2025 年 1 月 - 目前 - AWS Control Tower
AWS Control Tower 支援 PrivateLink支援其他產業架構、更新的中繼資料服務連結 AWS Config 控制項 啟用的控制項主控台檢視可提供集中式可見性 Account Factory for Terraform (AFT) 在部署時支援新組態AWS Control Tower 推出基準 APIs的帳戶層級報告AWS Control Tower 適用於 AWS 亞太區域 (泰國) 和墨西哥 (中部) 區域其他可用的 AWS Config 控制項取消註冊和刪除 OUs 的動作Control Catalog 支援 IPv6 地址

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

2025 年 1 月 - 目前

自 2025 年 1 月起,AWS Control Tower 已發佈下列更新:

2025 年 6 月 30 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援 AWS PrivateLink。您可以從 Amazon Virtual Private Cloud (VPC) 內叫用 AWS Control Tower 和 Control Catalog APIs,而無需周遊公有網際網路。 可在虛擬私有雲端 (VPCs)、支援的服務和資源,以及內部部署網路之間 AWS PrivateLink 提供私有連線。AWS Control Tower 的 AWS PrivateLink 支援可在 AWS Control Tower 提供的所有 AWS 區域 中使用。

支援其他產業架構、更新的中繼資料

2025 年 6 月 12 日

(AWS Control Tower 登陸區域不需要更新。)

在此版本中,AWS Control Tower 擴展以包含 10 個產業架構的支援。如需架構清單,請參閱支援的架構

例如,您可以開始導覽至 AWS Control Tower 主控台的 Control Catalog 頁面,並搜尋 PCI-DSS-v4.0 等架構,以檢視與該架構相關的所有控制項。或者,您可以透過呼叫新的 ListControlMappings API,以程式設計方式檢查控制項和架構。

與控制項相關聯的中繼資料定義正在變更,以更好地支援這些額外的產業影格。中繼資料的變更可能會影響您評估啟用控制項的方式。例如,NIST、PCI 和 CIS 中繼資料的值可能已變更。建議您在 主控台的控制詳細資訊頁面上,檢視已啟用控制項的映射

在 主控台和 API 中,我們推出了 3 個新的中繼資料欄位。這些欄位整體描述了一個階層,協助您了解如何分類和啟用控制項。欄位為:網域目標常見控制項。我們已重新定義控制目標,以更符合更廣泛的產業架構可用範圍。如需此階層的詳細資訊,請參閱腫瘤學概觀

  • 這些中繼資料變更會反映在 AWS Control Tower 主控台中,而且主控台體驗在 AWS Control Tower 和 AWS Config 主控台之間是一致的。

  • 若要在 AWS Control Tower 主控台中檢視控制項資訊,您必須將其他controlcatalog許可新增至 IAM 政策。如需詳細資訊,請參閱使用 AWS Control Tower 主控台所需的許可

  • 每個控制項現在都有一個名為 的新欄位GovernedResources,顯示控制項管理的資源類型。在某些情況下,此欄位會顯示資源的服務字首,在其他執行個體中,可以是空白的。如需詳細資訊,請參閱GetControlListControls

在此版本中,我們已將 Controls Library 重新命名為 Control Catalog,以與其他術語保持一致。

服務連結 AWS Config 控制項

2025 年 6 月 12 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 宣布支援將 AWS Control Tower 偵測控制部署為服務連結 AWS Config 規則。

在此版本中,AWS Control Tower 現在會直接在您的註冊帳戶中部署服務連結 Config 規則,以 AWS CloudFormation 堆疊集取代先前的部署方法。此變更可大幅改善部署速度。此外,這些服務連結的 Config 規則有助於確保資源的一致性控管,因為它們可防止可能因手動變更 AWS CloudFormation 堆疊集或 Config 規則而導致的意外組態偏離。

接下來,所有由 AWS Config 規則實作的 AWS Control Tower 控制項都會透過此機制部署,而此機制會直接呼叫 AWS Config APIs。

重要

在您採用服務連結 Config 規則之前,請檢閱您在 AWS Control Tower 外部對 Config 規則所做的現有自訂,例如修復,因為這些自訂會在轉換期間移除。 AWS Config APIs 不支援為服務連結 AWS Config 規則新增修復組態。請參閱 PutRemediationConfigurations

所需的詳細資訊和動作

  • 當您更新重設登陸區域時,AWS Control Tower 會更新管理安全 OU 的強制性控制。若要完成升級,您也必須重設每個使用 AWS Config 規則內嵌的偵測性控制項,或重新註冊 OU。

  • 如果您的 AWS Control Tower 登陸區域版本為 3.2 或更新版本,則此升級的完整範圍適用於您。當您套用此更新時,現有的 AWS Config 規則會變更為服務管理的 Config 規則,以及新的部署方法。

  • 如果您的登陸區域是 3.1 版或以下版本,則會使用新方法部署任何新的 Config 規則,而不再使用堆疊集。您現有的 Config 規則不會更新為服務管理的 Config 規則。它們將保留為標準類型。

  • 您可以依其資源 ARN 識別服務連結組態規則,其格式為:

    arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*

由服務連結 AWS Config 規則實作時,控制項的預期功能並未變更。AWS Control Tower 中的偵測性服務連結 Config 規則可以識別您帳戶中的不合規資源,例如政策違規,並透過儀表板提供提醒。為了保持一致性、防止組態偏離並簡化您的整體使用者體驗,現在只能透過 AWS Control Tower 修改這些規則。

在此版本中,我們為服務連結角色 (SLR) 的政策新增了四個新許可AWSServiceRoleForAWSControlTower,以便您可以啟用和停用已註冊帳戶的服務連結 AWS Config 規則。


config:DescribeConfigRules
config:TagResource
config:PutConfigRule
config:DeleteConfigRule

啟用的控制項主控台檢視可提供集中式可見性

2025 年 5 月 21 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 在主控台中新增了新頁面,可在單一集中式檢視中顯示所有已啟用的控制項。先前,只有啟用控制項的帳戶或 OU 才能檢視控制項。合併檢視可讓您更輕鬆地大規模識別控制控管中的差距。

已啟用控制項頁面上,您可以根據行為篩選控制項:Deventive、Detective 或 Proactive。您也可以根據控制項實作進行篩選,例如 SCP。對於每個控制項,您可以查看啟用此控制項OUs 數量。

若要查看已啟用控制項頁面,請導覽至 AWS Control Tower 主控台中的控制項區段。

Account Factory for Terraform (AFT) 在部署時支援新組態

2025 年 5 月 13 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 帳戶自訂架構 Account Factory for Terraform (AFT) 現在在部署時支援三個額外的選用組態。您可以將 AFT 部署到自訂虛擬私有雲端 (VPC),指定 AFT 部署的 Terraform 專案名稱,並標記 AFT 建立的資源。

如需詳細資訊,請參閱部署適用於 Terraform 的 AWS Control Tower 帳戶工廠 (AFT)

AWS Control Tower 推出基準 APIs的帳戶層級報告

2025 年 5 月 12 日

(AWS Control Tower 登陸區域不需要更新。)

您現在可以透過呼叫基準 APIs,以程式設計方式檢視受管帳戶的偏離帳戶註冊狀態。透過此功能,您可以識別帳戶和 OU 基準組態何時漂移或不同步。若要以程式設計方式檢視偏離狀態,您可以針對已啟用的基準呼叫 ListEnabledBaselines API。若要使用 ListEnabledBaselines API 以程式設計方式檢視個別帳戶的狀態,請使用 includeChildren旗標。您可以依這些狀態進行篩選,並僅查看需要您注意的帳戶和 OUs。

AWS ControlTowerBaseline 會設定控管所需的最佳實務組態、控制項和資源。當您在組織單位 (OU) 上啟用此基準時,OU 內的成員帳戶會自動註冊到 AWS Control Tower。AWS Control Tower 基準 APIs 包含 AWS CloudFormation 支援,可讓您建置自動化,以使用基礎設施即程式碼 (IaC) 來管理 OUs 和帳戶。

若要進一步了解這些 APIs,請參閱《AWS Control Tower 使用者指南》中的基準。AWS Control Tower 提供的所有 都提供偏離帳戶註冊狀態的基準 APIs AWS 區域 和新啟動的報告功能。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 AWS 區域 表格

AWS Control Tower 適用於 AWS 亞太區域 (泰國) 和墨西哥 (中部) 區域

2025 年 5 月 9 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現已在下列 AWS 區域提供:

  • 亞太區域 (泰國)

  • 墨西哥 (中部)

如需 AWS Control Tower 可用區域的完整清單,請參閱AWS 區域表

其他可用的 AWS Config 控制項

2025 年 4 月 11 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援適用於各種使用案例的額外 223 個受管 AWS Config 規則,例如安全性、成本、耐用性和操作。透過此啟動,您現在可以使用 AWS Control Tower 來搜尋和探索管理多帳戶環境所需的 AWS Config 規則;然後直接從 AWS Control Tower 啟用和管理控制項。

若要從 AWS Control Tower 主控台開始使用,請前往 Control Catalog,並使用實作篩選條件搜尋控制項 AWS Config。您可以直接從 AWS Control Tower 主控台啟用控制項。

如需詳細資訊,請參閱 AWS Control Tower 中可用的整合式 AWS Config 控制項

此次啟動後,我們更新了 ListControlsGetControl APIs,以支援三個新欄位:CreateTime嚴重性實作,您可以在 Control Catalog 中搜尋控制項時使用。例如,您現在可以以程式設計方式找到上次評估後建立的高嚴重性 AWS Config 規則。

您可以在可使用 AWS Control Tower 的所有 AWS 區域 中搜尋新 AWS Config 規則。若要部署規則,請參閱該規則 AWS 區域 支援的 清單,以查看可啟用該規則的位置。

取消註冊和刪除 OUs 的動作

2025 年 4 月 8 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower 現在支援個別主控台動作來取消註冊 OU 和刪除 OU。您必須先取消註冊 OU,才能將其刪除。您可以取消註冊 OU,從 AWS Control Tower 移除 OU。

如需詳細資訊,請參閱移除 OU

Control Catalog 支援 IPv6 地址

2025 年 4 月 2 日

(AWS Control Tower 登陸區域不需要更新。)

AWS Control Tower Control Catalog API 現在透過新的雙堆疊端點支援網際網路通訊協定第 6 版 (IPv6) 地址。支援 IPv4 的現有 Control Catalog 端點仍可回溯相容。新的雙堆疊網域可從網際網路或使用 AWS PrivateLink 從 Amazon Virtual Private Cloud (VPC) 中取得