网协议版本 6 (IPv6) 地址。为了向后兼容,现有的控制目录端点支持 IPv4仍然可用。新的双栈域名可以从互联网获得,也可以使用亚马逊虚拟私有云 (VPC) 在亚马逊虚拟私有云 (VPC) 中使用。AWS PrivateLink