本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 2023 年 1 月至 12 月
2023 年,AWS Control Tower 發佈了下列更新:
+ [轉換為新的 AWS Service Catalog 外部產品類型 (階段 3)](#phase-3-tos-external)
+ [AWS Control Tower 登陸區域 3.3 版](#lz-3-3)
+ [轉換為新的 AWS Service Catalog 外部產品類型 (階段 2)](#phase-2-tos-external)
+ [AWS Control Tower 宣布控制以協助數位主權](#digital-sovereignty)
+ [AWS Control Tower 登陸區域 APIs](#landing-zone-apis)
+ [AWS Control Tower 控制標記 APIs](#control-tagging-apis)
+ [AWS 亞太區域 (墨爾本) 提供 AWS Control Tower](#mel-region)
+ [轉換為新的 AWS Service Catalog 外部產品類型 (階段 1)](#transition-sc-tos-external)
+ [AWS Control Tower 新增新的控制 API](#new-control-api)
+ [AWS Control Tower 新增控制項](#q3-new-controls)
+ [AWS Control Tower 偵測受信任的存取偏離](#trust-access-drift)
+ [AWS Control Tower 提供四個額外的 AWS 區域](#four-regions)
+ [AWS 以色列 (特拉維夫) 提供 AWS Control Tower](#new-tlv-region)
+ [AWS Control Tower 新增了 28 個新的主動控制](#28-proactive-controls)
+ [AWS Control Tower 取代了兩個控制項](#deprecate-2controls)
+ [AWS Control Tower 登陸區域 3.2 版](#lz-3-2)
+ [AWS Control Tower 新增 IAM Identity Center email-to-ID 映射](#email-to-id)
+ [AWS Control Tower 新增更多 AWS Security Hub CSPM 控制項](#more-sh-controls)
+ [AWS Control Tower 發佈 AWS Security Hub CSPM 控制項的中繼資料](#publish-metadata)
+ [AWS Control Tower 新增 Terraform 的帳戶工廠自訂 (AFC)](#afc-terraform)
+ [AWS Control Tower 新增自我管理的 IAM 身分中心](#iam-self-manage)
+ [AWS Control Tower 新增混合控管備註](#mixed-governance-note)
+ [AWS Control Tower 新增了新的主動控制](#new-proactive-controls)
+ [AWS Control Tower 會更新 Amazon EC2 控制項](#updated-ec2-controls)
+ [AWS Control Tower 提供七種額外功能 AWS 區域](#seven-regions)
+ [AWS Control Tower 帳戶工廠自訂 (AFC) 和請求追蹤已全面推出](#account-customization-request-tracing-ga)
+ [AWS Control Tower 登陸區域 3.1 版](#lz-3-1)
+ [AWS Control Tower 主動控制已全面推出](#proactive-control-ga)
## 轉換為新的 AWS Service Catalog 外部產品類型 (階段 3)
**2023 年 12 月 14 日**
(AWS Control Tower 登陸區域不需要更新。)
在建立新的 時,AWS Control Tower 不再支援 *Terraform Open Source* 做為產品類型 (藍圖) AWS 帳戶。如需更新帳戶藍圖的詳細資訊和指示,請參閱[轉換為 AWS Service Catalog 外部產品類型](https://docs.aws.amazon.com//controltower/latest/userguide/service-catalog.html)。
如果您未更新帳戶藍圖以使用*外部*產品類型,您只能更新或終止使用 Terraform 開放原始碼藍圖佈建的帳戶。
## AWS Control Tower 登陸區域 3.3 版
**2023 年 12 月 14 日**
(AWS Control Tower 登陸區域需要更新至 3.3 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))。
**AWS Control Tower 稽核帳戶中 S3 儲存貯體政策的更新**
我們已修改 AWS Control Tower 部署在帳戶中的 Amazon S3 稽核儲存貯體政策,因此任何寫入許可都必須符合 `aws:SourceOrgID`條件。在此版本中,只有在請求來自您的組織或組織單位 (OU) 時, AWS 服務才能存取您的 資源。
您可以使用 `aws:SourceOrgID` 條件金鑰,並在 S3 儲存貯體政策的條件元素中將 值設定為您的**組織 ID**。此條件可確保 CloudTrail 只能代表您組織內的帳戶將日誌寫入 S3 儲存貯體;可防止組織外的 CloudTrail 日誌寫入 AWS Control Tower S3 儲存貯體。
我們進行了這項變更,以修復潛在的安全漏洞,而不會影響您現有工作負載的功能。若要檢視更新的政策,請參閱 [稽核帳戶中的 Amazon S3 儲存貯體政策](logging-s3-audit-bucket.md)。
如需新條件索引鍵的詳細資訊,請參閱 IAM 文件和名為「*使用可擴展控制項存取 資源 AWS 的服務*」的 IAM 部落格文章。
** AWS Config SNS 主題中的政策更新**
我們已將新`aws:SourceOrgID`條件金鑰新增至 AWS Config SNS https://topic.To 檢視更新政策的政策,請參閱 [AWS Config SNS 主題政策](https://docs.aws.amazon.com//controltower/latest/userguide/receive-notifications.html#config-sns-policy)。
**對登陸區域區域拒絕控制的更新**
+ 已移除 `discovery-marketplace:`。此動作由`aws-marketplace:*`豁免涵蓋。
+ 已新增 `quicksight:DescribeAccountSubscription`
**更新 CloudFormation 範本**
我們已更新名為 之堆疊的 CloudFormation 範本,`BASELINE-CLOUDTRAIL-MASTER`因此未使用 AWS KMS 加密時, 不會顯示偏離。
## 轉換為新的 AWS Service Catalog 外部產品類型 (階段 2)
**2023 年 12 月 7 日**
(AWS Control Tower 登陸區域不需要更新。)
HashiCorp 已更新其 Terraform 授權。因此,將*對 Terraform Open Source* 產品和佈建產品的支援 AWS Service Catalog 變更為新的產品類型,稱為*外部*。
若要避免中斷帳戶中的現有工作負載 AWS 和資源,請遵循 2023 年 12 月 14 日之前[轉換為 AWS Service Catalog 外部產品類型的](af-customization-page.md#service-catalog-external-product-type) AWS Control Tower 轉換步驟。
## AWS Control Tower 宣布控制以協助數位主權
**2023 年 11 月 27 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 宣布推出 65 項新 AWS受管控制項,協助您滿足數位主權需求。在此版本中,您可以在 AWS Control Tower 主控台的新*數位主權群組*下探索這些控制項。您可以使用這些控制項來協助防止動作,並偵測有關*資料駐留、**精細存取限制*、*加密*和*彈性*功能的資源變更。這些控制項旨在讓您更輕鬆地大規模處理需求。如需數位主權控制的詳細資訊,請參閱[增強數位主權保護的控制項](https://docs.aws.amazon.com//controltower/latest/controlreference/digital-sovereignty-controls.html)。
例如,您可以選擇啟用有助於強制執行加密和彈性策略的控制項,例如**需要 an AWS AppSync API 快取才能啟用傳輸中加密**,或**需要 AWS 跨多個可用區域部署 Network Firewall**。您也可以自訂 AWS Control Tower 區域拒絕控制,以套用最符合您獨特業務需求的區域限制。
此版本帶來增強良好的 AWS Control Tower 區域拒絕功能。您可以在 OU 層級套用新的參數化區域拒絕控制,以提高控管的精細程度,同時在登陸區域層級維持額外的區域控管。此可自訂的區域拒絕控制可協助您套用最符合您獨特業務需求的區域限制。如需新的可設定區域拒絕控制的詳細資訊,請參閱[套用至 OU 的區域拒絕控制](https://docs.aws.amazon.com//controltower/latest/controlreference/ou-region-deny.html)。
作為新區域拒絕增強功能的新工具,此版本包含新的 API`UpdateEnabledControl`,可讓您將啟用的控制項重設為預設設定。此 API 在您需要快速解決偏離的使用案例中特別有用,或以程式設計方式保證控制項未處於偏離狀態。如需新 API 的詳細資訊,請參閱 [AWS Control Tower API 參考](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)
**新的主動控制**
+ CT.APIGATEWAY.PR.6:要求 Amazon API Gateway REST 網域使用指定最低 TLS 通訊協定版本 TLSv1.2 的安全政策
+ CT.APPSYNC.PR.2:要求以私有可見性設定 AWS AppSync GraphQL API
+ CT.APPSYNC.PR.3:要求使用 API 金鑰來驗證 AWS AppSync GraphQL API
+ CT.APPSYNC.PR.4:需要 AWS AppSync GraphQL API 快取才能啟用傳輸中加密。
+ CT.APPSYNC.PR.5:需要 AWS AppSync GraphQL API 快取才能啟用靜態加密。
+ CT.AUTOSCALING.PR.9:需要透過 Amazon EC2 Auto Scaling 啟動組態設定的 Amazon EBS 磁碟區,才能加密靜態資料 Auto Scaling
+ CT.AUTOSCALING.PR.10:需要 Amazon EC2 Auto Scaling 群組在覆寫啟動範本時僅使用 AWS Nitro 執行個體類型
+ CT.AUTOSCALING.PR.11:在覆寫啟動範本時,只需要支援執行個體之間網路流量加密的 AWS Nitro 執行個體類型,即可新增至 Amazon EC2 Auto Scaling 群組
+ CT.DAX.PR.3:要求 DynamoDB Accelerator 叢集使用 Transport Layer Security (TLS) 加密傳輸中的資料
+ CT.DMS.PR.2:需要 AWS Database Migration Service (DMS) 端點來加密來源和目標端點的連線
+ CT.EC2.PR.15:從`AWS::EC2::LaunchTemplate`資源類型建立時,需要 Amazon EC2 執行個體使用 AWS Nitro 執行個體類型
+ CT.EC2.PR.16:使用 AWS `AWS::EC2::Instance` 資源類型建立時,需要 Amazon EC2 執行個體使用 Nitro 執行個體類型
+ CT.EC2.PR.17:需要 Amazon EC2 專用主機才能使用 AWS Nitro 執行個體類型
+ CT.EC2.PR.18:要求 Amazon EC2 機群僅使用 AWS Nitro 執行個體類型覆寫這些啟動範本
+ CT.EC2.PR.19:要求 Amazon EC2 執行個體使用 nitro 執行個體類型,以便在使用 `AWS::EC2::Instance` 資源類型建立時支援執行個體之間的傳輸中加密
+ CT.EC2.PR.20:要求 Amazon EC2 機群僅使用支援執行個體之間傳輸中加密的 AWS Nitro 執行個體類型來覆寫這些啟動範本
+ CT.ELASTICACHE.PR.8:需要較新 Redis 版本的 Amazon ElastiCache 複寫群組,才能啟用 RBAC 身分驗證
+ CT.MQ.PR.1:要求 Amazon MQ ActiveMQ 代理程式使用作用中/待命部署模式以獲得高可用性
+ CT.MQ.PR.2:需要 Amazon MQ Rabbit MQ 代理程式使用多可用區域叢集模式以獲得高可用性
+ CT.MSK.PR.1:需要 Amazon Managed Streaming for Apache Kafka (MSK) 叢集,才能強制執行叢集代理程式節點之間的傳輸中加密
+ CT.MSK.PR.2:需要將 Amazon Managed Streaming for Apache Kafka (MSK) 叢集設定為已停用 PublicAccess
+ CT.NETWORK-FIREWALL.PR.5:需要跨多個可用區域部署 AWS Network Firewall 防火牆
+ CT.RDS.PR.26:需要 Amazon RDS 資料庫代理才能要求 Transport Layer Security (TLS) 連線
+ CT.RDS.PR.27:要求 Amazon RDS 資料庫叢集參數群組針對支援的引擎類型要求 Transport Layer Security (TLS) 連線
+ CT.RDS.PR.28:要求 Amazon RDS 資料庫參數群組針對支援的引擎類型要求 Transport Layer Security (TLS) 連線
+ CT.RDS.PR.29:需要未將 Amazon RDS 叢集設定為可透過 'PubliclyAccessible' 屬性公開存取
+ CT.RDS.PR.30:要求 Amazon RDS 資料庫執行個體已將靜態加密設定為使用您為支援的引擎類型指定的 KMS 金鑰
+ CT.S3.PR.12:要求 Amazon S3 存取點具有封鎖公開存取 (BPA) 組態,且所有選項都設為 true
**新的預防性控制**
+ CT.APPSYNC.PV.1 需要以私有可見性設定 AWS AppSync GraphQL API
+ CT.EC2.PV.1 需要從加密的 EC2 磁碟區建立 Amazon EBS 快照
+ CT.EC2.PV.2 需要將連接的 Amazon EBS 磁碟區設定為加密靜態資料
+ CT.EC2.PV.3 要求 Amazon EBS 快照無法公開還原
+ CT.EC2.PV.4 要求不呼叫 Amazon EBS APIs
+ CT.EC2.PV.5 不允許使用 Amazon EC2 VM 匯入和匯出
+ CT.EC2.PV.6 不允許使用已棄用的 Amazon EC2 RequestSpotFleet 和 RequestSpotInstances API 動作
+ CT.KMS.PV.1 需要 AWS KMS 金鑰政策,才能擁有將 AWS KMS 授予建立限制為 AWS 服務的陳述式
+ CT.KMS.PV.2 要求具有用於加密之 RSA 金鑰材料 AWS KMS 的非對稱金鑰的金鑰長度不為 2048 位元
+ CT.KMS.PV.3 要求在啟用略過政策鎖定安全檢查的情況下設定 AWS KMS 金鑰
+ CT.KMS.PV.4 要求使用源自 AWS CloudHSM 的金鑰材料來設定 AWS KMS 客戶受管金鑰 (CMK)
+ CT.KMS.PV.5 要求使用匯入的金鑰材料設定 AWS KMS 客戶受管金鑰 (CMK)
+ CT.KMS.PV.6 要求使用源自外部金鑰存放區 (XKS) 的金鑰材料來設定 AWS KMS 客戶受管金鑰 (CMK)
+ CT.LAMBDA.PV.1 需要 AWS Lambda 函數 URL 才能使用 AWS IAM 型身分驗證
+ CT.LAMBDA.PV.2 需要將 AWS Lambda 函數 URL 設定為僅供 中的主體存取 AWS 帳戶
## AWS Control Tower 登陸區域 APIs
**2023 年 11 月 26 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在提供 APIs,可協助您以程式設計方式管理登陸區域。這些 APIs 可讓您建立、更新和重設登陸區域,以及擷取登陸區域組態和操作的相關資訊。如需詳細資訊,請參閱[登陸區域 API 範例](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html)。
登陸區域 APIs 可在 AWS Control Tower 提供的所有 AWS 區域 中使用,但 GovCloud (US) 區域除外。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 控制標記 APIs
**2023 年 11 月 10 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在提供 APIs,可協助您以程式設計方式標記已啟用的控制項。這些 APIs 可讓您新增、移除和列出已啟用控制項的標籤。如需詳細資訊,請參閱[標記 AWS Control Tower 資源](https://docs.aws.amazon.com//controltower/latest/userguide/tagging-resources.html)。
除了 GovCloud (US) 區域外,控制項標記 APIs 可在 AWS Control Tower AWS 區域 提供的所有 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS 亞太區域 (墨爾本) 提供 AWS Control Tower
**2023 年 11 月 3 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 可在亞太區域 (墨爾本) 使用。如需 AWS Control Tower 可用區域的完整清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## 轉換為新的 AWS Service Catalog 外部產品類型 (階段 1)
**2023 年 10 月 31 日**
(AWS Control Tower 登陸區域不需要更新。)
HashiCorp 已更新其 Terraform 授權。因此,將*對 Terraform Open Source* 產品和佈建產品的支援 AWS Service Catalog 變更為新的產品類型,稱為*外部*。
為避免中斷您帳戶中的現有工作負載 AWS 和資源,請遵循 2023 年 12 月 14 日之前[轉移至 AWS Service Catalog 外部產品類型的](af-customization-page.md#service-catalog-external-product-type) AWS Control Tower 轉換步驟。
## AWS Control Tower 新增新的控制 API
**2023 年 10 月 27 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在提供新的 API `UpdateEnabledControl`,可讓您更新已啟用的控制項。此 API 在您需要快速解決偏離的使用案例中特別有用,或以程式設計方式保證控制項未處於偏離狀態。如需新 API 的詳細資訊,請參閱 [AWS Control Tower API 參考](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)。
除了 GovCloud (US) 區域外,`UpdateEnabledControl`API 可在 AWS Control Tower AWS 區域 提供的所有 中使用。如需 AWS Control Tower 可用位置的 AWS 區域 清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增控制項
**2023 年 10 月 20 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已將 22 個新控制項新增至 AWS Control Tower 控制項程式庫。這些控制項可協助您強制執行 AWS 資源的最佳實務。如需新控制項的詳細資訊,請參閱[控制類別](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
新的控制項可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 偵測受信任的存取偏離
**2023 年 10 月 13 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在可偵測並報告受信任存取設定的偏離。信任的存取設定可讓 AWS Control Tower 代表您與其他 AWS 服務互動。如果在 AWS Control Tower 之外變更這些設定,AWS Control Tower 會偵測偏離,並在 AWS Control Tower 主控台中回報。如需受信任存取偏離的詳細資訊,請參閱[控管偏離的類型](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html)。
信任的存取偏離偵測可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 提供四個額外的 AWS 區域
**2023 年 9 月 29 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 提供四個額外服務 AWS 區域:亞太區域 (海德拉巴)、亞太區域 (雅加達)、歐洲 (西班牙) 和歐洲 (蘇黎世)。如需 AWS Control Tower 可用區域的完整清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS 以色列 (特拉維夫) 提供 AWS Control Tower
**2023 年 8 月 1 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 可在以色列 (特拉維夫) 使用。如需 AWS Control Tower 可用區域的完整清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增了 28 個新的主動控制
**2023 年 7 月 27 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已將 28 個新的主動控制新增至 AWS Control Tower 控制庫。這些控制項可協助您強制執行 AWS 資源的最佳實務。如需新控制項的詳細資訊,請參閱[控制項類別](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
新的控制項可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 取代了兩個控制項
**2023 年 7 月 27 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已棄用兩個控制項: CT.CLOUDFORMATION.PR.2和 CT.CLOUDFORMATION.PR.3。這些控制項不再可在 AWS Control Tower 控制項程式庫中使用。如需已棄用控制項的詳細資訊,請參閱[控制項類別](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
已棄用的控制項不再可用於任何 AWS 區域。
## AWS Control Tower 登陸區域 3.2 版
**2023 年 6 月 16 日**
(AWS Control Tower 登陸區域需要更新至 3.2 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))。
AWS Control Tower 登陸區域 3.2 版將屬於 AWS Security Hub CSPM **服務受管標準:AWS Control Tower** 的控制項帶入一般可用性。它引入了在 AWS Control Tower 主控台中檢視屬於此標準一部分之控制項偏離狀態的功能。
此更新包含新的服務連結角色 (SLR),稱為 **AWSServiceRoleForAWSControlTower**。此角色透過在每個成員帳戶中建立名為 AWSControlTowerManagedRule 的 EventBridge 受管規則來協助 AWS Control Tower。 **AWSControlTowerManagedRule** 此受管規則會從 使用 AWS Control Tower 收集 AWS Security Hub CSPM **尋找**事件,以判斷控制偏離。
此規則是 AWS Control Tower 建立的第一個受管規則。規則不是由堆疊部署,而是直接從 EventBridge APIs 部署。您可以在 EventBridge 主控台中或透過 EventBridge APIs來檢視規則。如果已填入 `managed-by` 欄位,則會顯示 AWS Control Tower 服務主體。
先前,AWS Control Tower 擔任 **AWSControlTowerExecution** 角色,以在成員帳戶中執行操作。這個新角色和規則更符合在多帳戶 AWS 環境中執行操作時允許最低權限的最佳實務原則。新角色提供明確允許的縮小範圍許可:在成員帳戶中建立受管規則、維護受管規則、透過 SNS 發佈安全通知,以及驗證偏離。如需詳細資訊,請參閱[AWSServiceRoleForAWSControlTower](access-control-managing-permissions.md#AWSServiceRoleForAWSControlTower)。
登陸區域 3.2 更新也包含管理帳戶中的新 StackSet 資源,`BP_BASELINE_SERVICE_LINKED_ROLE`最初會部署服務連結角色。
報告 Security Hub CSPM 控制偏離時 (在登陸區域 3.2 和更新版本中),AWS Control Tower 會收到 Security Hub CSPM 的每日狀態更新。雖然控制在每個受管區域中都是作用中的,但 AWS Control Tower 只會將 AWS Security Hub CSPM **尋找**事件傳送至 AWS Control Tower 主區域。如需詳細資訊,請參閱 [Security Hub 控制偏離報告](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html#sh-drift)。
**區域拒絕控制項的更新**
此登陸區域版本也包含區域拒絕控制的更新。
**已新增全域服務和 APIs**
+ AWS 帳單與成本管理 (`billing:*`)
+ AWS CloudTrail (`cloudtrail:LookupEvents`) 以允許成員帳戶中全域事件的可見性。
+ AWS 合併帳單 (`consolidatedbilling:*`)
+ AWS 管理主控台行動應用程式 (`consoleapp:*`)
+ AWS 免費方案 (`freetier:*`)
+ AWS Invoicing (`invoicing:*`)
+ AWS IQ (`iq:*`)
+ AWS 使用者通知 (`notifications:*`)
+ AWS 使用者通知聯絡人 (`notifications-contacts:*`)
+ Amazon Payments (`payments:*`)
+ AWS 稅務設定 (`tax:*`)
**已移除全域服務和 APIs**
+ 已移除,`s3:GetAccountPublic`因為它不是有效的動作。
+ 已移除,`s3:PutAccountPublic`因為它不是有效的動作。
## AWS Control Tower 新增 IAM Identity Center email-to-ID 映射
**2023 年 7 月 13 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援 IAM Identity Center email-to-ID 映射。此功能可讓您將電子郵件地址映射至 IAM Identity Center 使用者 IDs,讓您更輕鬆地管理使用者存取您的 AWS Control Tower 環境。如需email-to-ID映射的詳細資訊,請參閱[與 IAM Identity Center 整合](https://docs.aws.amazon.com//controltower/latest/userguide/sso-integration.html)。
Email-to-ID映射可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增更多 AWS Security Hub CSPM 控制項
**2023 年 6 月 29 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已將更多 AWS Security Hub CSPM 控制項新增至 AWS Control Tower 控制項程式庫。這些控制項可協助您強制執行 AWS 資源的最佳實務。如需新控制項的詳細資訊,請參閱[控制項類別](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
新的控制項可在 AWS Control Tower 可用的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 發佈 AWS Security Hub CSPM 控制項的中繼資料
**2023 年 6 月 22 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在會發佈 AWS Security Hub CSPM 控制項的中繼資料。此中繼資料包含控制項的相關資訊,例如控制項 ID、控制項標題和控制項描述。如需中繼資料的詳細資訊,請參閱[控制中繼資料](https://docs.aws.amazon.com//controltower/latest/userguide/control-metadata.html)。
控制中繼資料可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增 Terraform 的帳戶工廠自訂 (AFC)
**2023 年 6 月 15 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援 Terraform 的帳戶工廠自訂 (AFC)。此功能可讓您使用 Terraform 來自訂 AWS Control Tower 帳戶。如需適用於 Terraform 的 AFC 的詳細資訊,請參閱[適用於 Terraform 的帳戶工廠自訂](https://docs.aws.amazon.com//controltower/latest/userguide/afc-terraform.html)。
AWS Control Tower 提供的所有 都提供適用於 Terraform 的 AWS 區域 AFC。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增自我管理的 IAM 身分中心
**2023 年 6 月 8 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援自我管理的 IAM 身分中心。此功能可讓您將自己的身分提供者與 AWS Control Tower 搭配使用。如需自我管理 IAM 身分中心的詳細資訊,請參閱 [IAM 身分中心](https://docs.aws.amazon.com//controltower/latest/userguide/iam-identity-center.html)。
自我管理的 IAM 身分中心可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增混合控管備註
**2023 年 6 月 1 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在包含混合控管的注意事項。此備註說明 AWS Control Tower 如何與其他 AWS 服務搭配使用,為您的 AWS 資源提供控管。如需混合控管的詳細資訊,請參閱[混合控管](https://docs.aws.amazon.com//controltower/latest/userguide/mixed-governance.html)。
混合控管備註可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增了新的主動控制
**2023 年 5 月 25 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已將新的主動控制新增至 AWS Control Tower 控制庫。這些控制項可協助您強制執行 AWS 資源的最佳實務。如需新控制項的詳細資訊,請參閱[控制項類別](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
新的控制項可在 AWS Control Tower 可用的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 會更新 Amazon EC2 控制項
**2023 年 5 月 18 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已更新 AWS Control Tower 控制庫中的 Amazon EC2 控制。這些更新可改善 AWS Control Tower 環境的安全性和可靠性。如需更新控制項的詳細資訊,請參閱[控制項類別](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
更新後的控制項可在 AWS Control Tower 可用的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 提供七種額外功能 AWS 區域
**2023 年 5 月 11 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 提供七種額外服務 AWS 區域:亞太區域 (大阪)、加拿大 (中部)、歐洲 (米蘭)、歐洲 (斯德哥爾摩)、中東 (巴林)、中東 (阿拉伯聯合大公國) 和南美洲 (聖保羅)。如需 AWS Control Tower 可用區域的完整清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 帳戶工廠自訂 (AFC) 和請求追蹤已全面推出
**2023 年 4 月 27 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 帳戶工廠自訂 (AFC) 和請求追蹤現已正式推出。AFC 可讓您自訂 AWS Control Tower 帳戶,而請求追蹤可讓您追蹤 AWS Control Tower 請求的狀態。如需 AFC 和請求追蹤的詳細資訊,請參閱[帳戶工廠自訂](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-customization.html)和[請求追蹤](https://docs.aws.amazon.com//controltower/latest/userguide/request-tracing.html)。
AFC 和請求追蹤可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 登陸區域 3.1 版
2023 年 2 月 9 日
(AWS Control Tower 登陸區域需要更新至 3.1 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))
AWS Control Tower 登陸區域 3.1 版包含下列更新:
+ 在此版本中,AWS Control Tower 會停用存取記錄*儲存貯體的不必要存取記錄*,這是 Amazon S3 儲存貯體,其中存取日誌存放在日誌封存帳戶中,同時繼續啟用 S3 儲存貯體的伺服器存取記錄。此版本也包含區域拒絕控制項的更新,允許對 全域服務執行其他動作,例如 支援 Plans 和 AWS Artifact。
+ 停用 AWS Control Tower 存取記錄儲存貯體的伺服器存取記錄,會導致 Security Hub CSPM 為日誌封存帳戶的*存取記錄儲存貯體*建立調查結果,因為 AWS Security Hub CSPM 規則,[所以應該啟用 【S3.9】 S3 儲存貯體伺服器存取記錄。](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-9)為了與 Security Hub CSPM 保持一致,我們建議您隱藏此特定調查結果,如此規則的 Security Hub CSPM 描述中所述。如需詳細資訊,請參閱[隱藏問題清單的相關資訊](https://docs.aws.amazon.com//securityhub/latest/userguide/finding-workflow-status.html)。
+ Log Archive 帳戶中 (一般) 記錄儲存貯體的存取記錄在 3.1 版中保持不變。為了符合最佳實務,該儲存貯體的存取事件會記錄為*存取記錄儲存貯*體中的日誌項目。如需存取記錄的詳細資訊,請參閱 Amazon S3 文件中的[使用伺服器存取記錄來記錄請求](https://docs.aws.amazon.com//AmazonS3/latest/userguide/ServerLogs.html)。
+ 我們已更新區域拒絕控制。此更新允許更多全域服務執行動作。如需此 SCP 的詳細資訊,請參閱[AWS 根據請求拒絕存取 AWS 區域](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)和[增強資料駐留保護的控制項](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html)。
**已新增全域服務:**
+ AWS Account Management (`account:*`)
+ AWS 啟用 (`activate:*`)
+ AWS Artifact (`artifact:*`)
+ AWS Billing Conductor (`billingconductor:*`)
+ AWS Compute Optimizer (`compute-optimizer:*`)
+ AWS Data Pipeline (`datapipeline:GetAccountLimits`)
+ AWS Device Farm(`devicefarm:*`)
+ AWS Marketplace (`discovery-marketplace:*`)
+ Amazon ECR (`ecr-public:*`)
+ AWS License Manager (`license-manager:ListReceivedLicenses`)
+ AWS Lightsail (`lightsail:Get*`)
+ AWS 資源總管 (`resource-explorer-2:*`)
+ Amazon S3 (`s3:CreateMultiRegionAccessPoint`、`s3:GetBucketPolicyStatus`、`s3:PutMultiRegionAccessPointPolicy`)
+ AWS Savings Plans (`savingsplans:*`)
+ IAM Identity Center (`sso:*`)
+ AWS Support App (`supportapp:*`)
+ 支援 計劃 (`supportplans:*`)
+ AWS 永續性 (`sustainability:*`)
+ AWS Resource Groups Tagging API (`tag:GetResources`)
+ AWS Marketplace Vendor Insights (`vendor-insights:ListEntitledSecurityProfiles`)
## AWS Control Tower 主動控制已全面推出
**2023 年 4 月 13 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 主動控制現已全面推出。主動式控制可協助您強制執行 AWS 資源的最佳實務。如需主動控制的詳細資訊,請參閱[主動控制](https://docs.aws.amazon.com//controltower/latest/userguide/proactive-controls.html)。
主動控制可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。