本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
2021 年 1 月至 12 月
2021 年,AWS Control Tower 發佈了下列更新:
區域拒絕功能
2021 年 11 月 30 日
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在提供區域拒絕功能,協助您限制存取 AWS Control Tower 環境中已註冊帳戶的 AWS 服務和操作。區域拒絕功能補充了 AWS Control Tower 中現有的區域選擇和區域取消選擇功能。這些功能共同協助您解決合規和法規問題,同時平衡與擴展到其他區域相關的成本。
例如,德國 AWS 的客戶可以拒絕存取法蘭克福區域以外區域中 AWS 的服務。您可以在 AWS Control Tower 設定程序期間或在登陸區域設定頁面中選取受限區域。當您更新 AWS Control Tower 登陸區域版本時,可使用區域拒絕功能。選取 AWS 服務不受區域拒絕功能限制。若要進一步了解,請參閱設定區域拒絕控制。
資料駐留功能
2021 年 11 月 30 日
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在提供專門建置的控制項,協助確保您上傳至 AWS 服務的任何客戶資料僅位於您指定的 AWS 區域。您可以選取存放和處理客戶資料的 AWS 區域。如需 AWS Control Tower 可用 AWS 區域的完整清單,請參閱AWS 區域表
對於精細控制,您可以套用其他控制項,例如不允許 Amazon Virtual Private Network (VPN) 連線,或不允許 Amazon VPC 執行個體的網際網路存取。您可以在 AWS Control Tower 主控台中檢視控制項的合規狀態。如需可用控制項的完整清單,請參閱 AWS Control Tower 控制項程式庫。
AWS Control Tower 推出 Terraform 帳戶佈建和自訂
2021 年 11 月 29 日
(AWS Control Tower 登陸區域的選用更新)
您現在可以使用 Terraform 透過 AWS Control Tower,以及 AWS Control Tower Account Factory for Terraform (AFT) 來佈建和更新自訂帳戶。
AFT 提供單一 Terraform 基礎設施即程式碼 (IaC) 管道,其中佈建由 AWS Control Tower 管理的帳戶。在您將帳戶提供給最終使用者之前,佈建期間的自訂有助於滿足您的業務和安全性政策。
AFT 自動化帳戶建立管道會持續監控,直到帳戶佈建完成,然後觸發其他 Terraform 模組,以任何必要的自訂來增強帳戶。作為自訂程序的另一個部分,您可以設定管道來安裝自己的自訂 Terraform 模組,也可以選擇新增任何 AFT 功能選項,這些選項由 AWS 為常見自訂提供。
請依照 AWS Control Tower 使用者指南、 和下載 Terraform 執行個體的 AFT 中提供的步驟,開始使用適用於 Terraform 的 AWS Control Tower 帳戶工廠。 部署適用於 Terraform (AFT) 的 AWS Control Tower 帳戶工廠AFT 支援 Terraform Cloud、Terraform Enterprise 和 Terraform Open Source 分佈。
可用的新生命週期事件
2021 年 11 月 18 日
(AWS Control Tower 登陸區域不需要更新)
PrecheckOrganizationalUnit 事件會記錄是否有任何資源阻止擴展控管任務成功,包括巢狀 OUs 中的資源。如需詳細資訊,請參閱PrecheckOrganizationalUnit。
AWS Control Tower 啟用巢狀 OUs
2021 年 11 月 16 日
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在可讓您將巢狀 OUs 包含在登陸區域中。
AWS Control Tower 支援巢狀組織單位 (OUs),可讓您將帳戶組織成多個階層層級,並以階層方式強制執行預防性控制。您可以註冊包含巢狀 OUs OUs、在父 OUs 下建立和註冊 OUs,並在任何已註冊的 OU 上啟用控制項,無論深度為何。為了支援此功能,主控台會顯示受管帳戶和 OUs的數量。
使用巢狀 OUs,您可以將 AWS Control Tower OUs 與 AWS 多帳戶策略保持一致,並透過在父 OUs 層級強制執行控制項,以減少在多個 OU 上啟用控制項所需的時間。
重要考量事項
-
您可以一次向 AWS Control Tower 註冊一個 OU 的現有多層級 OUs,從最上層 OU 開始,然後向下處理樹狀結構。如需詳細資訊,請參閱從平面 OU 結構擴展到巢狀 OU 結構。
-
直接在已註冊 OU 下的帳戶會自動註冊。可以透過註冊其直接父系 OU 來進一步註冊樹狀目錄的帳戶。
-
預防性控制 SCPs) 會自動繼承至階層;套用至父系的 SCPs 會繼承所有巢狀 OUs。
-
Detective 控制項 (AWS Config 規則) 不會自動繼承。
-
每個 OU 都會報告對偵測性控制的合規性。
-
OU 上的 SCP 偏離會影響其下的所有帳戶和 OUs。
-
您無法在安全 OUs (核心 OU) 下建立新的巢狀 OU。
Detective 控制並行
2021 年 11 月 5 日
(AWS Control Tower 登陸區域的選用更新)
AWS Control Tower 偵測控制項現在支援偵測控制項的並行操作,可提高易用性和效能。您可以啟用多個偵測性控制,而無需等待個別控制操作完成。
支援的功能:
-
在相同的 OU 上啟用不同的偵測性控制 (例如,偵測是否啟用根使用者的 MFA,以及偵測是否允許公開寫入存取 Amazon S3 儲存貯體)。
-
同時對不同的 OUs 啟用不同的偵測性控制。
-
已改善護欄錯誤訊息,為支援的控制並行操作提供額外的指引。
此版本不支援:
-
不支援同時在多個 OUs 上啟用相同的偵測控制。
-
不支援預防性控制並行。
您可以在所有版本的 AWS Control Tower 中體驗偵測性控制並行改進。建議目前不在 2.7 版上的客戶執行登陸區域更新,以利用其他功能,例如區域選擇和取消選擇,這些功能可在最新版本中使用。
兩個可用的新區域
2021 年 7 月 29 日
(AWS Control Tower 登陸區域需要更新)
AWS Control Tower 現已在兩個其他 AWS 區域提供:南美洲 (聖保羅) 和歐洲 (巴黎)。此更新將 AWS Control Tower 可用性擴展至 15 AWS 個區域。
如果您是初次使用 AWS Control Tower,您可以立即在任何支援的區域中啟動它。在啟動期間,您可以選取您希望 AWS Control Tower 在其中建置和管理多帳戶環境的區域。
如果您已有 AWS Control Tower 環境,而且想要在一或多個支援的區域中擴展或移除 AWS Control Tower 控管功能,請前往 AWS Control Tower 儀表板中的登陸區域設定頁面,然後選取區域。更新登陸區域之後,您必須更新由 AWS Control Tower 管理的所有帳戶。
區域取消選取
2021 年 7 月 29 日
(AWS Control Tower 登陸區域的選用更新)
AWS Control Tower 區域取消選取可增強您管理 AWS Control Tower 資源地理足跡的能力。您可以取消選取您不再希望 AWS Control Tower 管理的區域。此功能可讓您解決合規和法規問題,同時平衡與擴展到其他區域相關的成本。
當您更新 AWS Control Tower 登陸區域版本時,可以使用區域取消選取。
當您使用 Account Factory 建立新帳戶或註冊預先存在的成員帳戶時,或當您選取擴展控管以將帳戶註冊到預先存在的組織單位時,AWS Control Tower 會在帳戶中的所選區域中部署其控管功能,包括集中式記錄、監控和控制。選擇取消選取區域並從該區域移除 AWS Control Tower 控管,會移除該控管功能,但不會抑制使用者將 AWS 資源或工作負載部署到這些區域的能力。
AWS Control Tower 可與 AWS Key Management Systems 搭配使用
2021 年 7 月 28 日
(AWS Control Tower 登陸區域的選用更新)
AWS Control Tower 可讓您選擇使用 AWS Key Management Service (AWS KMS) 金鑰。金鑰由您提供和管理,以保護 AWS Control Tower 部署的服務 AWS CloudTrail AWS Config,包括 和相關聯的 Amazon S3 資料。 AWS KMS 加密是 AWS Control Tower 預設使用的 SSE-S3 加密的增強加密層級。
將 AWS KMS 支援整合至 AWS Control Tower 與AWS 基礎安全最佳實務保持一致,該最佳實務建議為您的敏感日誌檔案增加一層安全性。您應該使用 AWS KMS 受管金鑰 (SSE-KMS) 進行靜態加密。當您設定新的登陸區域或更新現有的 AWS Control Tower 登陸區域時,可使用 AWS KMS 加密支援。
若要設定此功能,您可以在初始登陸區域設定期間選取 KMS 金鑰組態。您可以選擇現有的 KMS 金鑰,也可以選取一個按鈕,引導您前往 AWS KMS 主控台建立新的金鑰。您也可以靈活地從預設加密變更為 SSE-KMS,或變更為不同的 SSE-KMS 金鑰。
對於現有的 AWS Control Tower 登陸區域,您可以執行更新以開始使用 AWS KMS 金鑰。
控制項已重新命名,功能不變
2021 年 7 月 26 日
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 正在修訂某些控制項名稱和描述,以更好地反映控制項的政策意圖。修訂的名稱和描述可協助您更直覺地了解 控制體現您帳戶政策的方式。例如,我們將部分偵測性控制的名稱從「不允許」變更為「偵測」,因為偵測性控制本身不會停止特定動作,只會偵測政策違規,並透過儀表板提供提醒。
控制功能、指引和實作保持不變。只有控制項名稱和描述已修訂。
AWS Control Tower 每天掃描 SCPs 以檢查漂移
2021 年 5 月 11 日
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在會執行受管 SCPs 的每日自動化掃描,以確認對應的控制項已正確套用,且尚未漂移。如果掃描發現偏離,您會收到通知。AWS Control Tower 每個偏離問題只會傳送一個通知,因此如果您的登陸區域已經處於偏離狀態,除非找到新的偏離項目,否則您不會收到其他通知。
OUs 和帳戶的自訂名稱
2021 年 4 月 16 日
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在可讓您自訂登陸區域命名。您可以保留 AWS Control Tower 為組織單位 (OUs) 和核心帳戶建議的名稱,也可以在初始登陸區域設定程序期間修改這些名稱。
AWS Control Tower 為 OUs 和核心帳戶提供的預設名稱符合 AWS 多帳戶最佳實務指引。不過,如果您的公司有特定的命名政策,或者您已擁有具有相同建議名稱的現有 OU 或帳戶,則新的 OU 和帳戶命名功能可讓您靈活地解決這些限制。
與設定期間的工作流程變更不同,先前稱為核心 OU 的 OU 現在稱為安全 OU,而先前稱為自訂 OU 的 OU 現在稱為沙盒 OU。我們進行此變更是為了改善與命名整體 AWS 最佳實務指引的一致性。
新客戶將看到這些新的 OU 名稱。現有客戶將繼續看到這些 OUs 的原始名稱。當我們將文件更新為新名稱時,您可能會在 OU 命名中遇到一些不一致。
若要從 AWS 管理主控台開始使用 AWS Control Tower,請前往 AWS Control Tower 主控台,然後選取右上角的設定登陸區域。如需詳細資訊,請參閱規劃 AWS Control Tower 登陸區域。
AWS Control Tower 登陸區域 2.7 版
2021 年 4 月 8 日
(AWS Control Tower 登陸區域需要更新至 2.7 版。 如需詳細資訊,請參閱 更新您的登陸區域)
使用 AWS Control Tower 2.7 版,AWS Control Tower 推出了四個新的強制性預防性日誌封存控制項,僅在 AWS Control Tower 資源上實作政策。我們已將四個現有 Log Archive 控制項的指引從強制性調整為選擇性,因為它們為 AWS Control Tower 外部的資源設定政策。此控制變更和擴展可讓您將 AWS Control Tower 內資源的 Log Archive 控管與 AWS Control Tower 外部資源的控管分開。
四個已變更的控制項可以與新的強制性控制項搭配使用,為更廣泛的 AWS 日誌封存集提供控管。為了環境一致性,現有的 AWS Control Tower 環境會自動啟用這四個變更的控制項;不過,現在可停用這些選擇性控制項。新的 AWS Control Tower 環境必須啟用所有選擇性控制。現有環境必須先停用先前的強制性控制項,才能將加密新增至 AWS Control Tower 未部署的 Amazon S3 儲存貯體。
新的強制性控制項:
-
不允許在日誌存檔中變更 AWS Control Tower 建立的 S3 儲存貯體的加密組態
-
不允許變更日誌存檔中 AWS Control Tower 建立的 S3 儲存貯體的日誌組態
-
不允許變更日誌存檔中 AWS Control Tower 建立的 S3 儲存貯體的儲存貯體政策
-
不允許在日誌存檔中變更 AWS Control Tower 建立的 S3 儲存貯體的生命週期組態
指引從強制性變更為選擇性:
-
不允許變更所有 Amazon S3 儲存貯體的加密組態 【先前:為日誌存檔啟用靜態加密】
-
不允許變更所有 Amazon S3 儲存貯體的日誌組態 【先前:啟用日誌封存的存取日誌】
-
不允許變更所有 Amazon S3 儲存貯體的儲存貯體政策 【先前:不允許變更日誌存檔的政策】
-
不允許變更所有 Amazon S3 儲存貯體的生命週期組態 【先前:設定日誌存檔的保留政策】
AWS Control Tower 2.7 版包含對 AWS Control Tower 登陸區域藍圖的變更,這可能會導致您升級至 2.7 後與舊版不相容。
-
特別是,AWS Control Tower 2.7 版會在 AWS Control Tower 部署的 S3 儲存貯體上
BlockPublicAccess自動啟用 。如果您的工作負載需要跨帳戶存取,您可以關閉此預設。如需BlockPublicaccess啟用 時會發生哪些情況的詳細資訊,請參閱封鎖對 Amazon S3 儲存體的公開存取。 -
AWS Control Tower 2.7 版包含 HTTPS 的需求。傳送至 AWS Control Tower 部署之 S3 儲存貯體的所有請求都必須使用安全通訊端層 (SSL)。僅允許 HTTPS 請求通過。如果您使用 HTTP (不含 SSL) 做為傳送請求的端點,此變更會為您提供存取遭拒的錯誤,這可能會破壞您的工作流程。此變更無法在 2.7 更新至您的登陸區域之後還原。
建議您將請求變更為使用 TLS 而非 HTTP。
三個可用的新 AWS 區域
2021 年 4 月 8 日
(AWS Control Tower 登陸區域需要更新)
AWS Control Tower 可在其他三個 AWS 區域使用:亞太區域 (東京) 區域、亞太區域 (首爾) 區域和亞太區域 (孟買) 區域。需要更新 2.7 版的登陸區域,才能將管控擴展到這些區域。
當您執行 2.7 版的更新時,您的登陸區域不會自動擴展到這些區域,您必須在區域資料表中檢視和選取它們以進行包含。
僅管理選取的區域
2021 年 2 月 19 日
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 區域選擇可讓您更妥善地管理 AWS Control Tower 資源的地理足跡。若要擴展託管 AWS 資源或工作負載的區域數量,基於合規、法規、成本或其他原因,您現在可以選取要管理的其他區域。
當您設定新的登陸區域或更新 AWS Control Tower 登陸區域版本時,即可選擇區域。當您使用 Account Factory 建立新帳戶或註冊預先存在的成員帳戶,或當您使用擴展控管在預先存在的組織單位中註冊帳戶時,AWS Control Tower 會在帳戶中的所選區域中部署集中式記錄、監控和控制的控管功能。如需選取區域的詳細資訊,請參閱 設定您的 AWS Control Tower 區域。
AWS Control Tower 現在可將管控擴展到 AWS 組織中現有的 OUs
2021 年 1 月 28 日
(AWS Control Tower 登陸區域不需要更新)
從 AWS Control Tower 主控台將控管延伸至現有的組織單位 (OUs) (不在 AWS Control Tower 中的單位)。透過此功能,您可以在 AWS Control Tower 控管下提供最上層的 OUs 和包含的帳戶。如需將控管延伸至整個 OU 的資訊,請參閱 向 AWS Control Tower 註冊現有的組織單位。
當您註冊 OU 時,AWS Control Tower 會執行一系列檢查,以確保成功延伸 OU 內帳戶的控管和註冊。如需 OU 初始註冊相關常見問題的詳細資訊,請參閱 註冊或重新註冊期間失敗的常見原因。
您也可以造訪 AWS Control Tower 產品網頁
AWS Control Tower 提供大量帳戶更新
2021 年 1 月 28 日
(AWS Control Tower 登陸區域不需要更新)
使用大量更新功能,您現在可以從 AWS Control Tower 儀表板,一鍵更新最多包含 300 個帳戶的已註冊 AWS Organizations 組織單位 (OU) 中的所有帳戶。當您更新 AWS Control Tower 登陸區域,並且還必須更新已註冊的帳戶,使其與目前的登陸區域版本保持一致時,這特別有用。
當您更新 AWS Control Tower 登陸區域以擴展至新區域,或您想要重新註冊 OU 以確保該 OU 中的所有帳戶都已套用最新的控制項時,此功能也可協助您將帳戶保持在最新狀態。大量帳戶更新不需要一次更新一個帳戶,或使用外部指令碼在多個帳戶上執行更新。
如需更新登陸區域的資訊,請參閱 更新您的登陸區域。
如需註冊或重新註冊 OU 的資訊,請參閱 向 AWS Control Tower 註冊現有的組織單位。
