Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Versionshinweise zu AWS Control Tower Versionshinweise Die folgenden Abschnitte enthalten Details zu den Versionen von AWS Control Tower seit der Einführung des Service. Einige Versionen erfordern ein Update für eine AWS Control Tower Tower-Landezone, und andere Versionen werden automatisch in den Service integriert. Funktionen und Versionen werden in umgekehrter chronologischer Reihenfolge (die neuesten zuerst) aufgeführt, basierend auf dem Datum, an dem sie der Öffentlichkeit offiziell angekündigt wurden. **Topics** + [ # Januar 2026 - Heute ](2026-all.md) + [ # Januar 2025 - Dezember 2025 ](2025-all.md) + [ # Januar — Dezember 2024 ](2024-all.md) + [ # Januar — Dezember 2023 ](2023-all.md) + [ # Januar — Dezember 2022 ](2022-all.md) + [ # Januar bis Dezember 2021 ](2021-all.md) + [ # Januar bis Dezember 2020 ](2020-all.md) + [ # Juni — Dezember 2019 ](2019-all.md) # Januar 2026 - Heute Seit Januar 2026 hat AWS Control Tower die folgenden Updates veröffentlicht: + [AWS Control Tower ist in der europäischen Sovereign Cloud verfügbar](#eusc-region) ## AWS Control Tower ist in der europäischen Sovereign Cloud verfügbar **13. Januar 2026** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower ist jetzt in der europäischen Sovereign Cloud verfügbar. Weitere Informationen zu AWS Control Tower in der europäischen Sovereign Cloud finden Sie im [AWS Control Tower Tower-Benutzerhandbuch für die europäische Sovereign Cloud](https://docs.aws.eu/esc/latest/userguide/controltower.html). # Januar 2025 - Dezember 2025 Seit Januar 2025 hat AWS Control Tower die folgenden Updates veröffentlicht: + [AWS-Control-Tower-Landezone, Version 4.0](#lz-40) + [AWS Control Tower erweitert Control Catalog um weitere 279 AWS Config Steuerelemente](#additional-config-controls) + [AWS Control Tower in der Region Asien-Pazifik (Neuseeland) verfügbar](#akl-region) + [AWS Control Tower unterstützt die automatische Kontoregistrierung](#auto-enroll) + [AWS Control Tower aktualisiert die Python-Version](#updated-python) + [AWS Control Tower unterstützt IPv6 Adressen](#ct-ipv6) + [AWS Control Tower reduziert Drift](#no-attached-scp-drift) [Account Factory für Terraform Version 1.15.0 verfügbar](#aft-1-15) + [Aktualisierte Steuerelemente mit Nitro-Instanztypen](#nitro-updates) + [AWS Control Tower in der Region Asien-Pazifik (Taipeh) verfügbar](#new-region-tpe) + [AWS Control Tower unterstützt PrivateLink](#ct-privatelink) + [Support für zusätzliche Branchen-Frameworks, aktualisierte Metadaten](#hg-1-5) + [Servicebezogene Steuerungen AWS Config](#managed-config-controls) + [Aktivierte Steuerungen, die Konsolenansicht sorgt für zentrale Transparenz](#enabled-controls-page) + [Account Factory for Terraform (AFT) unterstützt neue Konfigurationen bei der Bereitstellung](#aft-configurations) + [AWS Control Tower führt Berichte auf Kontoebene für Baseline ein APIs](#enabled-baseline-drift) + [AWS Control Tower ist in den Regionen AWS Asien-Pazifik (Thailand) und Mexiko (Mitte) verfügbar](#new-regions-bkk-qro) + [Zusätzliche AWS Config Steuerungen verfügbar](#new-config-controls) + [Aktionen zum Abmelden und Löschen von OUs](#deregister-and-delete) + [Control Catalog unterstützt Adressen IPv6](#ipv6) ## AWS-Control-Tower-Landezone, Version 4.0 **17. November 2025** (Für die AWS Control Tower landing zone ist ein Update auf Version 4.0 erforderlich. Weitere Informationen finden Sie unter[Aktualisiere deine landing zone](update-controltower.md)). Bei der AWS Control Tower landing zone 4.0 handelt es sich um ein umfangreiches Update, das ein flexibles Controls-Only-Erlebnis einführt und es Kunden ermöglicht, die Implementierung und Verwaltung ihrer AWS-Umgebung mit mehreren Konten individuell anzupassen. Diese Version ändert die Art und Weise, wie AWS Control Tower in AWS-Services integriert und organisatorische Ressourcen verwaltet, erheblich. Informationen zu den wichtigsten Änderungen finden Sie unter[Leitfaden zur Migration von Landing Zone v4.0](landing-zone-v4-migration-guide.md). **Die wichtigsten Änderungen und Funktionen** + Optionale Serviceintegrationen — Mit landing zone 4.0 können Sie wählen, welche Serviceintegrationen in Ihrer Umgebung aktiviert werden sollen. Durch das Deaktivieren einer Integration werden die von AWS Control Tower bereitgestellten Ressourcen, die für diese Integration spezifisch sind, in den verwalteten Konten und den zentralen Konten für die Serviceintegration bereinigt. Sie können nun Service-Integrationen selektiv aktivieren oder deaktivieren: + AWS Config + AWS CloudTrail + Rollen im Bereich Sicherheit + AWS Backup *Wichtig: Wenn Sie die AWS Config-Integration deaktivieren möchten, müssen Sie auch die Integrationen Security Roles, IAM Identity Center und AWS Backup deaktivieren.* + Dedizierte Ressourcen statt gemeinsam genutzter Ressourcen — landing zone 4.0 schafft jetzt dedizierte Ressourcen für wichtige Dienste. Diese Trennung ermöglicht eine bessere Ressourcenisolierung und eine detailliertere Kontrolle über dienstspezifische Ressourcen: + Separate S3-Buckets für AWS Config + Separate S3-Buckets für AWS CloudTrail + Individuelle SNS-Themen für jeden Service + Flexible Organisationsstruktur — landing zone 4.0 beseitigt frühere Anforderungen an die Organisationsstruktur: + Sie müssen keine Sicherheits-OU mehr verwenden + Sie können Ihre eigene Organisationsstruktur definieren + Die einzige Anforderung ist, dass sich alle Hub-Konten in derselben Organisationseinheit befinden müssen + Spezielles Steuerungserlebnis — Du kannst jetzt ein minimales Landezonen-Setup erstellen, das Folgendes beinhaltet: + Grundlegende Integration von AWS Organizations + Möglichkeit, Kontrollen zu aktivieren, ohne die `AWSControlTowerBaseline` Baseline zu aktivieren + Benutzerdefinierte Governance-Konfigurationen, die auf Ihre Bedürfnisse zugeschnitten sind + Änderungen an der AWS Config — Landing Zone 4.0 führt mehrere Verbesserungen an der Implementierung der AWS Config-Integration ein: + Eine neue Config Spoke Baseline speziell für Detective Controls + Serviceverknüpfter Config-Aggregator (SLCA) im Config-Hub-Konto + Ersatz herkömmlicher Organisations- und Kontoaggregatoren + Optionales Manifest: + Das Manifestfeld ist jetzt optional und ermöglicht Ihnen: + Erstellen Sie Landezonen ohne jegliche Serviceintegrationen + Mehr Flexibilität bei der Ersteinrichtung + Maßgeschneiderte Bereitstellungsoptionen ## AWS Control Tower erweitert Control Catalog um weitere 279 AWS Config Steuerelemente **14. November 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Der AWS Control Tower umfasst jetzt weitere 279 AWS Config Kontrollen als Teil des Control Catalog. Sie können die Steuerelemente in der AWS Control Tower Tower-Konsole und über die anzeigen APIs. Bestimmte Kontrollen stehen in Beziehung zu anderen Kontrollen. Diese Beziehungen werden auch in der AWS Control Tower Tower-Konsole und in der ausgedrückt APIs. Zu den Beziehungstypen gehören **ergänzende**, **sich gegenseitig ausschließende** Beziehungen und **alternative** Beziehungen. ## AWS Control Tower in der Region Asien-Pazifik (Neuseeland) verfügbar **28. Oktober 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower ist jetzt in der Region Asien-Pazifik (Neuseeland) verfügbar. Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie [AWS in der Regionentabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower unterstützt die automatische Kontoregistrierung **15. Oktober 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Für Kunden, die die AWS Control Tower landing zone Version 3.1 oder höher nutzen, ermöglicht AWS Control Tower jetzt die automatische Registrierung von Konten. OUs Wenn Sie sich für die automatische Registrierung von Konten entscheiden, wendet AWS Control Tower die aktivierten Basisressourcen und Kontrollen einer Organisationseinheit auf ein Konto an, wenn Sie es in eine neue Organisationseinheit verschieben. Kontrollen und Baselines aus der vorherigen Organisationseinheit werden entfernt. In den meisten Fällen wird durch diese Aktion keine Abweichung verursacht. **Um die automatische Registrierung zu aktivieren:** **Sie können die automatische Registrierung von Konten auf der Seite mit den **Landingzone-Einstellungen** in der AWS Control Tower-Konsole auswählen oder indem Sie den AWS Control Tower aufrufen `CreateLandingZone` oder `UpdateLandingZone` APIs, wobei der Wert des Parameters auf Inheritance Drift gesetzt ist. `RemediationType`** **So wenden Sie die automatische Registrierung an:** Nachdem Sie diese Option auf Ihrer **Einstellungsseite** ausgewählt haben, können Sie ein Konto über die AWS Organizations Konsole, die AWS Organizations `MoveAccount` API oder die AWS Control Tower Tower-Konsole verschieben. **So heben Sie die Registrierung eines Kontos mit automatischer Registrierung auf:** Wenn Sie ein Konto außerhalb einer registrierten Organisationseinheit verschieben, entfernt AWS Control Tower automatisch alle bereitgestellten Basisressourcen und Kontrollen. Weitere Informationen zur automatischen Registrierung finden Sie unter. [Konfigurieren Sie optional die automatische Registrierung für Konten](configure-auto-enroll.md) Diese Version enthält auch ein Update für eine verwaltete Richtlinie und eine neue verwaltete Richtlinie. Wir haben die aktualisiert [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//controltower/latest/userguide/managed-policies-table.html)und die neuen hinzugefügt [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com//controltower/latest/userguide/managed-policies-table.html). Wir haben den AWS Control Tower aktualisiert `CreateLandingZone` und `UpdateLandingZone` APIs einen neuen hinzugefügt`RemediationType`, genannt`Inheritance Drift`. ## AWS Control Tower aktualisiert die Python-Version **3. September 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Python-Version 3.9 ist veraltet. AWS Control Tower hat die Python-Versionen in Ihren AWS Control Tower Tower-Umgebungen aktualisiert. Es sind keine Aktionen erforderlich, und dieses Update hat keine Auswirkungen auf Ihre vorhandenen Workloads. ## AWS Control Tower reduziert Drift **20. August 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat die Funktionalität von Service Control Policy (SCP) Drift aktualisiert. Mit dieser Version werden zwei Arten von Governance-Abweichungen direkt von AWS Control Tower behandelt und verursachen keine Drifts mehr in Ihrer Umgebung. **Zwei Arten von Abweichungen in der Unternehmensführung wurden behoben** + **SCP ist an eine verwaltete Organisationseinheit angehängt** — Diese Art von Abweichung trat auf, wenn ein SCP für eine Steuerung an eine andere Organisationseinheit angehängt wurde. Dieses Ereignis trat besonders häufig auf, wenn Sie OUs von außerhalb der AWS Control Tower Tower-Konsole aus aktualisierten. + **SCP mit Mitgliedskonto verknüpft** — Diese Art von Abweichung trat häufig auf, wenn ein SCP für eine Kontrolle von außerhalb der AWS Control Tower Tower-Konsole mit einem Konto verknüpft wurde. Weitere Informationen zu Drift finden Sie unter [Drift erkennen und beheben in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html). ## AWS Control Tower unterstützt IPv6 Adressen **18. August 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Die AWS Control Tower API unterstützt jetzt Internetprotokolladressen der Version 6 (IPv6) über unsere neuen Dual-Stack-Endpunkte. Die Unterstützung vorhandener Endgeräte IPv4 bleibt aus Gründen der Abwärtskompatibilität weiterhin verfügbar. *Die neuen Dual-Stack-Domains sind entweder [über das Internet](https://docs.aws.amazon.com/general/latest/gr/controlcatalog.html) oder [über eine Amazon Virtual Private Cloud (VPC)](https://docs.aws.amazon.com/controlcatalog/latest/userguide/vpc-interface-endpoints.html) verfügbar. [AWS PrivateLink](https://aws.amazon.com/privatelink/)* ## Account Factory für Terraform Version 1.15.0 verfügbar **28. Juli 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Version 1.15.0 von AWS Control Tower Account Factory for Terraform (AFT) ist verfügbar. [Weitere Informationen finden Sie im AFT-Repository. GitHub ](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases/tag/1.15.0) ## Aktualisierte Steuerelemente mit Nitro-Instanztypen **24. Juli 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat die acht proaktiven Kontrollen im Control Catalog (früher Control Library genannt) aktualisiert, die die Amazon EC2 EC2-Instance-Typen durchsetzen. *Mit diesem Update können Sie einige neue Nitro-Instance-Typen instanziieren und einige veraltete Instance-Typen der U-Serie entfernen.* **Aktualisierte Steuerelemente** + [https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-10-description](https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-10-description) + [https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-11-description](https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-11-description) + [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-15-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-15-description) + [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-16-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-16-description) + [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-17-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-17-description) + [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-18-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-18-description) + [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-19-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-19-description) + [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-20-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-20-description) **Neue Instanztypen verfügbar** + `c8gd` + `c8gn` + `i7i` + `m8gd` + `p6-b200` + `r8gd` **Instanztypen wurden entfernt** + `u-12tb1` + `u-18tb1` + `u-24tb1` + `u-9tb1` Die aktualisierten Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower in der Region Asien-Pazifik (Taipeh) verfügbar **23. Juli 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower ist jetzt in der Region Asien-Pazifik (Taipeh) verfügbar: Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie [AWS in der Regionentabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower unterstützt PrivateLink **30. Juni 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt [AWS PrivateLink](https://aws.amazon.com/privatelink/)**. Sie können AWS Control Tower und Control Catalog APIs von Ihrer Amazon Virtual Private Cloud (VPC) aus aufrufen, ohne das öffentliche Internet zu nutzen. AWS PrivateLink bietet private Konnektivität zwischen virtuellen privaten Clouds (VPCs), unterstützten Services und Ressourcen und Ihren lokalen Netzwerken. AWS PrivateLink Unterstützung für AWS Control Tower ist überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. ## Support für zusätzliche Branchen-Frameworks, aktualisierte Metadaten **12. Juni 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Mit dieser Version wird AWS Control Tower um Unterstützung für 10 Branchen-Frameworks erweitert. Eine Liste der Frameworks finden Sie unter [Unterstützte Frameworks](https://docs.aws.amazon.com//controltower/latest/controlreference/frameworks-supported.html). Sie können beispielsweise beginnen, indem Sie zur Control Catalog-Seite in der AWS Control Tower Tower-Konsole navigieren und nach einem Framework wie **PCI-DSS-v4.0** suchen, um alle Steuerungen zu diesem Framework anzuzeigen. Oder Sie können Kontrollen und Frameworks programmgesteuert untersuchen, indem Sie die neue API aufrufen. [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControlMappings.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControlMappings.html) Die mit Steuerelementen verknüpften Metadatendefinitionen ändern sich, um diese zusätzlichen Branchen-Frameworks besser zu unterstützen. Die Änderungen an den Metadaten können sich auf die Art und Weise auswirken, wie Sie Kontrollen im Hinblick auf ihre Aktivierung auswerten. Beispielsweise haben sich die Werte für NIST-, PCI- und CIS-Metadaten möglicherweise geändert. Wir empfehlen Ihnen, die *Zuordnungen für Ihre aktivierten Steuerelemente auf der* Seite mit den **Kontrolldetails in der Konsole** zu überprüfen. In der Konsole und der API haben wir drei neue Metadatenfelder eingeführt. Zusammengenommen beschreiben diese Felder eine Hierarchie, anhand derer Sie leichter verstehen, wie Sie Steuerelemente kategorisieren und aktivieren können. Die Felder lauten: **Domäne**, **Ziel** und [https://docs.aws.amazon.com//controltower/latest/controlreference/common-controls-list.html](https://docs.aws.amazon.com//controltower/latest/controlreference/common-controls-list.html). Wir haben unsere [Kontrollziele](https://docs.aws.amazon.com/controltower/latest/controlreference/control-catalog-objectives.html) neu definiert, um sie besser an das breitere Spektrum der verfügbaren Branchenrahmen anzupassen. Weitere Informationen zu dieser Hierarchie finden Sie im Überblick über die [Ontologie](https://docs.aws.amazon.com/controlcatalog/latest/userguide/ontology-overview.html). + Diese Änderungen an den Metadaten spiegeln sich in der AWS Control Tower-Konsole wider, und das Konsolenerlebnis ist auf dem gesamten AWS Control Tower und den AWS Config Konsolen einheitlich. + Um Kontrollinformationen in der AWS Control Tower Tower-Konsole anzuzeigen, müssen Sie Ihren IAM-Richtlinien zusätzliche `controlcatalog` Berechtigungen hinzufügen. Weitere Informationen finden Sie unter [Erforderliche Berechtigungen für die Nutzung der AWS Control Tower Tower-Konsole](https://docs.aws.amazon.com/controltower/latest/userguide/additional-console-required-permissions.html). + Für jedes Steuerelement gibt es jetzt ein neues Feld namens`GovernedResources`, das die Ressourcentypen anzeigt, für die das Steuerelement zuständig ist. In einigen Fällen zeigt dieses Feld das Dienstpräfix für die Ressourcen an, in anderen Fällen kann es leer sein. Weitere Informationen erhalten Sie unter [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) und [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html). In dieser Version haben wir die *Controls Library* aus Gründen der Konsistenz mit anderen Terminologien in *Control Catalog* umbenannt. ## Servicebezogene Steuerungen AWS Config **12. Juni 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower kündigt Unterstützung für die AWS Control Tower Detective Controls an, die als servicebasierte AWS Config Regeln bereitgestellt werden sollen. Mit dieser Version stellt AWS Control Tower nun serviceverknüpfte Config-Regeln direkt in Ihren registrierten Konten bereit und ersetzt damit die vorherige Bereitstellungsmethode durch AWS CloudFormation Stack-Sets. Diese Änderung verbessert die Bereitstellungsgeschwindigkeit erheblich. Außerdem tragen diese dienstbezogenen Config-Regeln dazu bei, eine konsistente Verwaltung Ihrer Ressourcen sicherzustellen, da sie unbeabsichtigte Konfigurationsabweichungen verhindern, die durch manuelle Änderungen an CloudFormation Stack-Sets oder Config-Regeln verursacht werden könnten. **Künftig werden alle durch AWS Config Regeln implementierten AWS Control Tower Tower-Kontrollen mit diesem Mechanismus bereitgestellt, der direkt die aufruft AWS Config APIs.** **Wichtig** Bevor Sie servicebasierte Config-Regeln übernehmen, überprüfen Sie die bestehenden Anpassungen, wie z. B. Korrekturen, die Sie an Config-Regeln außerhalb von AWS Control Tower vorgenommen haben, da diese Anpassungen während der Umstellung entfernt werden. Sie unterstützen AWS Config APIs nicht das Hinzufügen von Behebungskonfigurationen für serviceverknüpfte Regeln. AWS Config Siehe [https://docs.aws.amazon.com/config/latest/APIReference/API_PutRemediationConfigurations.html](https://docs.aws.amazon.com/config/latest/APIReference/API_PutRemediationConfigurations.html). **Einzelheiten und erforderliche Maßnahmen** + Wenn Sie Ihre landing zone **aktualisieren** oder **zurücksetzen**, aktualisiert AWS Control Tower die **obligatorischen** Kontrollen, die die Sicherheits-OU regeln. Um das Upgrade abzuschließen, müssen Sie außerdem alle Detective Controls, die mit AWS Config Regeln implementiert wurden, **zurücksetzen** oder die Organisationseinheit **erneut registrieren**. + Der volle Umfang dieses Upgrades gilt für Sie, wenn Ihre AWS Control Tower landing zone Zone-Version 3.2 oder höher ist. Wenn Sie dieses Update anwenden, werden Ihre vorhandenen AWS Config Regeln zusammen mit der neuen Bereitstellungsmethode in vom Service verwaltete Konfigurationsregeln geändert. + Wenn Ihre landing zone Version 3.1 oder niedriger ist, werden alle neuen Config-Regeln mit der neuen Methode bereitgestellt, nicht mehr mit Stack-Sets. Ihre bestehenden Config-Regeln werden NICHT aktualisiert, sodass sie zu service-verwalteten Config-Regeln werden. Sie werden weiterhin vom Standardtyp sein. + Sie können serviceverknüpfte Konfigurationsregeln anhand ihres Ressourcen-ARN identifizieren, der die folgende Form hat: ``` arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/* ``` Die beabsichtigte Funktionalität von Steuerelementen, wenn sie durch dienstbezogene AWS Config Regeln implementiert werden, hat sich nicht geändert. Die detektiven, servicebezogenen Konfigurationsregeln in AWS Control Tower können nicht konforme Ressourcen in Ihren Konten identifizieren, z. B. Richtlinienverstöße, und über das Dashboard Warnmeldungen ausgeben. Um die Konsistenz zu wahren, Konfigurationsabweichungen zu verhindern und Ihre allgemeine Benutzererfahrung zu vereinfachen, können diese Regeln jetzt nur noch über AWS Control Tower geändert werden. Im Rahmen dieser Version haben wir der Richtlinie für die serviceverknüpfte Rolle (SLR) vier neue Berechtigungen hinzugefügt [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSServiceRoleForAWSControlTower](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSServiceRoleForAWSControlTower), sodass Sie serviceverknüpfte AWS Config Regeln für Ihre registrierten Konten aktivieren und deaktivieren können. ``` config:DescribeConfigRules config:TagResource config:PutConfigRule config:DeleteConfigRule ``` ## Aktivierte Steuerungen, die Konsolenansicht sorgt für zentrale Transparenz **21. Mai 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat eine neue Seite in der Konsole hinzugefügt, auf der alle Ihre aktivierten Steuerelemente in einer einzigen, zentralen Ansicht angezeigt werden. Bisher waren Kontrollen nur mit dem Konto oder der Organisationseinheit sichtbar, für das sie aktiviert waren. Die konsolidierte Ansicht erleichtert es Ihnen, Lücken in Ihrer Kontrollverwaltung im großen Maßstab zu identifizieren. Auf der Seite **Aktivierte Steuerelemente** können Sie die Steuerelemente nach ihrem Verhalten filtern: Präventiv, Detective oder Proaktiv. Sie können auch nach der Implementierung der Steuerung filtern, z. B. nach SCP. Für jedes Steuerelement können Sie sehen, für wie OUs viele dieses Steuerelement aktiviert ist. Um die Seite **Enabled Controls** aufzurufen, navigieren Sie zum Abschnitt **Controls** in der AWS Control Tower Tower-Konsole. ## Account Factory for Terraform (AFT) unterstützt neue Konfigurationen bei der Bereitstellung **13. Mai 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Das AWS Control Tower Tower-Framework zur Kontoanpassung, Account Factory for Terraform (AFT), unterstützt jetzt drei zusätzliche optionale Konfigurationen zum Zeitpunkt der Bereitstellung. Sie können AFT in einer benutzerdefinierten Virtual Private Cloud (VPC) bereitstellen, den Terraform-Projektnamen für Ihre AFT-Bereitstellung angeben und die von AFT erstellten Ressourcen taggen. Weitere Informationen finden Sie unter [Bereitstellen von AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html). ## AWS Control Tower führt Berichte auf Kontoebene für Baseline ein APIs **12. Mai 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Sie können jetzt den Status der *Drift* - und *Kontoanmeldungen* für Ihre verwalteten Konten programmgesteuert einsehen, indem Sie die Baseline aufrufen. APIs Mit dieser Funktion können Sie feststellen, wann die Basiskonfigurationen von Konten und Organisationseinheiten verändert oder nicht mehr *synchron sind.* Um den Drift-Status programmgesteuert anzuzeigen, können Sie die [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html)API für Ihre aktivierten Baselines aufrufen. Verwenden Sie das Flag, um den Status einzelner Konten programmgesteuert mit der API anzuzeigen. `ListEnabledBaselines` `includeChildren` Sie können nach diesen Status filtern und nur die Konten sehen, die Ihre Aufmerksamkeit erfordern OUs . Darin [https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types)werden Best-Practice-Konfigurationen, Kontrollen und Ressourcen eingerichtet, die für die Verwaltung erforderlich sind. Wenn Sie diese Baseline für eine Organisationseinheit (OU) aktivieren, werden Mitgliedskonten innerhalb der OU automatisch bei AWS Control Tower registriert. Die Grundausstattung von AWS Control Tower APIs umfasst CloudFormation Support, mit dem Sie Automatisierungen erstellen können, die Ihre Konten OUs und Konten mit Infrastructure as Code (IaC) verwalten. Weitere Informationen dazu finden Sie unter APIs [Baselines](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html) im *AWS Control Tower Tower-Benutzerhandbuch*. Die grundlegenden APIs und neu eingeführten Berichtsfunktionen für *Drift* und *Kontoanmeldungsstatus* sind überall verfügbar, AWS-Regionen wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower ist in den Regionen AWS Asien-Pazifik (Thailand) und Mexiko (Mitte) verfügbar **9. Mai 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower ist jetzt in den folgenden AWS Regionen verfügbar: + Asien-Pazifik (Thailand) + Mexiko (Zentral) Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie [AWS in der Regionentabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## Zusätzliche AWS Config Steuerungen verfügbar **11. April 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt 223 zusätzliche verwaltete AWS Config Regeln für verschiedene Anwendungsfälle wie Sicherheit, Kosten, Haltbarkeit und Betrieb. Mit dieser Markteinführung können Sie jetzt AWS Control Tower verwenden, um die AWS Config Regeln zu suchen und zu ermitteln, die Sie für die Steuerung Ihrer Umgebung mit mehreren Konten benötigen. Anschließend können Sie die Kontrollen direkt von AWS Control Tower aus aktivieren und verwalten. Um von der AWS Control Tower Tower-Konsole aus zu beginnen, rufen Sie den Kontrollkatalog auf und suchen Sie mit dem Implementierungsfilter nach Kontrollen AWS Config. Sie können die Steuerungen direkt von der AWS Control Tower Tower-Konsole aus aktivieren. Weitere Informationen finden Sie unter [Integrierte AWS Config Steuerungen, die in AWS Control Tower verfügbar sind](https://docs.aws.amazon.com/controltower/latest/controlreference/config-controls.html). Mit dieser Markteinführung haben wir das `ListControls` und aktualisiert, `GetControl` APIs um drei neue Felder zu unterstützen: **CreateTime****Schweregrad** und **Implementierung**, die Sie verwenden können, wenn Sie im Control Catalog nach einem Steuerelement suchen. Beispielsweise können Sie jetzt programmgesteuert nach AWS Config Regeln mit hohem Schweregrad suchen, die nach Ihrer letzten Evaluierung erstellt wurden. Sie können überall dort, AWS-Regionen wo AWS Control Tower verfügbar ist, nach den neuen AWS Config Regeln suchen. Informationen zur Bereitstellung einer Regel finden Sie in der Liste der AWS-Regionen für diese Regel unterstützten Regeln, um zu erfahren, wo sie aktiviert werden kann. ## Aktionen zum Abmelden und Löschen von OUs **8. April 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt separate Konsolenaktionen zum Abmelden einer OU und zum Löschen einer OU. Sie müssen die OU deregistrieren, bevor Sie sie löschen können. Sie können eine Organisationseinheit aus AWS Control Tower entfernen, indem Sie sie abmelden. Weitere Informationen finden Sie unter [Eine Organisationseinheit entfernen](remove-ou.md). ## Control Catalog unterstützt Adressen IPv6 **2. April 2025** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Die AWS Control Tower Control Catalog API unterstützt jetzt Internetprotokolladressen der Version 6 (IPv6) über unsere neuen Dual-Stack-Endpunkte. Die Unterstützung der bestehenden Control Catalog-Endpunkte IPv4 bleibt aus Gründen der Abwärtskompatibilität weiterhin verfügbar. *Die neuen Dual-Stack-Domains sind entweder [über das Internet](https://docs.aws.amazon.com/general/latest/gr/controlcatalog.html) oder [über eine Amazon Virtual Private Cloud (VPC)](https://docs.aws.amazon.com/controlcatalog/latest/userguide/vpc-interface-endpoints.html) verfügbar. [AWS PrivateLink](https://aws.amazon.com/privatelink/)* # Januar — Dezember 2024 Im Jahr 2024 veröffentlichte AWS Control Tower die folgenden Updates: + [AWS Control Tower CfCT unterstützt GitHub und RCPs](#cfct-github-support) + [AWS Control Tower fügt präventive Kontrollen mit deklarativen Richtlinien hinzu](#declarative-policies) + [AWS Control Tower fügt präskriptive Optionen für Sicherungspläne hinzu](#aws-backup) + [AWS Control Tower integriert AWS Config Steuerungen](#config-controls) + [AWS Control Tower verbessert das Hook-Management und fügt proaktive Kontrollregionen hinzu](#hook-management) + [AWS Control Tower führt Richtlinien zur verwalteten Ressourcenkontrolle ein](#rcp-controls) + [AWS Control Tower meldet Abweichungen bei den Kontrollrichtlinien](#policy-drift) + [Neue `ResetEnabledControl` API](#reset-enabled-control-api) + [Steuern Sie die API für Katalogaktualisierungen `GetControl`](#getcontrol-api-update) + [AWS Control Tower AFT unterstützt GitLab](#aft-gitlab-support) + [AWS Control Tower in der Region AWS Asien-Pazifik (Malaysia) verfügbar](#kul-region) + [AWS Control Tower unterstützt bis zu 1000 Konten pro Organisationseinheit](#1000-accounts) + [AWS Control Tower fügt eine Versionsauswahl für landing zone hinzu](#lz-version-select) + [Beschreibende Kontroll-API verfügbar, erweiterter Zugriff auf Regionen und Steuerelemente](#get-and-list-controls) + [AWS Control Tower unterstützt AFT und cFCT in Opt-in-Regionen](#aft-cfct-regions) + [AWS Control Tower fügt die `ListLandingZoneOperations` API hinzu](#lz-operations-api) + [AWS Control Tower unterstützt bis zu 100 gleichzeitige Kontrollvorgänge](#multiple-controls) + [AWS Control Tower in AWS Kanada West (Calgary) verfügbar](#yyc-available) + [AWS Control Tower unterstützt Self-Service-Kontingentanpassungen](#service-quotas) + [AWS Control Tower veröffentlicht den *Controls Reference Guide*](#controls-reference-guide) + [AWS Control Tower aktualisiert zwei proaktive Kontrollen und benennt sie um](#update-2-proactive-controls) + [Veraltete Steuerelemente sind nicht mehr verfügbar](#deprecated-controls) + [AWS Control Tower unterstützt das Taggen von `EnabledControl` Ressourcen in CloudFormation](#cfn-tagging) + [AWS Control Tower unterstützt die APIs Registrierung und Konfiguration von Organisationseinheiten mit Baselines](#baseline-apis) ## AWS Control Tower CfCT unterstützt GitHub und RCPs **9. Dezember 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt GitHub TM jetzt als Option für ein Versionskontrollsystem (VCS) eines Drittanbieters und als Konfigurationsquelle für Anpassungen für AWS Control Tower (CFCT). Weitere Informationen finden Sie unter [GitHub Als Konfigurationsquelle einrichten](cfct-github-configuration-source.md). AWS Control Tower unterstützt jetzt Resource Control Policies (RCPs) für Anpassungen für AWS Control Tower (CFCT). Weitere Informationen finden Sie unter [Leitfaden zur cFcT-Anpassung](cfct-customizations-dev-guide.md). ## AWS Control Tower fügt präventive Kontrollen mit deklarativen Richtlinien hinzu **1. Dezember 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt präventive Kontrollen, die durch deklarative Richtlinien von AWS Organizations implementiert werden. Deklarative Richtlinien werden direkt auf Service-Ebene angewendet. Dieser Ansatz stellt sicher, dass die angegebene Konfiguration auch dann durchgesetzt wird, wenn neue Funktionen oder Funktionen durch den Dienst eingeführt werden. APIs [Weitere Informationen finden Sie unter Mit deklarativen Richtlinien implementierte Kontrollen.](https://docs.aws.amazon.com//controltower/latest/controlreference/declarative-controls.html) ## AWS Control Tower fügt präskriptive Optionen für Sicherungspläne hinzu **25. November 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt verbindliche AWS Backup Pläne, mit denen Sie einen Datensicherungs- und Wiederherstellungs-Workflow direkt in Ihre landing zone integrieren können. Der Backup-Plan umfasst vordefinierte Regeln wie Aufbewahrungstage, Sicherungshäufigkeit und das Zeitfenster, in dem die Sicherung erfolgt. Diese Regeln definieren, wie Sie Ihre AWS Ressourcen auf all Ihren verwalteten Mitgliedskonten sichern. Wenn Sie einen Backup-Plan für die landing zone anwenden, stellt AWS Control Tower sicher, dass der Plan für alle Mitgliedskonten einheitlich ist und den Best-Practice-Empfehlungen von AWS Backup entspricht. Weitere Informationen finden Sie unter [AWS Backup und AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/backup.html). ## AWS Control Tower integriert AWS Config Steuerungen **21. November 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat ausgewählte AWS Config Kontrollen integriert, sodass sie von AWS Control Tower angezeigt und verwaltet werden können. Weitere Informationen finden Sie unter [Integrierte AWS Config Steuerungen, die in AWS Control Tower verfügbar sind](https://docs.aws.amazon.com//controltower/latest/controlreference/config-controls.html) ## AWS Control Tower verbessert das Hook-Management und fügt proaktive Kontrollregionen hinzu **20. November 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Mit dieser Version können Sie die volle Kapazität von CloudFormation Hooks ohne Einschränkungen durch AWS Control Tower nutzen. Außerdem sind proaktive Kontrollen in den Regionen Kanada West (Calgary) und Asien-Pazifik (Malaysia) verfügbar. Bisher mussten alle CloudFormation Hooks in Ihrer Umgebung durch das **CT.CLOUDFORMATION.PR.1-Steuerelement** geschützt werden, sodass nur AWS Control Tower sie ändern konnte. Mit dieser Version können Sie CloudFormation Hooks bereitstellen und diese Hooks ohne die Einschränkungen ändern, die zuvor für den AWS Control Tower Tower-Service erforderlich waren. Wenn Sie derzeit proaktive Kontrollen einsetzen, können Sie zu dieser verbesserten Hook-Funktionalität übergehen. Um alle proaktiven Kontrollen in einer Organisationseinheit zurückzusetzen, setzen Sie jede einzelne proaktive Steuerung zurück, die in dieser Organisationseinheit aktiv ist. Sie können den Reset durchführen, indem Sie die `ResetEnabledControl` API aufrufen oder die Steuerung über die Konsole mit der **Reset-Funktion** aktualisieren. Wenn Sie diese Reset-Aufgabe für eine proaktive Steuerung abgeschlossen haben, verschiebt AWS Control Tower alle proaktiven Kontroll-Hooks auf der Organisationseinheit auf die neue Funktion. Wiederholen Sie diesen Vorgang für jede Organisationseinheit, die proaktive Kontrollen einsetzt. Nachdem Sie eine proaktive Steuerung zurückgesetzt haben, entfernen Sie die **CT.CLOUDFORMATION.PR.1-Steuerung auf** Ihrem AWS Control Tower OUs, sofern Sie diese Steuerung nicht für einen anderen Zweck aktiviert haben. Wenn Sie das **CT.CLOUDFORMATION.PR.1-Steuerelement nicht ausschalten, können Sie Ihre anderen Hooks** nicht erstellen und ändern. CloudFormation [Weitere Informationen finden Sie unter Proaktive Control-Hooks aktualisieren.](https://docs.aws.amazon.com//controltower/latest/controlreference/get-new-hooks.html) ## AWS Control Tower führt Richtlinien zur verwalteten Ressourcenkontrolle ein **15. November 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower bietet eine neue Art der präventiven Kontrolle, die mit Richtlinien zur Ressourcenkontrolle (RCPs) implementiert wird. Diese Kontrollen helfen Ihnen dabei, einen Datenperimeter in Ihrer AWS Control Tower Tower-Umgebung einzurichten, um Ihre Ressourcen vor unbeabsichtigtem Zugriff zu schützen. Sie können beispielsweise RCP-basierte Steuerungen für Amazon S3,, AWS -Security-Token-Service AWS Key Management Service, Amazon SQS und Services aktivieren. AWS Secrets Manager Eine RCP-basierte Steuerung kann unabhängig von den Berechtigungen, die für einzelne Bucket-Richtlinien gewährt wurden, eine Anforderung wie „Erfordern, dass die Amazon S3 S3-Ressourcen der Organisation nur für IAM-Prinzipale, die zur Organisation gehören, oder für einen AWS Service zugänglich sind“ durchsetzen. Sie können die neuen RCP-basierten Kontrollen und bestimmte bestehende SCP-basierte präventive Kontrollen so konfigurieren, dass IAM-Ausnahmen für Prinzipale und Ressourcen festgelegt werden. AWS Wenn Sie nicht möchten, dass ein Hauptbenutzer oder eine Ressource der Kontrolle unterliegt, können Sie eine Ausnahme konfigurieren. Durch die Kombination von präventiven, proaktiven und detektiven Kontrollen in AWS Control Tower können Sie überwachen, ob Ihre AWS Umgebung mit mehreren Konten sicher ist und gemäß bewährten Methoden wie dem Standard „[AWS Foundational Security Best Practices](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp.html)“ verwaltet wird. Diese neuen RCP-basierten präventiven Kontrollen sind dort verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine vollständige Liste der verfügbaren AWS-Regionen Standorte von AWS Control Tower finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower meldet Abweichungen bei den Kontrollrichtlinien **15. November 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower meldet jetzt Abweichungen von Kontrollrichtlinien für Kontrollen, die mit Ressourcenkontrollrichtlinien (RCPs) implementiert wurden, und für Kontrollen, die Teil des **Security Hub CSPM Service-Managed Standard sind: AWS** Control Tower. Diese Art von Abweichung kann durch die neue API behoben werden. `ResetEnabledControl` Weitere Informationen finden Sie unter [Arten von Abweichungen in der Unternehmensführung.](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html) ## Neue `ResetEnabledControl` API **14. November 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower kündigt eine neue API an, mit der Sie Kontrollabweichungen programmgesteuert verwalten können. Sie können Regelabweichungen beheben und eine Steuerung auf die vorgesehene Konfiguration zurücksetzen. Die `ResetEnabledControl` API funktioniert mit optionalen AWS Control Tower Tower-Steuerungen, einschließlich **stark empfohlener** und **elektiver** Kontrollen. **Ausnahmen kontrollieren** + Steuerungen, die mit Dienststeuerungsrichtlinien (SCPs) implementiert wurden, können mit dieser API nicht zurückgesetzt werden. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html). + Obligatorische Kontrollen können nicht zurückgesetzt werden, da sie die Ressourcen von AWS Control Tower schützen. + Die **Regionsverweigerungssteuerung** für die landing zone muss über die Konsole zurückgesetzt werden. Kontrollabweichungen treten auf, wenn eine AWS Control Tower-Steuerung außerhalb von AWS Control Tower geändert wird, beispielsweise von der AWS Organizations Konsole aus. Durch die Behebung von Abweichungen können Sie sicherstellen, dass Sie die Governance-Anforderungen einhalten. ## Steuern Sie die API für Katalogaktualisierungen `GetControl` **8. November 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt eine aktualisierte `GetControl` API, die zwei neue Felder enthält: `Implementation` Typen für alle Steuerelemente und `Parameters` für bestimmte Steuerelemente, die konfiguriert werden können. Die `GetControl` API ist Teil des `controlcatalog` Namespace von AWS Control Tower. Weitere Informationen zur [`GetControl`API](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) finden Sie in der *Control Catalog API-Referenz.* **Diese Version enthält entsprechende Änderungen, die in der AWS Control Tower Tower-Konsole angezeigt werden.** + Bei allen vorhandenen AWS Security Hub CSPM Kontrollen wurde der `Implementation` Parameterwert von AWS Config Regel zu geändert AWS Security Hub CSPM. Das entsprechende Hilfefenster der Konsole wurde geändert, um diese Änderung widerzuspiegeln. + Bei allen vorhandenen Hook-Steuerelementen wurde der `Implementation` Parameterwert von CloudFormation Guard-Regel zu CloudFormation Hook geändert. Das entsprechende Hilfefenster der Konsole wurde geändert, um diese Änderung widerzuspiegeln. ## AWS Control Tower AFT unterstützt GitLab **23. Oktober 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt GitLab TM und GitLab Self-managed als Optionen für ein Versionskontrollsystem (VCS) eines Drittanbieters und als Konfigurationsquelle für Account Factory for Terraform (AFT). ## AWS Control Tower in der Region AWS Asien-Pazifik (Malaysia) verfügbar **21. Oktober 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower ist in der Region AWS Asien-Pazifik (Malaysia) verfügbar. Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie [AWS in der Regionentabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower unterstützt bis zu 1000 Konten pro Organisationseinheit **30. August 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat die maximal zulässige Anzahl von Konten pro Organisationseinheit (OU) von 300 auf 1000 erhöht. Jetzt können Sie bis AWS-Konten zu 1000 gleichzeitig für AWS Control Tower Governance registrieren, ohne Ihre Organisationsstruktur zu ändern. Die OU-Registrierungs- und Neuregistrierungsprozesse sind ebenfalls effizienter und erfordern deutlich weniger Zeit für die Bereitstellung von AWS Control Tower Tower-Basisressourcen für Ihre Konten. Aufgrund der begrenzten Anzahl der verfügbaren CloudFormation Stack-Sets gelten weiterhin einige Kontobeschränkungen. Insbesondere kann die maximale Anzahl von Konten, die Sie in einer Organisationseinheit registrieren können, je nachdem, wie viele Regionen Sie verwalten, unterschiedlich sein. Weitere Informationen finden Sie unter [Einschränkungen basierend auf den zugrunde liegenden AWS Services](https://docs.aws.amazon.com//controltower/latest/userguide/region-stackset-limitations.html) im [https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html](https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html). Eine vollständige Liste der verfügbaren AWS-Regionen Standorte von AWS Control Tower finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower fügt eine Versionsauswahl für landing zone hinzu **15. August 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Wenn Sie die AWS Control Tower landing zone Version 3.1 und höher verwenden, können Sie Ihre landing zone auf der aktuellen Version aktualisieren oder reparieren, oder Sie können ein Upgrade auf eine Version Ihrer Wahl durchführen. Bisher war für jedes Update oder jede Reparatur der landing zone ein Upgrade auf die neueste Landezonenversion erforderlich. Mit der Auswahl der Landingzone-Version haben Sie mehr Flexibilität bei der Planung von Versionsupgrades, während Sie mögliche Änderungen an Ihrer Umgebung evaluieren. Sie müssen sich nicht entscheiden, ob Sie Drift reparieren, um die Vorschriften einzuhalten, Ihre Landezonenkonfigurationen aktualisieren oder auf die neueste Landezonenversion aktualisieren möchten. Wenn Sie Landing Zone Version 3.1 oder höher verwenden, können Sie wählen, ob Sie bei der aktuellen Version bleiben oder auf eine neuere Version aktualisieren möchten, wenn Sie Ihre landing zone Zone-Konfigurationen aktualisieren oder zurücksetzen. ## Beschreibende Kontroll-API verfügbar, erweiterter Zugriff auf Regionen und Steuerelemente **6. August 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat zwei neue API-Operationen hinzugefügt, mit denen Sie programmgesteuert weitere Informationen zu verfügbaren Steuerungen finden können. Diese Funktionalität erleichtert die Bereitstellung automatisierter Steuerungen. + Die [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)API gibt Details zu einem aktivierten Steuerelement zurück, darunter die Ziel-ID, eine Zusammenfassung der Steuerinformationen, eine Liste der Zielregionen und den Drift-Status. + Die [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html)API gibt eine paginierte Liste aller verfügbaren Steuerelemente in der AWS Control Tower Tower-Steuerelementbibliothek zurück. Diese APIs werden über den [AWS Control Catalog-Namespace](https://docs.aws.amazon.com//controlcatalog/latest/userguide/what-is-controlcatalog.html) erreicht. Der AWS Control Catalog ist Teil von AWS Control Tower und umfasst Steuerungen, mit denen Sie andere AWS Services verwalten können, nicht nur AWS Control Tower. Dieser erweiterte Katalog konsolidiert die Kontrollen verschiedener AWS Services, sodass Sie die AWS Kontrollen anhand einiger gängiger Anwendungsfälle wie Sicherheit, Kosten, Haltbarkeit und Betrieb anzeigen können. Weitere Informationen finden Sie in [der Control Catalog API-Referenz.](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/Welcome.html) **Erweiterte Verfügbarkeit in der Region** Ab dieser Version können Sie die AWS Control Tower Tower-Governance auf Bereiche ausdehnen, in AWS-Regionen denen einige Ihrer (bereits) aktivierten Kontrollen nicht verfügbar sind. Außerdem können Sie jetzt bestimmte Kontrollen in mehr Regionen aktivieren, auch wenn die Steuerung nicht in allen von Ihnen verwalteten Regionen unterstützt wird. Bisher hat AWS Control Tower Sie daran gehindert, die Steuerung auf Regionen auszudehnen oder Kontrollen zu aktivieren, obwohl es nicht für Konsistenz in all Ihren aktivierten Kontrollen und verwalteten Regionen gesorgt hat. Mit dieser Version haben Sie mehr Flexibilität und mehr Verantwortung, um sicherzustellen, dass Ihre Konfiguration für alle aktivierten Kontrollen und alle kontrollierten Regionen korrekt ist. Die [AWS Control Tower Tower-Steuerung APIs](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html) und der [Kontrollkatalog APIs](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/Welcome.html) können Ihnen dabei helfen, Informationen über die AWS Regionen zu erhalten, in denen Sie durch aktivierte Kontrollen geschützt sind, und über die Regionen, in denen zusätzliche Kontrollen eingesetzt werden können. Regions- und Kontrollinformationen sind auch in der AWS Control Tower Tower-Konsole verfügbar. ## AWS Control Tower unterstützt AFT und cFCT in Opt-in-Regionen **18. Juli 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Heute sind die AWS Control Tower-Anpassungsframeworks Account Factory for Terraform (AFT) und Customizations for AWS Control Tower (cFCT) in fünf weiteren Ländern verfügbar AWS-Regionen: Asien-Pazifik (Hyderabad, Jakarta und Osaka), Israel (Tel Aviv) und Naher Osten (VAE). Account Factory for Terraform (AFT) richtet eine Terraform-Pipeline ein, um Sie bei der Bereitstellung und Anpassung von Konten in AWS Control Tower zu unterstützen. Customizations for AWS Control Tower (cFCT) hilft Ihnen dabei, Ihre AWS Control Tower Tower-Landing landing zone und Konten mit CloudFormation Vorlagen und Service-Kontrollrichtlinien () SCPs individuell anzupassen. Weitere Informationen finden Sie auf den Seiten Account Factory for Terraform und Customizations for AWS Control Tower sowie im AWS Control Tower Tower-Benutzerhandbuch. Möglicherweise möchten Sie auch die Versionshinweise auf der AFT Github-Seite und der CfCT Github-Seite lesen. AFT und cFCT werden mit einigen Ausnahmen in allen AWS Regionen unterstützt. Einzelheiten finden Sie unter Einschränkungen für [Regionen.](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html) ## AWS Control Tower fügt die `ListLandingZoneOperations` API hinzu **26. Juni 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat eine API hinzugefügt, mit der Sie eine Liste der Operationen abrufen können, die kürzlich auf Ihre landing zone angewendet wurden, sowie der derzeit laufenden Operationen. Die API kann den Verlauf von Landezonenoperationen und deren Identifikatoren für bis zu 90 Tage zurückgeben. Anwendungsbeispiele finden Sie unter [Status Ihrer Landezonenoperationen](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html) anzeigen. Weitere Informationen zur `ListLandingZoneOperations` API finden Sie [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html)in der *AWS Control Tower API-Referenz*. ## AWS Control Tower unterstützt bis zu 100 gleichzeitige Kontrollvorgänge **20. Mai 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt mehrere Kontrollvorgänge mit höherer Parallelität. Sie können bis zu 100 AWS Control Tower Tower-Kontrollvorgänge für mehrere Organisationseinheiten (OUs) gleichzeitig von der Konsole aus oder mit einreichen APIs. Bis zu zehn (10) Operationen können gleichzeitig ausgeführt werden, und die zusätzlichen werden in die Warteschlange gestellt. Auf diese Weise können Sie eine standardisiertere Konfiguration für mehrere einrichten AWS-Konten, ohne den betrieblichen Aufwand durch sich wiederholende Kontrollvorgänge zu tragen. Um den Status Ihrer laufenden und in der Warteschlange befindlichen Kontrollvorgänge zu überwachen, können Sie in der AWS Control Tower Tower-Konsole zur neuen Seite mit den **letzten Vorgängen** navigieren oder die neue [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListControlOperations.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListControlOperations.html)API aufrufen. Die AWS Control Tower Tower-Bibliothek enthält mehr als 500 Kontrollen, die unterschiedlichen Kontrollzielen, Frameworks und Services zugeordnet sind. Für ein bestimmtes Kontrollziel, wie z. B. **Daten im Ruhezustand verschlüsseln**, können Sie mehrere Kontrollen mit einem einzigen Kontrollvorgang aktivieren, um das Ziel zu erreichen. Diese Funktion ermöglicht eine beschleunigte Entwicklung, ermöglicht eine schnellere Einführung von Best-Practice-Kontrollen und verringert die betriebliche Komplexität. ## AWS Control Tower in AWS Kanada West (Calgary) verfügbar **3. Mai 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Ab heute können Sie AWS Control Tower in der Region Kanada West (Calgary) aktivieren. Wenn Sie AWS Control Tower bereits eingesetzt haben und die Governance-Funktionen auf diese Region ausweiten möchten, können Sie dies mit der AWS Control Tower [Tower-Landing landing zone](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html) tun APIs. Oder rufen Sie von der Konsole aus die Seite **Einstellungen** in Ihrem AWS Control Tower Tower-Dashboard auf, wählen Sie Ihre Regionen aus und aktualisieren Sie dann Ihre landing zone. Die Region Kanada West (Calgary) unterstützt AWS Service Catalog nicht. Aus diesem Grund unterscheiden sich einige Funktionen von AWS Control Tower. Die bemerkenswerteste Änderung der Funktionalität ist, dass Account Factory nicht verfügbar ist. Wenn Sie Kanada West (Calgary) als Ihre Heimatregion wählen, unterscheiden sich die Verfahren für die Aktualisierung von Konten, die Einrichtung von Kontoautomatisierungen und alle anderen Prozesse, die Service Catalog beinhalten, von denen in anderen Regionen. **Konten bereitstellen** Um ein neues Konto in der Region Kanada West (Calgary) zu erstellen und bereitzustellen, empfehlen wir Ihnen, ein Konto außerhalb von AWS Control Tower zu erstellen und es dann bei einer registrierten OU zu registrieren. Weitere Informationen finden Sie unter [Registrierung eines bestehenden Kontos](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html) und [Schritte zur Registrierung](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html#enrollment-steps) eines Kontos. Der Service Catalog APIs ist in der Region Kanada West (Calgary) nicht verfügbar. Das in [Automate Account Provisioning in AWS Control Tower by Service Catalog](https://docs.aws.amazon.com//controltower/latest/userguide/automated-provisioning-walkthrough.html) gezeigte Beispielskript APIs ist nicht funktionsfähig. Account Factory Customizations (AFC), Account Factory for Terraform (AFT) und Customizations for AWS Control Tower (CfCT) sind in Kanada West (Calgary) nicht verfügbar, da andere zugrunde liegende Abhängigkeiten für AWS Control Tower fehlen. Wenn Sie die Verwaltung auf die Region Kanada West (Calgary) ausweiten, können Sie weiterhin AFC-Blueprints in allen Regionen verwalten, die AWS Control Tower unterstützt, solange Service Catalog in Ihrer Heimatregion verfügbar ist. **Kontrollen** Proaktive Kontrollen und Kontrollen für den **AWS Security Hub CSPM Service-Managed Standard: AWS Control Tower** sind in der Region Kanada West (Calgary) nicht verfügbar. Die präventive Kontrolle `CT.CLOUDFORMATION.PR.1` ist in Kanada West (Calgary) nicht verfügbar, da sie nur für die Aktivierung der hakenbasierten, proaktiven Kontrollen erforderlich ist. Bestimmte detektive Kontrollen, die auf basieren, AWS Config sind nicht verfügbar. Details hierzu finden Sie unter [Einschränkungen der Kontrolle](control-limitations.md). **Identitätsanbieter** IAM Identity Center ist in Kanada West (Calgary) nicht verfügbar. Es empfiehlt sich, Ihre landing zone in einer Region einzurichten, in der IAM Identity Center verfügbar ist. Alternativ haben Sie die Möglichkeit, Ihre Kontozugriffskonfiguration selbst zu verwalten, wenn Sie einen externen Identitätsanbieter in Kanada West (Calgary) verwenden. Die Nichtverfügbarkeit von Service Catalog in der Region Kanada West (Calgary) hat keine Auswirkungen auf andere Regionen, die von AWS Control Tower unterstützt werden. Diese Unterschiede gelten nur, wenn Ihre Heimatregion Kanada West (Calgary) ist. Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie [AWS in der Regionentabelle]( https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower unterstützt Self-Service-Kontingentanpassungen **25. April 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt Self-Service-Kontingentanpassungen über die Service Quotas Quotas-Konsole. Weitere Informationen finden Sie unter [Anfordern einer Kontingenterhöhung](request-an-increase.md). ## AWS Control Tower veröffentlicht den *Controls Reference Guide* **21. April 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat den *Controls Reference Guide* veröffentlicht, ein neues Dokument, in dem Sie detaillierte Informationen zu den Kontrollen finden, die für die AWS Control Tower Tower-Umgebung spezifisch sind. Zuvor war dieses Material im *AWS Control Tower Tower-Benutzerhandbuch* enthalten. Das *Referenzhandbuch für* Steuerungen behandelt Steuerungen in einem erweiterten Format. Weitere Informationen finden Sie im [Referenzhandbuch zu AWS Control Tower Controls](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html). ## AWS Control Tower aktualisiert zwei proaktive Kontrollen und benennt sie um **26. März 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat zwei proaktive Kontrollen umbenannt, um sie an die Aktualisierungen von Amazon OpenSearch Service anzupassen. + [**[CT.OPENSEARCH.PR.8]** Für die Verwendung TLSv1 ist eine Elasticsearch Service-Domain erforderlich.](https://docs.aws.amazon.com//controltower/latest/controlreference/opensearch-rules.html#ct-opensearch-pr-8-description) + [**[CT.OPENSEARCH.PR.16 ]** Für die Verwendung ist eine Amazon OpenSearch Service-Domain erforderlich TLSv1.](https://docs.aws.amazon.com//controltower/latest/controlreference/opensearch-rules.html#ct-opensearch-pr-16-description) Wir haben die Kontrollnamen und die Artefakte für diese beiden Kontrollen aktualisiert, um sie an die aktuelle Version von Amazon OpenSearch Service anzupassen, die [jetzt Transport Layer Security (TLS) Version 1.3 als Teil seiner Transportsicherheitsoptionen für die Domain-Endpunktsicherheit unterstützt](https://aws.amazon.com/about-aws/whats-new/2024/01/amazon-opensearch-service-tls-1-3-perfect-forward-secrecy). Um Unterstützung für TLSv1 .3 für diese Steuerelemente hinzuzufügen, haben wir das Artefakt und den Namen der Kontrollen aktualisiert, um die Absicht der Steuerung widerzuspiegeln. Sie bewerten jetzt die TLS-Mindestversion der Dienstdomäne. Um dieses Update in Ihrer Umgebung durchzuführen, müssen Sie die Steuerelemente **deaktivieren** und **aktivieren**, um das neueste Artefakt bereitzustellen. Keine anderen proaktiven Kontrollen sind von dieser Änderung betroffen. Wir empfehlen Ihnen, diese Kontrollen zu überprüfen, um sicherzustellen, dass sie Ihren Kontrollzielen entsprechen. Bei Fragen oder Bedenken wenden Sie sich an den [AWS Support](https://aws.amazon.com/support). ## Veraltete Steuerelemente sind nicht mehr verfügbar **12. März 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat einige Kontrollen als veraltet eingestuft. Diese Steuerungen sind nicht mehr verfügbar. + CT.ATHENA.PR.1 + CT.CODEBUILD.PR.4 + CT.AUTOSCALING.PR.3 + SH.Athena.1 + SH.Codebuild.5 + SH.AutoScaling.4 + SH.SNS.1 + SH.SNS.2 ## AWS Control Tower unterstützt das Taggen von `EnabledControl` Ressourcen in CloudFormation **22. Februar 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Diese AWS Control Tower Tower-Version aktualisiert das Verhalten der `EnabledControl` Ressource, um es besser an konfigurierbare Kontrollen anzupassen und die Fähigkeit zu verbessern, Ihre AWS Control Tower Tower-Umgebung mit Automatisierung zu verwalten. Mit dieser Version können Sie mithilfe von CloudFormation Vorlagen Tags zu konfigurierbaren `EnabledControl` Ressourcen hinzufügen. Bisher konnten Sie Tags APIs nur über die AWS Control Tower Tower-Konsole hinzufügen. Der AWS Control Tower `GetEnabledControl` und die `ListTagsforResource` API-Operationen werden mit dieser Version aktualisiert, da sie von der `EnabledControl` Ressourcenfunktionalität abhängen. `EnableControl` Weitere Informationen finden Sie unter [`EnabledControl`Tagging-Ressourcen in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/controlreference/tagging.html) und [https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/aws-resource-controltower-enabledcontrol.html](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/aws-resource-controltower-enabledcontrol.html)im *CloudFormation Benutzerhandbuch*. ## AWS Control Tower unterstützt die APIs Registrierung und Konfiguration von Organisationseinheiten mit Baselines **14. Februar 2024** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Diese APIs unterstützen die programmatische Registrierung von Organisationseinheiten zusammen mit dem `EnableBaseline` Anruf. Wenn Sie eine Baseline für eine OU aktivieren, werden Mitgliedskonten innerhalb der OU bei AWS Control Tower Governance registriert. Es können bestimmte Vorbehalte gelten. Beispielsweise ermöglicht die OU-Registrierung über die AWS Control Tower Tower-Konsole sowohl optionale als auch obligatorische Kontrollen. Wenn Sie anrufen APIs, müssen Sie möglicherweise einen zusätzlichen Schritt ausführen, damit optionale Steuerungen aktiviert werden. Eine AWS Control Tower *Tower-Baseline* beinhaltet bewährte Methoden für die AWS Control Tower Tower-Governance einer Organisationseinheit und Mitgliedskonten. Wenn Sie beispielsweise eine Baseline für eine Organisationseinheit aktivieren, erhalten Mitgliedskonten innerhalb der Organisationseinheit eine definierte Gruppe von Ressourcen AWS CloudTrail AWS Config, darunter IAM Identity Center und die erforderlichen AWS IAM-Rollen. Bestimmte Baselines sind mit bestimmten Versionen der AWS Control Tower landing zone kompatibel. AWS Control Tower kann die neueste kompatible Baseline auf Ihre landing zone anwenden, wenn Sie Ihre Landezone-Einstellungen ändern. Weitere Informationen finden Sie unter [Kompatibilität von OU-Baselines und landing zone Zone-Versionen](table-of-baselines.md). **Diese Version enthält vier wichtige [Arten von Basislinien](types-of-baselines.md)** + `AWSControlTowerBaseline` + `AuditBaseline` + `LogArchiveBaseline` + `IdentityCenterBaseline` Mit den neuen APIs und definierten Baselines können Sie Ihren OU-Bereitstellungs-Workflow registrieren OUs und automatisieren. Sie können APIs auch diejenigen verwalten OUs , die bereits unter der Kontrolle von AWS Control Tower stehen, sodass Sie sich OUs nach Aktualisierungen der landing zone erneut registrieren können. Sie APIs beinhalten Unterstützung für eine CloudFormation `EnabledBaseline` Ressource, mit der Sie Ihre OUs mit Infrastructure as Code (IaC) verwalten können. **Grundlinie APIs** + **EnableBaseline**, **UpdateEnabledBaseline**, **DisableBaseline**: Ergreifen Sie Maßnahmen auf der Grundlage einer Basislinie für eine Organisationseinheit. + **GetEnabledBaseline**, **ListEnabledBaselines**: Entdecken Sie Konfigurationen für Ihre aktivierten Baselines. + **GetBaselineOperation**: Zeigt den Status eines bestimmten Basisvorgangs an. + **ResetEnabledBaseline**: Korrigiert Ressourcenverschiebungen auf einer Organisationseinheit mit aktivierter Baseline (einschließlich verschachtelter OUs und obligatorischer Kontrollabweichungen). Behebt auch Drift bei der Deny-Control-Einstellung in der Region landing-zone-level + **GetBaseline**, **ListBaselines**: Entdecken Sie den Inhalt der AWS Control Tower Tower-Baselines. Weitere Informationen dazu finden Sie unter [Baselines](https://docs.aws.amazon.com//controltower/latest/userguide/table-of-baselines.html) im AWS Control Tower Tower-Benutzerhandbuch und in der [API-Referenz](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html). APIs Die neuen APIs sind dort verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist, mit Ausnahme der Regionen GovCloud (USA). Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der AWS-Region Tabelle. # Januar — Dezember 2023 Im Jahr 2023 veröffentlichte AWS Control Tower die folgenden Updates: + [Übergang zum neuen AWS Service Catalog externen Produkttyp (Phase 3)](#phase-3-tos-external) + [AWS-Control-Tower-Landezone, Version 3.3](#lz-3-3) + [Umstellung auf einen neuen AWS Service Catalog externen Produkttyp (Phase 2)](#phase-2-tos-external) + [AWS Control Tower kündigt Kontrollen zur Unterstützung der digitalen Souveränität an](#digital-sovereignty) + [landing zone des AWS Control Tower APIs](#landing-zone-apis) + [Kennzeichnung von Kontrolldaten in AWS Control Tower APIs](#control-tagging-apis) + [AWS Control Tower im AWS asiatisch-pazifischen Raum (Melbourne) verfügbar](#mel-region) + [Umstellung auf den neuen AWS Service Catalog externen Produkttyp (Phase 1)](#transition-sc-tos-external) + [AWS Control Tower fügt neue Kontroll-API hinzu](#new-control-api) + [AWS Control Tower fügt neue Steuerungen hinzu](#q3-new-controls) + [AWS Control Tower erkennt Drift beim vertrauenswürdigen Zugriff](#trust-access-drift) + [AWS Control Tower ist in vier weiteren Varianten erhältlich AWS-Regionen](#four-regions) + [AWS Control Tower in AWS Israel (Tel Aviv) verfügbar](#new-tlv-region) + [AWS Control Tower fügt 28 neue proaktive Kontrollen hinzu](#28-proactive-controls) + [AWS Control Tower lehnt zwei Kontrollen ab](#deprecate-2controls) + [AWS-Control-Tower-Landezone, Version 3.2](#lz-3-2) + [AWS Control Tower fügt email-to-ID Mapping für IAM Identity Center hinzu](#email-to-id) + [AWS Control Tower fügt mehr AWS Security Hub CSPM Kontrollen hinzu](#more-sh-controls) + [AWS Control Tower veröffentlicht Metadaten für AWS Security Hub CSPM Kontrollen](#publish-metadata) + [AWS Control Tower fügt Account Factory Customization (AFC) für Terraform hinzu](#afc-terraform) + [AWS Control Tower fügt selbstverwaltetes IAM-Identitätszentrum hinzu](#iam-self-manage) + [AWS Control Tower fügt einen gemischten Hinweis zur Unternehmensführung hinzu](#mixed-governance-note) + [AWS Control Tower fügt neue proaktive Kontrollen hinzu](#new-proactive-controls) + [AWS Control Tower aktualisiert Amazon EC2-Steuerungen](#updated-ec2-controls) + [AWS Control Tower ist in sieben weiteren Versionen erhältlich AWS-Regionen](#seven-regions) + [AWS Control Tower Account Factory Customization (AFC) und Anforderungsverfolgung allgemein verfügbar](#account-customization-request-tracing-ga) + [AWS-Control-Tower-Landezone, Version 3.1](#lz-3-1) + [Proaktive Kontrollen von AWS Control Tower sind allgemein verfügbar](#proactive-control-ga) ## Übergang zum neuen AWS Service Catalog externen Produkttyp (Phase 3) **14. Dezember 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt *Terraform Open Source* nicht mehr als Produkttyp (Blueprint) bei der Erstellung neuer Produkte. AWS-Konten Weitere Informationen und Anweisungen zur Aktualisierung Ihrer Konto-Blueprints finden Sie unter [Umstellung auf den AWS Service Catalog Produkttyp Extern](https://docs.aws.amazon.com//controltower/latest/userguide/service-catalog.html). Wenn Sie Ihre Konto-Blueprints nicht aktualisieren, um den Produkttyp *Extern* zu verwenden, können Sie nur Konten aktualisieren oder kündigen, die Sie mit Terraform Open Source-Blueprints bereitgestellt haben. ## AWS-Control-Tower-Landezone, Version 3.3 **14. Dezember 2023** (Für die AWS Control Tower landing zone ist ein Update auf Version 3.3 erforderlich. Weitere Informationen finden Sie unter[Aktualisiere deine landing zone](update-controltower.md)). **Aktualisierungen der S3-Bucket-Richtlinie im AWS Control Tower Audit-Konto** Wir haben die Amazon S3 S3-Audit-Bucket-Richtlinie, die AWS Control Tower in Konten bereitstellt, geändert, sodass eine `aws:SourceOrgID` Bedingung für alle Schreibberechtigungen erfüllt sein muss. Mit dieser Version haben AWS Services nur dann Zugriff auf Ihre Ressourcen, wenn die Anfrage von Ihrer Organisation oder Organisationseinheit (OU) stammt. Sie können den `aws:SourceOrgID` Bedingungsschlüssel verwenden und den Wert auf Ihre **Organisations-ID** im Bedingungselement Ihrer S3-Bucket-Richtlinie setzen. Diese Bedingung stellt sicher, dass CloudTrail nur Protokolle im Namen von Konten innerhalb Ihrer Organisation in Ihren S3-Bucket geschrieben werden können. Dadurch wird verhindert, dass CloudTrail Protokolle außerhalb Ihrer Organisation in Ihren AWS Control Tower S3-Bucket schreiben. Wir haben diese Änderung vorgenommen, um eine potenzielle Sicherheitslücke zu beheben, ohne die Funktionalität Ihrer vorhandenen Workloads zu beeinträchtigen. Die aktualisierte Richtlinie finden Sie unter. [Amazon S3 S3-Bucket-Richtlinie im Auditkonto](logging-s3-audit-bucket.md) Weitere Informationen zum neuen Bedingungsschlüssel finden Sie in der IAM-Dokumentation und im IAM-Blogbeitrag mit dem Titel „*Verwenden Sie skalierbare Kontrollen für AWS Dienste, die auf Ihre Ressourcen zugreifen*“. **Aktualisierungen der Richtlinie im SNS-Thema AWS Config ** Wir haben den neuen `aws:SourceOrgID` Bedingungsschlüssel zur Richtlinie für das AWS Config SNS-Thema hinzugefügt. Die aktualisierte Richtlinie finden Sie unter [Die AWS Config](https://docs.aws.amazon.com//controltower/latest/userguide/receive-notifications.html#config-sns-policy) SNS-Themenrichtlinie. **Aktualisierungen der Steuerung „Region Deny“ für die landing zone** + `discovery-marketplace:` wurde entfernt. Diese Maßnahme fällt unter die `aws-marketplace:*` Ausnahmeregelung. + `quicksight:DescribeAccountSubscription` hinzugefügt ** CloudFormation Vorlage wurde aktualisiert** Wir haben die CloudFormation Vorlage für den genannten Stack `BASELINE-CLOUDTRAIL-MASTER` so aktualisiert, dass sie keine Drift zeigt, wenn keine AWS KMS Verschlüsselung verwendet wird. ## Umstellung auf einen neuen AWS Service Catalog externen Produkttyp (Phase 2) **7. Dezember 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) HashiCorp hat ihre Terraform-Lizenzierung aktualisiert. *Infolgedessen wurde die Unterstützung für *Terraform Open Source-Produkte* und bereitgestellte Produkte auf einen neuen Produkttyp namens External AWS Service Catalog umgestellt.* Um eine Unterbrechung der bestehenden Workloads und AWS Ressourcen in Ihren Konten zu vermeiden, folgen Sie bis zum 14. Dezember 2023 den Schritten [zur Umstellung auf den Produkttyp AWS Service Catalog External](af-customization-page.md#service-catalog-external-product-type) auf AWS Control Tower. ## AWS Control Tower kündigt Kontrollen zur Unterstützung der digitalen Souveränität an **27. November 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower kündigt 65 neue AWS verwaltete Kontrollen an, mit denen Sie Ihre Anforderungen an digitale Souveränität erfüllen können. Mit dieser Version können Sie diese Kontrollen unter einer neuen *Gruppe für digitale Souveränität* in der AWS Control Tower Tower-Konsole entdecken. Sie können diese Kontrollen verwenden, um Aktionen zu verhindern und Ressourcenänderungen in Bezug auf *Datenresidenz*, *granulare Zugriffsbeschränkung*, *Verschlüsselung* und *Ausfallsicherheit* zu erkennen. Diese Kontrollen sollen es Ihnen erleichtern, Anforderungen in großem Umfang zu erfüllen. Weitere Informationen zu Kontrollen der digitalen Souveränität finden Sie unter [Kontrollen, die den Schutz der digitalen Souveränität verbessern](https://docs.aws.amazon.com//controltower/latest/controlreference/digital-sovereignty-controls.html). Sie können sich beispielsweise dafür entscheiden, Kontrollen zu aktivieren, mit denen Sie Ihre Verschlüsselungs- und Ausfallsicherheitsstrategien durchsetzen können, wie z. B. Erfordern Sie, dass **ein AWS AppSync API-Cache erforderlich ist, um die Verschlüsselung bei der Übertragung zu aktivieren****, oder Erfordern, dass eine AWS Network Firewall in mehreren Availability Zones bereitgestellt wird**. Sie können auch die AWS Control Tower Region Deny Control so anpassen, dass regionale Einschränkungen angewendet werden, die Ihren individuellen Geschäftsanforderungen am besten entsprechen. Diese Version bietet deutlich verbesserte Funktionen zum Ablehnen von AWS Control Tower Region. Sie können eine neue, parametrisierte Regionsverweigerungskontrolle auf OU-Ebene anwenden, um die Granularität der Steuerung zu erhöhen und gleichzeitig zusätzliche Region-Governance auf Landing-Zone-Ebene beizubehalten. Diese anpassbare Regionsverweigerungssteuerung hilft Ihnen dabei, regionale Beschränkungen anzuwenden, die Ihren individuellen Geschäftsanforderungen am besten entsprechen. Weitere Informationen zur neuen, konfigurierbaren Regionsverweigerungssteuerung finden Sie unter Auf die [Organisationseinheit angewendete Regionsverweigerungssteuerung](https://docs.aws.amazon.com//controltower/latest/controlreference/ou-region-deny.html). Als neues Tool für die neue Erweiterung „Region Deny“ enthält diese Version eine neue API`UpdateEnabledControl`, mit der Sie Ihre aktivierten Kontrollen auf die Standardeinstellungen zurücksetzen können. Diese API ist besonders hilfreich in Anwendungsfällen, in denen Sie Abweichungen schnell beheben oder programmgesteuert sicherstellen müssen, dass sich ein Steuerelement nicht im Drift-Zustand befindet. Weitere Informationen zur neuen API finden Sie in [der AWS Control Tower API-Referenz](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html) **Neue proaktive Kontrollen** + CT.APIGATEWAY.PR.6: Erfordert, dass eine Amazon API Gateway Gateway-REST-Domain eine Sicherheitsrichtlinie verwendet, die eine Mindestversion des TLS-Protokolls von TLSv1 .2 festlegt + CT.APPSYNC.PR.2: Erfordert, dass eine AWS AppSync GraphQL-API mit privater Sichtbarkeit konfiguriert wird + CT.APPSYNC.PR.3: Erfordert, dass eine AWS AppSync GraphQL-API nicht mit API-Schlüsseln authentifiziert ist + CT.APPSYNC.PR.4: Erfordert einen AWS AppSync GraphQL-API-Cache, um die Verschlüsselung bei der Übertragung zu aktivieren. + CT.APPSYNC.PR.5: Erfordert einen AWS AppSync GraphQL-API-Cache, um die Verschlüsselung im Ruhezustand zu aktivieren. + CT.AUTOSCALING.PR.9: Erfordert ein Amazon EBS-Volume, das über eine Amazon EC2 Auto Scaling Scaling-Startkonfiguration konfiguriert wurde, um Daten im Ruhezustand zu verschlüsseln + CT.AUTOSCALING.PR.10: Erfordert, dass eine Amazon EC2 Auto Scaling Scaling-Gruppe nur AWS Nitro-Instance-Typen verwendet, wenn eine Startvorlage überschrieben wird + CT.AUTOSCALING.PR.11: Erfordert, dass nur AWS Nitro-Instance-Typen, die die Verschlüsselung des Netzwerkverkehrs zwischen Instances unterstützen, zu einer Amazon EC2 Auto Scaling Scaling-Gruppe hinzugefügt werden, wenn eine Startvorlage überschrieben wird + CT.DAX.PR.3: Erfordert einen DynamoDB Accelerator-Cluster, um Daten während der Übertragung mit Transport Layer Security (TLS) zu verschlüsseln + CT.DMS.PR.2: Erfordert einen DMS-Endpunkt ( AWS Database Migration Service), um Verbindungen für Quell- und Zielendpunkte zu verschlüsseln + CT.EC2.PR.15: Erfordert, dass eine Amazon EC2 EC2-Instance einen AWS Nitro-Instance-Typ verwendet, wenn sie aus dem `AWS::EC2::LaunchTemplate` Ressourcentyp erstellt + CT.EC2.PR.16: Erfordert, dass eine Amazon EC2 EC2-Instance einen AWS Nitro-Instance-Typ verwendet, wenn sie mit dem `AWS::EC2::Instance` Ressourcentyp erstellt wurde + CT.EC2.PR.17: Für die Verwendung eines AWS-Nitro-Instance-Typs ist ein dedizierter Amazon EC2 EC2-Host erforderlich + CT.EC2.PR.18: Erfordert, dass eine Amazon EC2 EC2-Flotte nur die Startvorlagen mit AWS Nitro-Instance-Typen überschreibt + CT.EC2.PR.19: Erfordert, dass eine Amazon EC2 EC2-Instance einen Nitro-Instance-Typ verwendet, der die Verschlüsselung während der Übertragung zwischen Instances unterstützt, wenn sie mit dem Ressourcentyp erstellt wurde `AWS::EC2::Instance` + CT.EC2.PR.20: Erfordert, dass eine Amazon EC2 EC2-Flotte nur die Startvorlagen mit AWS Nitro-Instance-Typen überschreibt, die die Verschlüsselung bei der Übertragung zwischen Instances unterstützen + CT.ELASTICACHE.PR.8: Für eine ElastiCache Amazon-Replikationsgruppe späterer Redis-Versionen muss die RBAC-Authentifizierung aktiviert sein + CT.MQ.PR.1: Erfordert einen Amazon MQ ActiveMQ-Broker, der den active/standby Bereitstellungsmodus für hohe Verfügbarkeit verwendet + CT.MQ.PR.2: Erfordert einen Amazon MQ Rabbit MQ-Broker, der den Multi-AZ-Clustermodus für hohe Verfügbarkeit verwendet + CT.MSK.PR.1: Erfordert einen Amazon Managed Streaming for Apache Kafka (MSK) -Cluster, um die Verschlüsselung bei der Übertragung zwischen Cluster-Broker-Knoten zu erzwingen + CT.MSK.PR.2: Erfordert die Konfiguration eines Amazon Managed Streaming for Apache Kafka (MSK) -Clusters mit deaktivierter Option PublicAccess + CT.NETWORK-FIREWALL.PR.5: Erfordert, dass eine AWS Netzwerk-Firewall-Firewall in mehreren Availability Zones bereitgestellt wird + CT.RDS.PR.26: Erfordert einen Amazon RDS-DB-Proxy, um Transport Layer Security (TLS) -Verbindungen zu benötigen + CT.RDS.PR.27: Erfordert eine Amazon RDS-DB-Cluster-Parametergruppe, die Transport Layer Security (TLS) -Verbindungen für unterstützte Engine-Typen erfordert + CT.RDS.PR.28: Erfordert eine Amazon RDS-DB-Parametergruppe, die Transport Layer Security (TLS) -Verbindungen für unterstützte Engine-Typen erfordert + CT.RDS.PR.29: Erfordert, dass ein Amazon RDS-Cluster nicht so konfiguriert ist, dass er über die Eigenschaft 'PubliclyAccessible' öffentlich zugänglich ist + CT.RDS.PR.30: Erfordert, dass für eine Amazon RDS-Datenbank-Instance die Verschlüsselung im Ruhezustand so konfiguriert ist, dass sie einen KMS-Schlüssel verwendet, den Sie für unterstützte Engine-Typen angeben + CT.S3.PR.12: Für einen Amazon S3 S3-Zugriffspunkt ist eine Block Public Access (BPA) -Konfiguration erforderlich, bei der alle Optionen auf true gesetzt sind **Neue präventive Kontrollen** + CT.APPSYNC.PV.1Erfordern, dass eine AWS AppSync GraphQL-API mit privater Sichtbarkeit konfiguriert ist + CT.EC2.PV.1Erfordern, dass ein Amazon EBS-Snapshot aus einem verschlüsselten EC2-Volume erstellt wird + CT.EC2.PV.2Erfordern, dass ein angehängtes Amazon EBS-Volume so konfiguriert ist, dass Daten im Ruhezustand verschlüsselt werden + CT.EC2.PV.3Erfordern, dass ein Amazon EBS-Snapshot nicht öffentlich wiederherstellbar ist + CT.EC2.PV.4Erfordern, dass Amazon EBS Direct nicht APIs aufgerufen wird + CT.EC2.PV.5Die Verwendung von Amazon EC2 EC2-VM-Import und -Export verbieten + CT.EC2.PV.6Die Verwendung veralteter Amazon RequestSpotFleet EC2- und API-Aktionen verbieten RequestSpotInstances + CT.KMS.PV.1Eine AWS KMS wichtige Richtlinie muss eine Erklärung enthalten, die die Gewährung von Zuschüssen auf Dienstleistungen beschränkt AWS KMS AWS + CT.KMS.PV.2Erfordern, dass ein AWS KMS asymmetrischer Schlüssel mit RSA-Schlüsselmaterial, der für die Verschlüsselung verwendet wird, keine Schlüssellänge von 2048 Bit hat + CT.KMS.PV.3Erfordern Sie, dass bei der Konfiguration eines AWS KMS Schlüssels die Sicherheitsüberprüfung zur Sperrung der Umgehungsrichtlinie aktiviert ist + CT.KMS.PV.4Erfordern, dass ein AWS KMS vom Kunden verwalteter Schlüssel (CMK) mit Schlüsselmaterial konfiguriert ist, das von CloudHSM stammt AWS + CT.KMS.PV.5Erfordern Sie, dass ein AWS KMS vom Kunden verwalteter Schlüssel (CMK) mit importiertem Schlüsselmaterial konfiguriert ist + CT.KMS.PV.6Erfordern Sie, dass AWS KMS ein vom Kunden verwalteter Schlüssel (CMK) mit Schlüsselmaterial konfiguriert ist, das aus einem externen Schlüsselspeicher (XKS) stammt + CT.LAMBDA.PV.1Für die Verwendung der IAM-basierten AWS Lambda Authentifizierung ist eine Funktions-URL erforderlich AWS + CT.LAMBDA.PV.2Erfordern Sie, dass eine AWS Lambda Funktions-URL für den Zugriff nur durch Principals in Ihrem AWS-Konto ## landing zone des AWS Control Tower APIs **26. November 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower bietet jetzt Angebote APIs , mit denen Sie Ihre landing zone programmgesteuert verwalten können. APIs Mit diesen können Sie Ihre landing zone erstellen, aktualisieren und zurücksetzen sowie Informationen über die Konfiguration und den Betrieb Ihrer landing zone abrufen. Weitere Informationen finden Sie unter [Beispiele für Landingzone-APIs](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html). Die landing zone ist APIs überall verfügbar, AWS-Regionen wo AWS Control Tower verfügbar ist, mit Ausnahme der Regionen GovCloud (USA). Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## Kennzeichnung von Kontrolldaten in AWS Control Tower APIs **10. November 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower bietet jetzt Angebote APIs , mit denen Sie Ihre aktivierten Steuerungen programmgesteuert taggen können. Diese APIs ermöglichen es Ihnen, Tags für Ihre aktivierten Steuerelemente hinzuzufügen, zu entfernen und aufzulisten. Weitere Informationen finden Sie unter [Tagging AWS Control Tower Tower-Ressourcen](https://docs.aws.amazon.com//controltower/latest/userguide/tagging-resources.html). Das Kontroll-Tagging ist APIs überall verfügbar, AWS-Regionen wo AWS Control Tower verfügbar ist, mit Ausnahme der Regionen GovCloud (USA). Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower im AWS asiatisch-pazifischen Raum (Melbourne) verfügbar **3. November 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower ist im asiatisch-pazifischen Raum (Melbourne) verfügbar. Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## Umstellung auf den neuen AWS Service Catalog externen Produkttyp (Phase 1) **31. Oktober 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) HashiCorp hat ihre Terraform-Lizenzierung aktualisiert. *Infolgedessen wurde die Unterstützung für *Terraform Open Source-Produkte* und bereitgestellte Produkte auf einen neuen Produkttyp namens External AWS Service Catalog umgestellt.* Um eine Unterbrechung der bestehenden Workloads und AWS Ressourcen in Ihren Konten zu vermeiden, folgen Sie bis zum 14. Dezember 2023 den Schritten [zur Umstellung auf den Produkttyp AWS Service Catalog External](af-customization-page.md#service-catalog-external-product-type) auf AWS Control Tower. ## AWS Control Tower fügt neue Kontroll-API hinzu **27. Oktober 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower bietet jetzt eine neue API`UpdateEnabledControl`, mit der Sie Ihre aktivierten Kontrollen aktualisieren können. Diese API ist besonders hilfreich in Anwendungsfällen, in denen Sie Abweichungen schnell beheben oder programmgesteuert sicherstellen müssen, dass sich eine Steuerung nicht im Drift-Zustand befindet. Weitere Informationen zur neuen API finden Sie in [der AWS Control Tower API-Referenz](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html). Die `UpdateEnabledControl` API ist überall verfügbar, AWS-Regionen wo AWS Control Tower verfügbar ist, mit Ausnahme der Regionen GovCloud (USA). Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower fügt neue Steuerungen hinzu **20. Oktober 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat der AWS Control Tower-Steuerbibliothek 22 neue Steuerungen hinzugefügt. Diese Kontrollen helfen Ihnen dabei, bewährte Verfahren für Ihre AWS Ressourcen durchzusetzen. Weitere Informationen zu den neuen Steuerelementen finden Sie unter [Kontrollkategorien](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html). Die neuen Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower erkennt Drift beim vertrauenswürdigen Zugriff **13. Oktober 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower erkennt und meldet jetzt Abweichungen bei den Einstellungen für vertrauenswürdigen Zugriff. Vertrauenswürdige Zugriffseinstellungen ermöglichen es AWS Control Tower, in Ihrem Namen mit anderen AWS Services zu interagieren. Wenn diese Einstellungen außerhalb von AWS Control Tower geändert werden, erkennt AWS Control Tower die Abweichung und meldet sie in der AWS Control Tower Tower-Konsole. Weitere Informationen zu Abweichungen beim vertrauenswürdigen Zugriff finden Sie unter [Arten von Abweichungen in der Unternehmensführung](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html). Die Erkennung vertrauenswürdiger Zugriffsabweichungen ist überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower ist in vier weiteren Varianten erhältlich AWS-Regionen **29. September 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower ist in vier weiteren Ländern verfügbar AWS-Regionen: Asien-Pazifik (Hyderabad), Asien-Pazifik (Jakarta), Europa (Spanien) und Europa (Zürich). Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower in AWS Israel (Tel Aviv) verfügbar **1. August 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower ist in Israel (Tel Aviv) verfügbar. Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower fügt 28 neue proaktive Kontrollen hinzu **27. Juli 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat der AWS Control Tower Tower-Steuerbibliothek 28 neue proaktive Kontrollen hinzugefügt. Diese Kontrollen helfen Ihnen dabei, bewährte Verfahren für Ihre AWS Ressourcen durchzusetzen. Weitere Informationen zu den neuen Steuerelementen finden Sie unter [Kontrollkategorien](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html). Die neuen Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower lehnt zwei Kontrollen ab **27. Juli 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat zwei Steuerelemente als veraltet eingestuft: CT.CLOUDFORMATION.PR.2 und. CT.CLOUDFORMATION.PR.3 Diese Steuerelemente sind in der AWS Control Tower Tower-Steuerelementbibliothek nicht mehr verfügbar. Weitere Informationen zu den veralteten Steuerelementen finden Sie unter [Kontrollkategorien](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html). Die veralteten Steuerelemente sind in keinem mehr verfügbar. AWS-Region ## AWS-Control-Tower-Landezone, Version 3.2 **16. Juni 2023** (Für die AWS Control Tower landing zone ist ein Update auf Version 3.2 erforderlich. Weitere Informationen finden Sie unter[Aktualisiere deine landing zone](update-controltower.md)). Mit Version 3.2 der AWS Control Tower landing zone sind die Kontrollen, die Teil des AWS Security Hub CSPM **Service-Managed Standard: AWS Control Tower** sind, jetzt allgemein verfügbar. Es bietet die Möglichkeit, den Drift-Status von Kontrollen, die Teil dieses Standards sind, in der AWS Control Tower-Konsole einzusehen. **Dieses Update beinhaltet eine neue Service-Linked Role (SLR), den AWSService RoleFor AWSControl Tower.** Diese Rolle unterstützt AWS Control Tower bei der Erstellung einer EventBridge verwalteten Regel, die **AWSControlTowerManagedRule**in jedem Mitgliedskonto so genannt wird. Diese verwaltete Regel sammelt AWS Security Hub CSPM **Findereignisse**, anhand derer mithilfe von AWS Control Tower Kontrollabweichungen festgestellt werden können. Diese Regel ist die erste verwaltete Regel, die von AWS Control Tower erstellt wurde. Die Regel wird nicht von einem Stack bereitgestellt; sie wird direkt von der bereitgestellt EventBridge APIs. Sie können die Regel in der EventBridge Konsole oder mit dem anzeigen EventBridge APIs. Wenn das `managed-by` Feld ausgefüllt ist, wird der AWS Control Tower Service Principal angezeigt. Zuvor hatte AWS Control Tower die **AWSControlTowerExecution**Rolle übernommen, Operationen in Mitgliedskonten durchzuführen. Diese neue Rolle und Regel entsprechen besser dem Best-Practice-Prinzip, bei der Ausführung von Vorgängen in einer AWS Umgebung mit mehreren Konten die geringsten Rechte zuzulassen. Die neue Rolle bietet spezielle Berechtigungen, die Folgendes ermöglichen: die Erstellung der verwalteten Regel in Mitgliedskonten, die Verwaltung der verwalteten Regel, die Veröffentlichung von Sicherheitsbenachrichtigungen über SNS und die Überprüfung von Abweichungen. Weitere Informationen finden Sie unter [AWSServiceRoleForAWSControlTurm](access-control-managing-permissions.md#AWSServiceRoleForAWSControlTower). Das landing zone 3.2-Update enthält auch eine neue StackSet Ressource im Verwaltungskonto`BP_BASELINE_SERVICE_LINKED_ROLE`, mit der zunächst die dienstverknüpfte Rolle bereitgestellt wird. Wenn eine Abweichung der Security Hub-CSPM-Kontrolle (in der landing zone 3.2 und höher) gemeldet wird, erhält AWS Control Tower täglich ein Status-Update von Security Hub CSPM. Obwohl die Kontrollen in jeder kontrollierten Region aktiv sind, sendet AWS Control Tower die AWS Security Hub CSPM **Finding-Ereignisse** nur an die AWS Control Tower Tower-Heimatregion. Weitere Informationen finden Sie unter [Berichterstattung über Kontrollabweichungen in Security Hub](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html#sh-drift). **Update zur Steuerung „Region Deny“** Diese landing zone Zone-Version beinhaltet auch ein Update für die Steuerung „Region Deny“. **Globale Dienste und APIs hinzugefügt** + AWS Fakturierung und Kostenmanagement (`billing:*`) + AWS CloudTrail (`cloudtrail:LookupEvents`) um die Sichtbarkeit globaler Ereignisse in den Mitgliedskonten zu ermöglichen. + AWS Konsolidierte Abrechnung (`consolidatedbilling:*`) + AWS Mobile Anwendung der Managementkonsole (`consoleapp:*`) + AWS Kostenloses Kontingent (`freetier:*`) + AWS Invoicing (`invoicing:*`) + AWS IQ (`iq:*`) + AWS Benutzerbenachrichtigungen (`notifications:*`) + AWS Benutzerbenachrichtigungen Kontakte (`notifications-contacts:*`) + Amazon Payments (`payments:*`) + AWS Steuereinstellungen (`tax:*`) **Globale Dienste und APIs entfernt** + Wurde entfernt`s3:GetAccountPublic`, weil es sich nicht um eine gültige Aktion handelt. + Wurde entfernt`s3:PutAccountPublic`, weil es sich nicht um eine gültige Aktion handelt. ## AWS Control Tower fügt email-to-ID Mapping für IAM Identity Center hinzu **13. Juli 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt die email-to-ID Zuordnung für IAM Identity Center. Mit dieser Funktion können Sie E-Mail-Adressen IAM Identity Center-Benutzern zuordnen IDs, was die Verwaltung des Benutzerzugriffs auf Ihre AWS Control Tower Tower-Umgebung erleichtert. Weitere Informationen zur email-to-ID Zuordnung finden Sie unter [Integration mit IAM Identity Center](https://docs.aws.amazon.com//controltower/latest/userguide/sso-integration.html). Email-to-ID Mapping ist überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower fügt mehr AWS Security Hub CSPM Kontrollen hinzu **29. Juni 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat die AWS Security Hub CSPM Kontrollbibliothek von AWS Control Tower um weitere Steuerelemente erweitert. Diese Kontrollen helfen Ihnen dabei, bewährte Verfahren für Ihre AWS Ressourcen durchzusetzen. Weitere Informationen zu den neuen Steuerelementen finden Sie unter [Kontrollkategorien](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html). Die neuen Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower veröffentlicht Metadaten für AWS Security Hub CSPM Kontrollen **22. Juni 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower veröffentlicht jetzt Metadaten für AWS Security Hub CSPM Kontrollen. Diese Metadaten enthalten Informationen über die Kontrolle, wie z. B. die Kontroll-ID, den Titel der Kontrolle und die Beschreibung der Kontrolle. Weitere Informationen zu den Metadaten finden Sie unter [Kontrollmetadaten](https://docs.aws.amazon.com//controltower/latest/userguide/control-metadata.html). Kontrollmetadaten sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower fügt Account Factory Customization (AFC) für Terraform hinzu **15. Juni 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt Account Factory Customization (AFC) für Terraform. Mit dieser Funktion können Sie Terraform verwenden, um Ihre AWS Control Tower Tower-Konten anzupassen. Weitere Informationen zu AFC for Terraform finden Sie unter [Account Factory Customization](https://docs.aws.amazon.com//controltower/latest/userguide/afc-terraform.html) for Terraform. AFC for Terraform ist überall verfügbar, AWS-Regionen wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower fügt selbstverwaltetes IAM-Identitätszentrum hinzu **8. Juni 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt das selbstverwaltete IAM-Identitätscenter. Mit dieser Funktion können Sie Ihren eigenen Identitätsanbieter mit AWS Control Tower verwenden. Weitere Informationen zum selbstverwalteten IAM-Identitätscenter finden Sie unter [IAM-Identitätscenter](https://docs.aws.amazon.com//controltower/latest/userguide/iam-identity-center.html). Das selbstverwaltete IAM-Identitätscenter ist überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower fügt einen gemischten Hinweis zur Unternehmensführung hinzu **1. Juni 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower enthält jetzt einen Hinweis zur gemischten Verwaltung. In diesem Hinweis wird erklärt, wie AWS Control Tower mit anderen AWS Services zusammenarbeitet, um die Verwaltung Ihrer AWS Ressourcen zu gewährleisten. Weitere Informationen zu gemischter Unternehmensführung finden Sie unter [Gemischte Unternehmensführung](https://docs.aws.amazon.com//controltower/latest/userguide/mixed-governance.html). Der gemischte Hinweis zur Unternehmensführung ist überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower fügt neue proaktive Kontrollen hinzu **25. Mai 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat der AWS Control Tower Tower-Steuerbibliothek neue proaktive Steuerungen hinzugefügt. Diese Kontrollen helfen Ihnen dabei, bewährte Verfahren für Ihre AWS Ressourcen durchzusetzen. Weitere Informationen zu den neuen Steuerelementen finden Sie unter [Kontrollkategorien](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html). Die neuen Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower aktualisiert Amazon EC2-Steuerungen **18. Mai 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower hat die Amazon EC2-Steuerelemente in der AWS Control Tower Tower-Steuerbibliothek aktualisiert. Diese Updates verbessern die Sicherheit und Zuverlässigkeit Ihrer AWS Control Tower Tower-Umgebung. Weitere Informationen zu den aktualisierten Kontrollen finden Sie unter [Kontrollkategorien](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html). Die aktualisierten Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower ist in sieben weiteren Versionen erhältlich AWS-Regionen **11. Mai 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower ist in sieben weiteren Ländern verfügbar AWS-Regionen: Asien-Pazifik (Osaka), Kanada (Zentral), Europa (Mailand), Europa (Stockholm), Naher Osten (Bahrain), Naher Osten (VAE) und Südamerika (São Paulo). Eine vollständige Liste der Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS Control Tower Account Factory Customization (AFC) und Anforderungsverfolgung allgemein verfügbar **27. April 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower Account Factory Customization (AFC) und Request Tracing sind jetzt allgemein verfügbar. Mit AFC können Sie Ihre AWS Control Tower Tower-Konten anpassen, und mit der Anforderungsverfolgung können Sie den Status Ihrer AWS Control Tower Tower-Anfragen verfolgen. Weitere Informationen zu AFC und Request Tracing finden Sie unter [Account Factory Customization](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-customization.html) und [Request](https://docs.aws.amazon.com//controltower/latest/userguide/request-tracing.html) Tracing. AFC und Request Tracing sind überall verfügbar, AWS-Regionen wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). ## AWS-Control-Tower-Landezone, Version 3.1 9. Februar 2023 (Für die AWS Control Tower landing zone ist ein Update auf Version 3.1 erforderlich. Weitere Informationen finden Sie [Aktualisiere deine landing zone](update-controltower.md) unter Die AWS Control Tower landing zone Version 3.1 beinhaltet die folgenden Updates: + Mit dieser Version deaktiviert AWS Control Tower die unnötige Zugriffsprotokollierung für Ihren *Access Logging Bucket*, den Amazon S3 S3-Bucket, in dem Zugriffsprotokolle im Log Archive-Konto gespeichert werden, während die Serverzugriffsprotokollierung für S3-Buckets weiterhin aktiviert wird. Diese Version enthält auch Aktualisierungen der Steuerung „Region Deny“, die zusätzliche Aktionen für globale Dienste wie Support Pläne und ermöglichen. AWS Artifact + Die Deaktivierung der Serverzugriffsprotokollierung für den Access Logging Bucket von AWS Control Tower veranlasst Security Hub CSPM, einen Befund für den *Access Logging Bucket* des Log-Archive-Kontos zu erstellen. Aufgrund einer AWS Security Hub CSPM Regel sollte die [[S3.9] S3-Bucket-Serverzugriffsprotokollierung](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-9) aktiviert sein. In Übereinstimmung mit Security Hub CSPM empfehlen wir, dass Sie dieses spezielle Ergebnis unterdrücken, wie in der Security Hub CSPM-Beschreibung dieser Regel angegeben. [Weitere Informationen finden Sie unter Informationen zu unterdrückten Ergebnissen.](https://docs.aws.amazon.com//securityhub/latest/userguide/finding-workflow-status.html) + Die Zugriffsprotokollierung für den (regulären) Logging-Bucket im Log Archive-Konto ist in Version 3.1 unverändert. Gemäß den bewährten Methoden werden Zugriffsereignisse für diesen Bucket als Protokolleinträge im *Access-Logging-Bucket* aufgezeichnet. Weitere Informationen zur Zugriffsprotokollierung finden Sie unter [Protokollierung von Anfragen mithilfe der Serverzugriffsprotokollierung](https://docs.aws.amazon.com//AmazonS3/latest/userguide/ServerLogs.html) in der Amazon S3 S3-Dokumentation. + Wir haben die Steuerung „Region Deny“ aktualisiert. Dieses Update ermöglicht Aktionen durch mehr globale Dienste. Einzelheiten [zu diesem SCP finden Sie unter Zugriff verweigern auf AWS Grundlage der angeforderten Daten AWS-Region und unter Kontrollen, die den](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html) [Schutz der Datenspeicherung verbessern.](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html) **Globale Dienste wurden hinzugefügt:** + AWS -Kontenverwaltung (`account:*`) + AWS Aktivieren (`activate:*`) + AWS Artifact (`artifact:*`) + AWS Billing Conductor (`billingconductor:*`) + AWS Compute Optimizer (`compute-optimizer:*`) + AWS Data Pipeline (`datapipeline:GetAccountLimits`) + AWS Device Farm(`devicefarm:*`) + AWS Marketplace (`discovery-marketplace:*`) + Amazon ECR () `ecr-public:*` + AWS License Manager (`license-manager:ListReceivedLicenses`) + AWS Lightsail () `lightsail:Get*` + AWS Resource Explorer (`resource-explorer-2:*`) + Amazon S3 (`s3:CreateMultiRegionAccessPoint`,`s3:GetBucketPolicyStatus`,`s3:PutMultiRegionAccessPointPolicy`) + AWS Savings Plans (`savingsplans:*`) + IAM-Identitätszentrum () `sso:*` + AWS Support App (`supportapp:*`) + Support Pläne () `supportplans:*` + AWS Nachhaltigkeit (`sustainability:*`) + AWS Resource Groups Tagging API (`tag:GetResources`) + AWS Marketplace Einblicke von Anbietern (`vendor-insights:ListEntitledSecurityProfiles`) ## Proaktive Kontrollen von AWS Control Tower sind allgemein verfügbar **13. April 2023** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Die proaktiven Kontrollen von AWS Control Tower sind jetzt allgemein verfügbar. Proaktive Kontrollen helfen Ihnen dabei, bewährte Verfahren für Ihre AWS Ressourcen durchzusetzen. Weitere Informationen zu proaktiven Kontrollen finden Sie unter [Proaktive Kontrollen](https://docs.aws.amazon.com//controltower/latest/userguide/proactive-controls.html). Proaktive Kontrollen sind überall verfügbar AWS-Regionen , wo AWS Control Tower verfügbar ist. Eine Liste, AWS-Regionen wo AWS Control Tower verfügbar ist, finden Sie in der [AWS-Region Tabelle](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). # Januar — Dezember 2022 Im Jahr 2022 veröffentlichte AWS Control Tower die folgenden Updates: + [Gleichzeitige Kontooperationen](#concurrent-account-operations) + [Anpassung Account Factory (AFC)](#af-customization) + [Umfassende Kontrollen helfen bei der Bereitstellung und AWS Verwaltung von Ressourcen](#proactive-controls-notes) + [Der Compliance-Status ist für alle AWS Config Regeln sichtbar](#config-compliance-status) + [API für Kontrollen und eine neue CloudFormation Ressource](#control-control-api) + [cFCT unterstützt das Löschen von Stack-Sets](#stack-set-deletion-cfct) + [Benutzerdefinierte Aufbewahrung von Protokollen](#log-retention) + [Reparatur von Role Drift ist verfügbar](#role-drift-repair) + [AWS-Control-Tower-Landezone, Version 3.0](#version-3.0) + [Auf der Seite „Organisation“ werden Ansichten von Konten OUs und Ansichten zusammengefasst](#ou-hierarchy-page) + [Vereinfachte Kontoerstellung und Registrierung](#simple-create-and-enroll) + [AFT unterstützt die automatische Anpassung für gemeinsam genutzte AWS Control Tower Tower-Konten](#aft-supports-shared-accounts) + [Gleichzeitige Operationen für alle optionalen Steuerelemente](#concurrent-preventive-controls) + [Bestehende Sicherheits- und Protokollierungskonten](#existing-security-and-logging-accounts) + [AWS-Control-Tower-Landezone, Version 2.9](#version-2.9) + [AWS-Control-Tower-Landezone, Version 2.8](#version-2.8) ## Gleichzeitige Kontooperationen **16. Dezember 2022** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt gleichzeitige Aktionen in Account Factory. Sie können bis zu fünf (5) Konten gleichzeitig erstellen, aktualisieren oder registrieren. Reichen Sie bis zu fünf Aktionen nacheinander ein und sehen Sie sich den Abschlussstatus jeder Anfrage an, während Ihre Konten im Hintergrund fertig aufgebaut werden. Sie müssen beispielsweise nicht mehr warten, bis jeder Vorgang abgeschlossen ist, bevor Sie ein anderes Konto aktualisieren oder bevor Sie eine gesamte Organisationseinheit (OU) erneut registrieren. ## Anpassung Account Factory (AFC) **28. November 2022** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Die werkseitige Anpassung von Konten ermöglicht es Ihnen, neue und bestehende Konten von der AWS Control Tower Tower-Konsole aus anzupassen. Diese neuen Anpassungsfunktionen bieten Ihnen die Flexibilität, Konto-Blueprints zu definieren. Dabei handelt es sich um CloudFormation Vorlagen, die in einem speziellen Service Catalog-Produkt enthalten sind. Blueprints bieten vollständig angepasste Ressourcen und Konfigurationen. Sie können sich auch dafür entscheiden, vordefinierte Blueprints zu verwenden, die von AWS Partnern erstellt und verwaltet werden und Ihnen helfen, Konten für bestimmte Anwendungsfälle anzupassen. Bisher unterstützte AWS Control Tower Account Factory die Kontoanpassung in der Konsole nicht. Mit diesem Update von Account Factory können Sie Kontoanforderungen vordefinieren und diese als Teil eines klar definierten Workflows implementieren. Sie können Blueprints anwenden, um neue Konten zu erstellen, andere AWS Konten bei AWS Control Tower zu registrieren und bestehende AWS Control Tower Tower-Konten zu aktualisieren. Wenn Sie ein Konto in Account Factory bereitstellen, registrieren oder aktualisieren, wählen Sie den Blueprint aus, der bereitgestellt werden soll. Die im Blueprint angegebenen Ressourcen werden in Ihrem Konto bereitgestellt. Wenn Ihr Konto mit der Erstellung fertig ist, können alle benutzerdefinierten Konfigurationen sofort verwendet werden. Um mit der Anpassung von Konten zu beginnen, können Sie die Ressourcen für Ihren beabsichtigten Anwendungsfall in einem Service Catalog-Produkt definieren. Sie können auch von Partnern verwaltete Lösungen aus der Bibliothek „ AWS Erste Schritte“ auswählen. Weitere Informationen finden Sie unter [Passen Sie Konten mit Account Factory Customization (AFC) an](af-customization-page.md). ## Umfassende Kontrollen helfen bei der Bereitstellung und AWS Verwaltung von Ressourcen **28. November 2022** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt ein umfassendes Kontrollmanagement, einschließlich neuer, optionaler proaktiver Kontrollen, die über CloudFormation Hooks implementiert werden. Diese Kontrollen werden als proaktiv bezeichnet, da sie Ihre Ressourcen — bevor die Ressourcen bereitgestellt werden — daraufhin überprüfen, ob die neuen Ressourcen den in Ihrer Umgebung aktivierten Kontrollen entsprechen. Über 130 neue proaktive Kontrollen unterstützen Sie bei der Erfüllung bestimmter Richtlinienziele für Ihre AWS Control Tower Tower-Umgebung, bei der Erfüllung der Anforderungen branchenüblicher Compliance-Frameworks und bei der Steuerung von AWS Control Tower Tower-Interaktionen mit mehr als zwanzig anderen AWS Services. Die Kontrollbibliothek von AWS Control Tower klassifiziert diese Kontrollen nach den zugehörigen AWS Services und Ressourcen. Weitere Informationen finden Sie unter [Proaktive Kontrollen](https://docs.aws.amazon.com//controltower/latest/controlreference/proactive-controls.html). Mit dieser Version ist AWS Control Tower über den neuen Security Hub CSPM **Service-Managed Standard auch in AWS Control Tower integriert, der den Standard** AWS Foundational Security Best Practices (FSBP) unterstützt. AWS Security Hub CSPM In der Konsole können Sie neben den AWS Control Tower Tower-Kontrollen über 160 Security Hub CSPM-Steuerelemente anzeigen und eine Security Hub-CSPM-Sicherheitsbewertung für Ihre AWS Control Tower Tower-Umgebung abrufen. Weitere Informationen finden Sie unter [Security Hub-Steuerelemente](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html). ## Der Compliance-Status ist für alle AWS Config Regeln sichtbar **18. November 2022** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower zeigt jetzt den Compliance-Status aller AWS Config Regeln an, die in den bei AWS Control Tower registrierten Organisationseinheiten implementiert wurden. Sie können den Compliance-Status aller AWS Config Regeln, die sich auf Ihre Konten in AWS Control Tower auswirken, ob registriert oder nicht registriert, einsehen, ohne die AWS Control Tower Tower-Konsole verlassen zu müssen. Kunden können wählen, ob sie Config-Regeln, sogenannte Detective Controls, in AWS Control Tower oder direkt über den AWS Config Service einrichten möchten. Die von bereitgestellten Regeln AWS Config werden zusammen mit den von AWS Control Tower bereitgestellten Regeln angezeigt. Bisher waren AWS Config Regeln, die über den AWS Config Service bereitgestellt wurden, in der AWS Control Tower Tower-Konsole nicht sichtbar. Kunden mussten zum AWS Config Service navigieren, um AWS Config Regeln zu identifizieren, die den Anforderungen nicht entsprachen. Jetzt können Sie jede nicht konforme AWS Config Regel in der AWS Control Tower Tower-Konsole identifizieren. Um den Compliance-Status all Ihrer Config-Regeln einzusehen, navigieren Sie zur Seite mit den **Kontodetails** in der AWS Control Tower Tower-Konsole. Sie sehen eine Liste mit dem Compliance-Status der von AWS Control Tower verwalteten Kontrollen und den Konfigurationsregeln, die außerhalb von AWS Control Tower bereitgestellt werden. ## API für Kontrollen und eine neue CloudFormation Ressource **1. September 2022** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt die programmatische Verwaltung von Kontrollen, auch bekannt als *Guardrails*, über eine Reihe von API-Aufrufen. Eine neue CloudFormation Ressource unterstützt die API-Funktionalität für Steuerungen. Weitere Informationen finden Sie unter [Automatisieren Sie Aufgaben in AWS Control Tower](automating-tasks.md) und [AWS Control Tower Ressourcen erstellen mit AWS CloudFormation](creating-resources-with-cloudformation.md). Diese APIs ermöglichen es Ihnen, Kontrollen in der AWS Control Tower Tower-Bibliothek zu aktivieren, zu deaktivieren und den Anwendungsstatus zu überprüfen. Sie APIs beinhalten Unterstützung für CloudFormation, sodass Sie AWS Ressourcen als infrastructure-as-code (IaC) verwalten können. AWS Control Tower bietet optionale präventive und detektive Kontrollen, die Ihre politischen Absichten in Bezug auf eine gesamte Organisationseinheit (OU) und jedes AWS Konto innerhalb der OU zum Ausdruck bringen. Diese Regeln bleiben in Kraft, wenn Sie neue Konten erstellen oder Änderungen an bestehenden Konten vornehmen. **APIs in dieser Version enthalten** + **EnableControl**— Dieser API-Aufruf aktiviert ein Steuerelement. Es startet einen asynchronen Vorgang, der AWS Ressourcen für die angegebene Organisationseinheit und die darin enthaltenen Konten erstellt. + **DisableControl**— Dieser API-Aufruf deaktiviert ein Steuerelement. Es startet einen asynchronen Vorgang, bei dem AWS Ressourcen in der angegebenen Organisationseinheit und den darin enthaltenen Konten gelöscht werden. + **GetControlOperation**— Gibt den Status einer bestimmten **EnableControl**DisableControl****OR-Operation zurück. + **ListEnabledControls**— Listet die von AWS Control Tower für die angegebene Organisationseinheit aktivierten Kontrollen und die darin enthaltenen Konten auf. Eine Liste der Kontrollnamen für optionale Kontrollen finden Sie unter [Ressourcen-Identifikatoren für APIs und Kontrollen](https://docs.aws.amazon.com//controltower/latest/userguide/control-identifiers.html) im *AWS Control Tower Tower-Benutzerhandbuch*. ## cFCT unterstützt das Löschen von Stack-Sets **26. August 2022** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) Anpassungen für AWS Control Tower (cFCT) unterstützen jetzt das Löschen von Stack-Sets, indem ein Parameter in der `manifest.yaml` Datei festgelegt wird. Weitere Informationen finden Sie unter [Löschen eines Stack-Sets](cfct-delete-stack.md). **Wichtig** Wenn Sie zunächst den Wert `enable_stack_set_deletion` auf festlegen`true`, werden beim nächsten Aufruf von cFCt **ALLE** Ressourcen, die mit dem Präfix beginnen`CustomControlTower-`, die über das zugehörige Schlüssel-Tag `Key:AWS_Solutions, Value: CustomControlTowerStackSet` verfügen und die nicht in der Manifestdatei deklariert sind, zum Löschen zwischengespeichert. ## Benutzerdefinierte Aufbewahrung von Protokollen **15. August 2022** (Update für die AWS Control Tower Tower-Landezone erforderlich. Weitere Informationen finden Sie unter[Aktualisiere deine landing zone](update-controltower.md)) AWS Control Tower bietet jetzt die Möglichkeit, die Aufbewahrungsrichtlinie für Amazon S3 S3-Buckets anzupassen, in denen Ihre AWS Control Tower CloudTrail Tower-Protokolle gespeichert werden. Sie können Ihre Amazon S3 S3-Richtlinie zur Aufbewahrung von Protokollen in Schritten von Tagen oder Jahren bis zu einem Maximum von 15 Jahren anpassen. Wenn Sie Ihre Protokollaufbewahrung nicht anpassen möchten, sind die Standardeinstellungen 1 Jahr für die Standardkontenprotokollierung und 10 Jahre für die Zugriffsprotokollierung. Diese Funktion ist für Bestandskunden über AWS Control Tower verfügbar, wenn Sie Ihre landing zone aktualisieren oder reparieren, und für Neukunden über das AWS Control Tower Tower-Setup ## Reparatur von Role Drift ist verfügbar **11. August 2022** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower unterstützt jetzt die Reparatur von Rollenabweichungen. Sie können eine benötigte Rolle wiederherstellen, ohne Ihre landing zone vollständig reparieren zu müssen. Wenn diese Art von Drift-Reparatur erforderlich ist, finden Sie auf der Fehlerseite der Konsole Schritte zum Wiederherstellen der Rolle, sodass Ihre landing zone wieder verfügbar ist. ## AWS-Control-Tower-Landezone, Version 3.0 **29. Juli 2022** (Für die AWS Control Tower landing zone ist ein Update auf Version 3.0 erforderlich. Weitere Informationen finden Sie unter[Aktualisiere deine landing zone](update-controltower.md)) Die AWS Control Tower landing zone Version 3.0 beinhaltet die folgenden Updates: + Die Option, Trails auf Organisationsebene zu wählen oder sich von AWS CloudTrail CloudTrail Trails abzumelden, die von AWS Control Tower verwaltet werden. + Zwei neue Detektivkontrollen, mit denen Sie feststellen können, ob AWS CloudTrail Aktivitäten in Ihren Konten protokolliert werden. + Die Option, AWS Config Informationen über globale Ressourcen nur in Ihrer Heimatregion zu aggregieren. + Ein Update für die Region Deny Control. + Eine Aktualisierung der verwalteten Richtlinie, **AWSControlTowerServiceRolePolicy**. + Wir erstellen die IAM-Rolle `aws-controltower-CloudWatchLogsRole` und die CloudWatch Protokollgruppe nicht mehr `aws-controltower/CloudTrailLogs` in jedem registrierten Konto. Bisher haben wir diese in jedem Konto für seinen Konto-Trail erstellt. Bei Organization Trails erstellen wir nur einen im Verwaltungskonto. In den folgenden Abschnitten finden Sie weitere Informationen zu den einzelnen neuen Funktionen. ** CloudTrail Trails auf Organisationsebene in AWS Control Tower** Mit landing zone Version 3.0 unterstützt AWS Control Tower jetzt Trails auf Organisationsebene AWS CloudTrail . Wenn Sie Ihre AWS Control Tower-Landezone auf Version 3.0 aktualisieren, haben Sie die Möglichkeit, AWS CloudTrail Trails auf Organisationsebene als bevorzugte Protokollierung auszuwählen oder CloudTrail Trails, die von AWS Control Tower verwaltet werden, abzulehnen. Wenn Sie auf Version 3.0 aktualisieren, löscht AWS Control Tower *die vorhandenen Trails auf Kontoebene für registrierte Konten nach einer Wartezeit* von 24 Stunden. AWS Control Tower löscht keine Trails auf Kontoebene für nicht registrierte Konten. In dem unwahrscheinlichen Fall, dass Ihr landing zone Zone-Update nicht erfolgreich ist, der Fehler jedoch auftritt, nachdem AWS Control Tower den Trail auf Organisationsebene bereits erstellt hat, können Ihnen doppelte Gebühren für Trails auf Organisations- und Kontoebene entstehen, bis Ihr Aktualisierungsvorgang erfolgreich abgeschlossen werden kann. Ab landing zone 3.0 unterstützt AWS Control Tower keine verwalteten Trails auf Kontoebene mehr. AWS Stattdessen erstellt AWS Control Tower einen Trail auf Organisationsebene, der je nach Ihrer Auswahl aktiv oder inaktiv ist. **Anmerkung** Nach dem Update auf Version 3.0 oder höher haben Sie nicht die Möglichkeit, mit den von AWS Control Tower verwalteten CloudTrail Trails auf Kontoebene fortzufahren. Aus Ihren aggregierten Kontoprotokollen gehen keine Protokolldaten verloren, da die Protokolle im vorhandenen Amazon S3 S3-Bucket verbleiben, in dem sie gespeichert werden. Nur die Trails werden gelöscht, nicht die vorhandenen Logs. Wenn Sie die Option zum Hinzufügen von Trails auf Organisationsebene auswählen, öffnet AWS Control Tower einen neuen Pfad zu einem neuen Ordner in Ihrem Amazon S3 S3-Bucket und sendet weiterhin Protokollierungsinformationen an diesen Speicherort. Wenn Sie sich dafür entscheiden, die von AWS Control Tower verwalteten Trails abzulehnen, bleiben Ihre vorhandenen Protokolle unverändert im Bucket. **Konventionen zur Benennung von Pfaden für den Protokollspeicher** + Konto-Trail-Logs werden mit einem Pfad in der folgenden Form gespeichert: `/org id/AWSLogs/… ` + Protokolldateien von Organisationen werden mit einem Pfad in der folgenden Form gespeichert: `/org id/AWSLogs/org id/… ` Der Pfad, den AWS Control Tower für Ihre CloudTrail Trails auf Organisationsebene erstellt, unterscheidet sich vom Standardpfad für einen manuell erstellten Trail auf Organisationsebene, der die folgende Form haben würde: + `/AWSLogs/org id/… ` [Weitere Informationen zur CloudTrail Pfadbenennung finden Sie unter Ihre Protokolldateien finden. CloudTrail ](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-find-log-files.html ) **Tipp** Wenn Sie planen, Ihre eigenen Trails auf Kontoebene zu erstellen und zu verwalten, empfehlen wir Ihnen, die neuen Trails zu erstellen, bevor Sie das Update auf AWS Control Tower landing zone Version 3.0 abschließen, um sofort mit der Protokollierung zu beginnen. Sie können jederzeit neue CloudTrail Trails auf Konto- oder Organisationsebene erstellen und diese selbst verwalten. Die Option, CloudTrail Trails auf Organisationsebene auszuwählen, die von AWS Control Tower verwaltet werden, ist bei jedem landing zone Zone-Update auf Version 3.0 oder höher verfügbar. Du kannst Trails *auf* Organisationsebene *aktivieren* und deaktivieren, wann immer du deine landing zone aktualisierst. Wenn Ihre Protokolle von einem Drittanbieter verwaltet werden, geben Sie Ihrem Dienst unbedingt den neuen Pfadnamen. **Anmerkung** Für Landezonen mit Version 3.0 oder höher werden AWS CloudTrail Trails auf Kontoebene von AWS Control Tower nicht unterstützt. Sie können jederzeit Ihre eigenen Trails auf Kontoebene erstellen und verwalten, oder Sie können sich für Trails auf Organisationsebene entscheiden, die von AWS Control Tower verwaltet werden. **Erfassen Sie AWS Config Ressourcen nur in der Heimatregion** In landing zone Version 3.0 hat AWS Control Tower die Basiskonfiguration für aktualisiert, AWS Config sodass globale Ressourcen nur in der Heimatregion aufgezeichnet werden. Nach dem Update auf Version 3.0 ist die Ressourcenaufzeichnung für globale Ressourcen nur in Ihrer Heimatregion aktiviert. Diese Konfiguration wird als bewährte Methode angesehen. Sie wird von AWS Security Hub CSPM und empfohlen und ermöglicht Kosteneinsparungen AWS Config, da die Anzahl der Konfigurationselemente reduziert wird, die beim Erstellen, Ändern oder Löschen globaler Ressourcen erstellt werden. Bisher wurde jedes Mal, wenn eine globale Ressource von einem Kunden oder einem AWS Service erstellt, aktualisiert oder gelöscht wurde, für jedes Element in jeder kontrollierten Region ein Konfigurationselement erstellt. **Zwei neue Detektivsteuerungen für die AWS CloudTrail Protokollierung** Im Rahmen der Umstellung auf AWS CloudTrail Trails auf Organisationsebene führt AWS Control Tower zwei neue Erkennungskontrollen ein, die überprüfen, ob sie aktiviert CloudTrail sind. Das erste Steuerelement verfügt über eine **obligatorische** Anleitung und ist auf der Security OU bei Setup- oder Landingzone-Updates von 3.0 und höher aktiviert. Für das zweite Steuerelement **wird dringend empfohlen**, und es kann optional auf alle OUs anderen Steuerelemente als die Sicherheits-Organisationseinheit angewendet werden, für die der obligatorische Kontrollschutz bereits aktiviert ist. **Obligatorische Kontrolle:** [Ermitteln Sie, ob für gemeinsame Konten der Organisationseinheit Sicherheit AWS CloudTrail oder CloudTrail Lake aktiviert](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#ensure-cloudtrail-enabled-mandatory) ist **Dringend empfohlene Kontrolle:** [Ermitteln Sie, ob für ein Konto AWS CloudTrail oder CloudTrail Lake aktiviert ist](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#ensure-cloudtrail-enabled-recommended) Weitere Informationen zu den neuen Steuerungen finden Sie in [der AWS Control Tower Controls Library](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html). **Ein Update für die Region Deny Control** Wir haben die **NotAction**Liste in der Region „Steuerung verweigern“ aktualisiert und enthält nun auch Aktionen einiger zusätzlicher Dienste, die unten aufgeführt sind: ``` "chatbot:*", "s3:GetAccountPublic", "s3:DeleteMultiRegionAccessPoint", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "s3:GetStorageLensConfiguration", "s3:GetStorageLensDashboard", "s3:ListStorageLensConfigurations" "s3:GetAccountPublicAccessBlock", "s3:PutAccountPublic", "s3:PutAccountPublicAccessBlock", ``` ### Video-Anleitung In diesem Video (3:07) wird beschrieben, wie Sie Ihre bestehende AWS Control Tower Tower-Landing landing zone auf Version 3 aktualisieren. Wählen Sie zur besseren Ansicht das Symbol in der rechten unteren Ecke des Videos, um es in voller Bildschirmgröße anzuzeigen. Es stehen Untertitel zur Verfügung. [![AWS Videos](http://img.youtube.com/vi/zf-dJ6_joTw/0.jpg)](http://www.youtube.com/watch?v=zf-dJ6_joTw) ## Auf der Seite „Organisation“ werden Ansichten von Konten OUs und Ansichten zusammengefasst **18. Juli 2022** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) Die neue **Organisationsseite** in AWS Control Tower zeigt eine hierarchische (Baum-) Ansicht aller Organisationseinheiten (OUs) und Konten. Sie kombiniert die Informationen aus den Seiten **OUs**und **Konten**, die zuvor vorhanden waren. Auf der neuen Seite können Sie die Beziehungen zwischen übergeordneten OUs und ihren verschachtelten OUs Konten sehen. Sie können Maßnahmen für Gruppierungen von Ressourcen ergreifen. Sie können die Seitenansicht konfigurieren. Sie können beispielsweise die hierarchische Ansicht erweitern oder reduzieren, die Ansicht so filtern, dass OUs nur Konten angezeigt werden, Sie können festlegen, dass nur Ihre registrierten und registrierten Konten angezeigt werden OUs, oder Sie können Gruppen verwandter Ressourcen anzeigen. Es ist einfacher sicherzustellen, dass Ihre gesamte Organisation ordnungsgemäß aktualisiert wird. ## Vereinfachte Kontoerstellung und Registrierung **30. Juni 2022** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower bietet jetzt einen vereinfachten Arbeitsablauf für die Erstellung und Registrierung von Konten. Sie können ein neues Konto erstellen oder ein vorhandenes Konto in einem einzigen Workflow registrieren, ohne zur Service Catalog-Konsole zu navigieren. Weitere Informationen finden Sie unter [Registrieren Sie ein vorhandenes Konto über die AWS Control Tower Tower-Konsole](quick-account-provisioning.md). ## AFT unterstützt die automatische Anpassung für gemeinsam genutzte AWS Control Tower Tower-Konten **27. Mai 2022** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) Account Factory for Terraform (AFT) kann jetzt alle Ihre Konten, die von AWS Control Tower verwaltet werden, programmgesteuert anpassen und aktualisieren, einschließlich des Verwaltungskontos, des Prüfkontos und des Protokollarchiv-Kontos sowie Ihrer registrierten Konten. Sie können Ihre Kontoanpassung und das Aktualisierungsmanagement zentralisieren und gleichzeitig die Sicherheit Ihrer Kontokonfigurationen schützen, da Sie die Rolle, die die Arbeit ausführt, selbst festlegen. Mit der vorhandenen **AWSAFTExecution**Rolle werden nun Anpassungen für alle Konten bereitgestellt. Sie können IAM-Berechtigungen mit Grenzen einrichten, die den Zugriff auf die **AWSAFTExecution**Rolle entsprechend Ihren Geschäfts- und Sicherheitsanforderungen einschränken. Sie können die genehmigten Anpassungsberechtigungen in dieser Rolle für vertrauenswürdige Benutzer auch programmgesteuert delegieren. Als bewährte Methode empfehlen wir, die Berechtigungen auf diejenigen zu beschränken, die für die Bereitstellung der erforderlichen Anpassungen erforderlich sind. AFT erstellt jetzt die neue **AWSAFTService**Rolle für die Bereitstellung von AFT-Ressourcen für alle verwalteten Konten, einschließlich der gemeinsamen Konten und des Verwaltungskontos. Ressourcen wurden früher von der **AWSAFTExecution**Rolle bereitgestellt. Die gemeinsamen Konten und Verwaltungskonten von AWS Control Tower werden nicht über Account Factory bereitgestellt, sodass sie nicht über die entsprechenden bereitgestellten Produkte verfügen. AWS Service Catalog Daher können Sie die gemeinsamen Konten und Verwaltungskonten in Service Catalog nicht aktualisieren. ## Gleichzeitige Operationen für alle optionalen Steuerelemente **18. Mai 2022** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) AWS Control Tower unterstützt jetzt gleichzeitige Operationen für präventive Kontrollen sowie für detektive Kontrollen. Mit dieser neuen Funktion kann jetzt jede optionale Steuerung gleichzeitig angewendet oder entfernt werden, wodurch die Benutzerfreundlichkeit und Leistung aller optionalen Kontrollen verbessert werden. Sie können mehrere optionale Steuerungen aktivieren, ohne auf den Abschluss einzelner Steuervorgänge warten zu müssen. Die einzigen eingeschränkten Zeiten sind, wenn AWS Control Tower gerade dabei ist, eine landing zone einzurichten oder die Verwaltung auf eine neue Organisation auszudehnen. **Unterstützte Funktionen für präventive Kontrollen:** + Wenden Sie verschiedene präventive Kontrollen auf derselben Organisationseinheit an und entfernen Sie sie. + Wenden Sie verschiedene präventive Kontrollen gleichzeitig an und entfernen Sie sie. OUs + Wenden Sie dieselbe vorbeugende Kontrolle an mehreren OUs gleichzeitig an und entfernen Sie sie. + Sie können alle präventiven und detektiven Kontrollen gleichzeitig anwenden und entfernen. Sie können diese Verbesserungen der Parallelität bei der Steuerung in allen veröffentlichten Versionen von AWS Control Tower erleben. Wenn Sie präventive Kontrollen auf verschachtelte Konten anwenden OUs, wirken sich die präventiven Kontrollen auf alle Konten aus, die unter der Ziel-OU OUs verschachtelt OUs sind, auch wenn diese Konten nicht bei AWS Control Tower registriert sind. Präventive Kontrollen werden mithilfe von Service Control Policies (SCPs) implementiert, die Teil von sind. AWS Organizations Detektivkontrollen werden mithilfe von AWS Config Regeln implementiert. Die Leitplanken bleiben in Kraft, wenn Sie neue Konten erstellen oder Änderungen an Ihren bestehenden Konten vornehmen, und AWS Control Tower bietet einen zusammenfassenden Bericht darüber, wie jedes Konto Ihren aktivierten Richtlinien entspricht. Eine vollständige Liste der verfügbaren Steuerelemente finden Sie in [der AWS Control Tower Tower-Steuerungsbibliothek](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html). ## Bestehende Sicherheits- und Protokollierungskonten **16. Mai 2022** (Bei der Ersteinrichtung verfügbar.) AWS Control Tower bietet Ihnen jetzt die Möglichkeit, während der ersten Einrichtung der landing zone ein vorhandenes AWS Konto als AWS Control Tower Tower-Sicherheits- oder Protokollierungskonto anzugeben. Diese Option macht es überflüssig, dass AWS Control Tower neue, gemeinsame Konten erstellt. Das Sicherheitskonto, das standardmäßig als **Auditkonto** bezeichnet wird, ist ein eingeschränktes Konto, das Ihren Sicherheits- und Compliance-Teams Zugriff auf alle Konten in Ihrer landing zone gewährt. Das Protokollierungskonto, das standardmäßig als **Log Archive-Konto** bezeichnet wird, dient als Repository. Es speichert Protokolle von API-Aktivitäten und Ressourcenkonfigurationen von allen Konten in Ihrer landing zone. Indem Sie Ihre bestehenden Sicherheits- und Protokollierungskonten verwenden, ist es einfacher, die AWS Control Tower-Governance auf Ihre bestehenden Organisationen auszudehnen oder von einer alternativen landing zone zu AWS Control Tower zu wechseln. Die Option, bestehende Konten zu verwenden, wird bei der ersten Einrichtung der landing zone angezeigt. Sie umfasst Prüfungen während des Einrichtungsprozesses, die eine erfolgreiche Bereitstellung sicherstellen. AWS Control Tower implementiert die erforderlichen Rollen und Kontrollen für Ihre bestehenden Konten. Es werden keine vorhandenen Ressourcen oder Daten, die in diesen Konten vorhanden sind, entfernt oder zusammengeführt. Einschränkung: Wenn Sie planen, bestehende AWS Konten als Audit- und Protokollarchivkonten in AWS Control Tower zu integrieren, und wenn diese Konten über vorhandene AWS Config Ressourcen verfügen, müssen Sie die vorhandenen AWS Config Ressourcen löschen, bevor Sie die Konten bei AWS Control Tower registrieren können. ## AWS-Control-Tower-Landezone, Version 2.9 **22. April 2022** (Für die AWS Control Tower landing zone ist ein Update auf Version 2.9 erforderlich. Weitere Informationen finden Sie unter[Aktualisiere deine landing zone](update-controltower.md)) AWS Control Tower landing zone Version 2.9 aktualisiert den Notification Forwarder Lambda, sodass er die Python-Laufzeit der Version 3.9 verwendet. Dieses Update behebt die veraltete Version 3.6 von Python, die für Juli 2022 geplant ist. Die neuesten Informationen finden Sie auf [der Python-Verfallsseite.](https://docs.aws.amazon.com//lambda/latest/dg/runtime-support-policy.html) ## AWS-Control-Tower-Landezone, Version 2.8 **10. Februar 2022** (Für die AWS Control Tower landing zone ist ein Update auf Version 2.8 erforderlich. Weitere Informationen finden Sie unter[Aktualisiere deine landing zone](update-controltower.md)) Die AWS Control Tower landing zone Version 2.8 fügt Funktionen hinzu, die den jüngsten Aktualisierungen der [Best Practices für AWS grundlegende Sicherheit entsprechen](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp.html). **In dieser Version:** + Die Zugriffsprotokollierung ist für den Zugriffs-Log-Bucket im Log Archive-Konto konfiguriert, um den Zugriff auf den vorhandenen S3-Zugriffs-Log-Bucket nachzuverfolgen. + Support für Lifecycle-Richtlinien wurde hinzugefügt. Das Zugriffsprotokoll für den vorhandenen S3-Zugriffsprotokoll-Bucket ist auf eine standardmäßige Aufbewahrungszeit von 10 Jahren festgelegt. + Darüber hinaus aktualisiert diese Version AWS Control Tower so, dass es die von AWS Config bereitgestellte AWS Service Linked Role (SLR) in allen verwalteten Konten (außer dem Verwaltungskonto) verwendet, sodass Sie Config-Regeln einrichten und verwalten können, die den AWS Config bewährten Methoden entsprechen. Kunden, die kein Upgrade durchführen, werden weiterhin ihre bestehende Rolle verwenden. + Diese Version optimiert den AWS Control Tower KMS-Konfigurationsprozess für die Verschlüsselung von AWS Config Daten und verbessert die zugehörigen Statusmeldungen in. CloudTrail + Die Version enthält ein Update für die Region Deny Control, um die `route53-application-recovery` Funktion in zu ermöglichen. `us-west-2` + Update: Am 15. Februar 2022 haben wir die Warteschlange für tote Buchstaben für AWS Lambda-Funktionen entfernt. **Weitere Details:** + Wenn Sie Ihre landing zone nehmen, entfernt AWS Control Tower die AWS Config serviceverknüpfte Rolle nicht. + Wenn Sie die Bereitstellung eines Account Factory Factory-Kontos aufheben, entfernt AWS Control Tower die AWS Config serviceverknüpfte Rolle nicht. Um Ihre landing zone auf 2.8 zu aktualisieren, navigieren Sie zur Seite mit den **Landingzone-Einstellungen**, wählen Sie die Version 2.8 aus und wählen Sie dann **Aktualisieren**. Nachdem Sie Ihre landing zone aktualisiert haben, müssen Sie alle Konten aktualisieren, die von AWS Control Tower verwaltet werden, wie unter beschrieben[Verwaltung von Konfigurationsupdates in AWS Control Tower](configuration-updates.md). # Januar bis Dezember 2021 Im Jahr 2021 veröffentlichte AWS Control Tower die folgenden Updates: + [Region verweigert Funktionen](#region-deny-control) + [Funktionen zur Datenresidenz](#data-residency-feature) + [AWS Control Tower führt die Bereitstellung und Anpassung von Terraform-Konten ein](#aft-available) + [Neues Lebenszyklus-Ereignis verfügbar](#precheck-organizational-unit-event) + [AWS Control Tower ermöglicht verschachtelte OUs](#nested-ou) + [Parallelität mit detektivischer Kontrolle](#detective-control-concurrency) + [Zwei neue Regionen verfügbar](#paris-and-sao-paulo) + [Abwahl der Region](#region-deselect) + [AWS Control Tower arbeitet mit AWS Schlüsselverwaltungssystemen](#kms-keys) + [Steuerung umbenannt, Funktionalität unverändert](#control-renaming) + [AWS Control Tower scannt SCPs täglich, um zu überprüfen, ob Abweichungen vorliegen](#daily-scp-scans) + [Benutzerdefinierte Namen für OUs und Konten](#rename-core-ous-and-accounts) + [AWS-Control-Tower-Landezone, Version 2.7](#version-2.7) + [Drei neue AWS Regionen verfügbar](#three-new-regions) + [Regiert nur ausgewählte Regionen](#region-select) + [AWS Control Tower erweitert jetzt die Governance auf bestehende OUs Systeme in Ihren AWS Organisationen](#extended-governance) + [AWS Control Tower bietet Bulk-Kontoaktualisierungen](#bulk-update) ## Region verweigert Funktionen **30. November 2021** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich.) AWS Control Tower bietet jetzt Region-Deny-Funktionen, mit denen Sie den Zugriff auf AWS Services und Operationen für registrierte Konten in Ihrer AWS Control Tower Tower-Umgebung einschränken können. Die Funktion Region verweigern ergänzt die bestehenden Funktionen zur Regionsauswahl und zur Abwahl von Regionen in AWS Control Tower. Zusammen helfen Ihnen diese Funktionen dabei, Bedenken im Zusammenhang mit der Einhaltung gesetzlicher Vorschriften und Vorschriften auszuräumen und gleichzeitig die Kosten auszugleichen, die mit der Expansion in weitere Regionen verbunden sind. Beispielsweise können AWS Kunden in Deutschland den Zugang zu AWS Diensten in Regionen außerhalb der Region Frankfurt verweigern. Sie können eingeschränkte Regionen während der Einrichtung von AWS Control Tower oder auf der Seite mit den **Landingzone-Einstellungen** auswählen. Die Funktion Region Deny ist verfügbar, wenn Sie Ihre AWS Control Tower Tower-Landing Zone-Version aktualisieren. Ausgewählte AWS Services sind von der Funktion „Region Deny“ ausgenommen. Weitere Informationen finden Sie unter [Konfiguration der Steuerung „Regionsverweigerung](https://docs.aws.amazon.com//controltower/latest/userguide/region-deny.html)“. ## Funktionen zur Datenresidenz **30. November 2021** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) AWS Control Tower bietet jetzt speziell entwickelte Kontrollen, um sicherzustellen, dass sich alle Kundendaten, die Sie in AWS Services hochladen, nur in den von Ihnen angegebenen AWS Regionen befinden. Sie können die AWS Region oder Regionen auswählen, in denen Ihre Kundendaten gespeichert und verarbeitet werden. Eine vollständige Liste der AWS Regionen, in denen AWS Control Tower verfügbar ist, finden Sie [AWS in der Regionentabelle](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services/). Für eine detaillierte Kontrolle können Sie zusätzliche Kontrollen anwenden, z. B. **Amazon Virtual Private Network (VPN) -Verbindungen verbieten** oder den **Internetzugang für eine Amazon VPC-Instance verbieten**. Sie können den Compliance-Status der Kontrollen in der AWS Control Tower Tower-Konsole einsehen. Eine vollständige Liste der verfügbaren Steuerelemente finden Sie in [der AWS Control Tower Tower-Steuerungsbibliothek](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html). ## AWS Control Tower führt die Bereitstellung und Anpassung von Terraform-Konten ein **29. November 2021** (Optionales Update für die AWS Control Tower Tower-Landezone) Mit AWS Control Tower Account *Factory for Terraform (AFT) können Sie jetzt Terraform verwenden, um benutzerdefinierte Konten über AWS Control Tower* bereitzustellen und zu aktualisieren. AFT bietet eine einzige Terraform-Infrastructure-as-Code-Pipeline (IaC), die Konten bereitstellt, die von AWS Control Tower verwaltet werden. Anpassungen während der Bereitstellung tragen dazu bei, Ihre Geschäfts- und Sicherheitsrichtlinien einzuhalten, bevor Sie die Konten an Endbenutzer weitergeben. Die automatische AFT-Pipeline zur Kontoerstellung überwacht, bis die Kontobereitstellung abgeschlossen ist. Anschließend wird sie fortgesetzt, wodurch zusätzliche Terraform-Module ausgelöst werden, die das Konto um alle erforderlichen Anpassungen erweitern. Als zusätzlichen Teil des Anpassungsprozesses können Sie die Pipeline so konfigurieren, dass Ihre eigenen benutzerdefinierten Terraform-Module installiert werden, und Sie können wählen, ob Sie alle AFT-Funktionsoptionen hinzufügen möchten, die von für allgemeine Anpassungen bereitgestellt werden. AWS Beginnen Sie mit AWS Control Tower Account Factory for Terraform, indem Sie die Schritte im *AWS Control Tower Tower-Benutzerhandbuch befolgen* und AFT für Ihre Terraform-Instance herunterladen. [Stellen Sie AWS Control Tower Account Factory für Terraform (AFT) bereit](aft-getting-started.md) AFT unterstützt die Open-Source-Distributionen Terraform Cloud, Terraform Enterprise und Terraform. ## Neues Lebenszyklus-Ereignis verfügbar **18. November 2021** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) Das `PrecheckOrganizationalUnit` Ereignis protokolliert, ob Ressourcen, einschließlich verschachtelter OUs Ressourcen, den Erfolg der Aufgabe „**Steuerung erweitern**“ verhindern. Weitere Informationen finden Sie unter [`PrecheckOrganizationalUnit`](lifecycle-events.md#precheck-organizational-unit). ## AWS Control Tower ermöglicht verschachtelte OUs **16. November 2021** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) Mit AWS Control Tower können Sie Nested jetzt OUs als Teil Ihrer landing zone einbeziehen. AWS Control Tower bietet Unterstützung für verschachtelte Organisationseinheiten (OUs), sodass Sie Konten in mehreren Hierarchieebenen organisieren und präventive Kontrollen hierarchisch durchsetzen können. Sie können sich registrieren, die verschachtelte OUs Elemente OUs enthalten, sie erstellen und OUs unter der übergeordneten OUs Organisationseinheit registrieren und Kontrollen für jede registrierte Organisationseinheit aktivieren, unabhängig von deren Umfang. Um diese Funktionalität zu unterstützen, zeigt die Konsole die Anzahl der verwalteten Konten und OUs. Mit Nested OUs können Sie Ihren AWS Control Tower OUs an der Strategie für AWS mehrere Konten ausrichten und den Zeitaufwand für die Aktivierung von Kontrollen für mehrere reduzieren OUs, indem Sie Kontrollen auf der Ebene der übergeordneten Organisationseinheit durchsetzen. **Wesentliche Überlegungen** 1. Sie können eine bestehende, mehrstufige OUs Organisationseinheit nach der anderen bei AWS Control Tower registrieren, wobei Sie mit der Organisationseinheit der obersten Ebene beginnen und dann die Struktur nach unten fortsetzen. Weitere Informationen finden Sie unter [Erweitern Sie von einer flachen OU-Struktur zu einer verschachtelten OU-Struktur](nested-ous.md#flat-to-nested). 1. Konten, die direkt einer registrierten Organisationseinheit unterstehen, werden automatisch registriert. Konten, die weiter unten in der Liste stehen, können registriert werden, indem die ihnen unmittelbar übergeordnete Organisationseinheit registriert wird. 1. Präventive Kontrollen (SCPs) werden automatisch in der Hierarchie weiter unten vererbt. Wenn sie auf die übergeordnete SCPs Komponente angewendet werden, werden sie von allen OUs verschachtelten Steuerelementen übernommen. 1. Detective Controls (AWS Config-Regeln) werden NICHT automatisch vererbt. 1. Die Einhaltung der detektivischen Kontrollen wird von jeder Organisationseinheit gemeldet. 1. Die Änderung des SCP-Werts auf einer Organisationseinheit wirkt sich auf alle Konten und OUs untergeordnete Konten aus. 1. Sie können keine neuen, verschachtelten Dateien OUs unter der Sicherheits-OU (Core-OU) erstellen. ## Parallelität mit detektivischer Kontrolle **5. November 2021** (Optionales Update für die AWS Control Tower Tower-Landezone) AWS Control Tower Detective Controls unterstützen jetzt gleichzeitige Operationen für detektive Kontrollen und verbessern so die Benutzerfreundlichkeit und Leistung. Sie können mehrere Detective Controls aktivieren, ohne auf den Abschluss einzelner Kontrollvorgänge warten zu müssen. **Unterstützte Funktionen:** + Aktivieren Sie verschiedene Detective Controls auf derselben Organisationseinheit (z. B. „**Erkennen, ob MFA für den Root-Benutzer aktiviert ist“** und „**Erkennen, ob öffentlicher Schreibzugriff auf Amazon S3 S3-Buckets zulässig ist**“). + Aktivieren Sie verschiedene Detektivkontrollen auf verschiedenen Geräten gleichzeitig OUs. + Die Guardrail-Fehlermeldungen wurden verbessert und bieten nun zusätzliche Hinweise zu unterstützten Vorgängen zur gleichzeitigen Steuerung. **In dieser Version nicht unterstützt:** + Die OUs gleichzeitige Aktivierung derselben Detective Control auf mehreren Geräten wird nicht unterstützt. + Die gleichzeitige Nutzung der *präventiven* Kontrolle wird nicht unterstützt. Sie können die Verbesserungen der Parallelität von Detective Control in allen Versionen von AWS Control Tower erleben. Es wird empfohlen, dass Kunden, die derzeit nicht Version 2.7 verwenden, ein landing zone Zone-Update durchführen, um andere Funktionen wie die Auswahl und Abwahl von Regionen nutzen zu können, die in der neuesten Version verfügbar sind. ## Zwei neue Regionen verfügbar **29. Juli 2021** (Update für die AWS Control Tower Tower-Landezone erforderlich) AWS Control Tower ist jetzt in zwei weiteren AWS Regionen verfügbar: Südamerika (Sao Paulo) und Europa (Paris). Mit diesem Update wird die Verfügbarkeit von AWS Control Tower auf 15 AWS Regionen erweitert. Wenn Sie neu bei AWS Control Tower sind, können Sie es sofort in jeder der unterstützten Regionen starten. Während des Starts können Sie die Regionen auswählen, in denen AWS Control Tower Ihre Umgebung mit mehreren Konten aufbauen und verwalten soll. Wenn Sie bereits über eine AWS Control Tower-Umgebung verfügen und die Governance-Funktionen von AWS Control Tower in einer oder mehreren unterstützten Regionen erweitern oder entfernen möchten, rufen Sie die Seite **Landing Zone Settings** in Ihrem AWS Control Tower Tower-Dashboard auf und wählen Sie dann die Regionen aus. Nachdem Sie Ihre landing zone aktualisiert haben, müssen Sie anschließend [alle Konten aktualisieren, die von AWS Control Tower verwaltet werden](https://docs.aws.amazon.com//controltower/latest/userguide/configuration-updates.html#deploying-to-new-region). ## Abwahl der Region **29. Juli 2021** (Optionales Update für die AWS Control Tower Tower-Landezone) Wenn Sie die AWS-Control-Tower-Region abwählen, können Sie die geografische Präsenz Ihrer AWS Control Tower Tower-Ressourcen besser verwalten. Sie können die Auswahl von Regionen aufheben, für die AWS Control Tower nicht mehr zuständig sein soll. Diese Funktion bietet Ihnen die Möglichkeit, Bedenken im Zusammenhang mit der Einhaltung gesetzlicher Vorschriften und Vorschriften auszuräumen und gleichzeitig die mit der Expansion in weitere Regionen verbundenen Kosten auszugleichen. Die Abwahl der Region ist verfügbar, wenn Sie Ihre AWS Control Tower Tower-Landing Zone-Version aktualisieren. Wenn Sie Account Factory verwenden, um ein neues Konto zu erstellen oder ein bereits bestehendes Mitgliedskonto zu registrieren, oder wenn Sie **Extend Governance** auswählen, um Konten in einer bereits bestehenden Organisationseinheit zu registrieren, stellt AWS Control Tower seine Governance-Funktionen — einschließlich zentraler Protokollierung, Überwachung und Kontrolle — in den von Ihnen ausgewählten Regionen in den Konten bereit. Wenn Sie sich dafür entscheiden, eine Region abzuwählen und AWS Control Tower Governance aus dieser Region zu entfernen, wird diese Governance-Funktionalität entfernt, aber Ihre Benutzer können dadurch nicht daran gehindert werden, AWS Ressourcen oder Workloads in diesen Regionen bereitzustellen. ## AWS Control Tower arbeitet mit AWS Schlüsselverwaltungssystemen **28. Juli 2021** (Optionales Update für die AWS Control Tower Tower-Landezone) AWS Control Tower bietet Ihnen die Möglichkeit, einen AWS Key Management Service (AWS KMS) -Schlüssel zu verwenden. Ein Schlüssel wird von Ihnen bereitgestellt und verwaltet, um die von AWS Control Tower bereitgestellten Services, einschließlich AWS CloudTrail, und der zugehörigen Amazon S3 S3-Daten AWS Config, zu sichern. AWS Die KMS-Verschlüsselung ist eine erweiterte Verschlüsselungsstufe gegenüber der SSE-S3-Verschlüsselung, die AWS Control Tower standardmäßig verwendet. Die Integration der AWS KMS-Unterstützung in AWS Control Tower entspricht den **bewährten Methoden der AWS Grundlagensicherheit**, die eine zusätzliche Sicherheitsebene für Ihre sensiblen Protokolldateien empfehlen. Sie sollten AWS KMS-verwaltete Schlüssel (SSE-KMS) für die Verschlüsselung im Ruhezustand verwenden. AWS KMS-Verschlüsselungsunterstützung ist verfügbar, wenn Sie eine neue landing zone einrichten oder wenn Sie Ihre bestehende AWS Control Tower Tower-Landing landing zone aktualisieren. Um diese Funktionalität zu konfigurieren, können Sie bei der ersten Einrichtung der landing zone die Option **KMS-Schlüsselkonfiguration** auswählen. Sie können einen vorhandenen KMS-Schlüssel oder eine Schaltfläche auswählen, die Sie zur AWS KMS-Konsole weiterleitet, um einen neuen zu erstellen. Sie haben auch die Flexibilität, von der Standardverschlüsselung zu SSE-KMS oder zu einem anderen SSE-KMS-Schlüssel zu wechseln. Für eine bestehende AWS Control Tower Tower-Landezone können Sie ein Update durchführen, um mit der Verwendung von AWS KMS-Schlüsseln zu beginnen. ## Steuerung umbenannt, Funktionalität unverändert **26. Juli 2021** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) AWS Control Tower überarbeitet derzeit die Namen und Beschreibungen bestimmter Kontrollen, um die politischen Absichten der Kontrolle besser widerzuspiegeln. Die überarbeiteten Namen und Beschreibungen helfen Ihnen dabei, intuitiver zu verstehen, wie Kontrollen die Richtlinien Ihrer Konten verkörpern. Wir haben zum Beispiel einen Teil der Namen der detektiven Kontrollen von „Nicht zulassen“ in „Erkennen“ geändert, da die detektive Kontrolle selbst keine bestimmte Aktion unterbindet, sondern nur Richtlinienverstöße erkennt und über das Dashboard Warnmeldungen ausgibt. Die Kontrollfunktion, die Anleitung und die Implementierung bleiben unverändert. Lediglich die Namen und Beschreibungen der Steuerelemente wurden überarbeitet. ## AWS Control Tower scannt SCPs täglich, um zu überprüfen, ob Abweichungen vorliegen **11. Mai 2021** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) AWS Control Tower führt jetzt täglich automatische Scans Ihrer verwalteten Geräte durch, SCPs um zu überprüfen, ob die entsprechenden Kontrollen korrekt angewendet wurden und ob sie sich nicht geändert haben. Wenn bei einem Scan Abweichungen festgestellt werden, erhalten Sie eine Benachrichtigung. AWS Control Tower sendet nur eine Benachrichtigung pro Drift-Problem. Wenn sich Ihre landing zone also bereits im Drift-Zustand befindet, erhalten Sie keine weiteren Benachrichtigungen, es sei denn, es wird ein neuer Drift-Artikel gefunden. ## Benutzerdefinierte Namen für OUs und Konten **16. April 2021** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) Mit AWS Control Tower können Sie jetzt die Benennung Ihrer landing zone anpassen. Sie können die Namen beibehalten, die AWS Control Tower für die Organisationseinheiten (OUs) und die Kernkonten empfiehlt, oder Sie können diese Namen während der ersten Einrichtung der landing zone ändern. Die Standardnamen, die AWS Control Tower für die Konten OUs und die Kernkonten bereitstellt, entsprechen den Best Practices-Richtlinien für AWS mehrere Konten. Wenn Ihr Unternehmen jedoch über spezifische Benennungsrichtlinien verfügt oder wenn Sie bereits eine Organisationseinheit oder ein Konto mit demselben empfohlenen Namen haben, bietet Ihnen die neue Funktion zur Benennung von Organisationseinheiten und Konten die Flexibilität, diese Einschränkungen zu berücksichtigen. Unabhängig von dieser Änderung des Workflows während der Einrichtung wird die Organisationseinheit, die früher als Core-OU bekannt war, jetzt als Sicherheits-OU bezeichnet, und die Organisationseinheit, die früher als benutzerdefinierte Organisationseinheit bekannt war, wird jetzt als Sandbox-OU bezeichnet. Wir haben diese Änderung vorgenommen, um uns besser an die allgemeinen AWS Best-Practice-Leitlinien für die Benennung anzupassen. Neue Kunden werden diese neuen OU-Namen sehen. Bestandskunden werden weiterhin die Originalnamen dieser Produkte sehen OUs. Während wir unsere Dokumentation an die neuen Namen anpassen, kann es zu Unstimmigkeiten bei der Benennung der Organisationseinheiten kommen. Um mit AWS Control Tower von der AWS Management Console aus zu beginnen, gehen Sie zur AWS Control Tower Tower-Konsole und wählen Sie oben rechts **landing zone einrichten** aus. Weitere Informationen finden Sie unter Planung Ihrer AWS Control Tower Tower-Landezone. ## AWS-Control-Tower-Landezone, Version 2.7 **8. April 2021** (Für die AWS Control Tower landing zone ist ein Update auf Version 2.7 erforderlich. Weitere Informationen finden Sie unter[Aktualisiere deine landing zone](update-controltower.md)) Mit AWS Control Tower Version 2.7 führt AWS Control Tower vier neue obligatorische präventive Protokollarchive-Kontrollen ein, mit denen Richtlinien ausschließlich auf AWS Control Tower Tower-Ressourcen implementiert werden. Wir haben die Leitlinien für vier bestehende Log Archive-Kontrollen von verpflichtend auf fakultiv angepasst, da sie Richtlinien für Ressourcen außerhalb von AWS Control Tower festlegen. Diese Änderung und Erweiterung der Steuerung bietet die Möglichkeit, die Verwaltung des Protokollarchivs für Ressourcen innerhalb von AWS Control Tower von der Verwaltung von Ressourcen außerhalb von AWS Control Tower zu trennen. Die vier geänderten Kontrollen können in Verbindung mit den neuen obligatorischen Kontrollen verwendet werden, um die Verwaltung eines breiteren Spektrums von AWS Protokollarchiven zu gewährleisten. In bestehenden AWS Control Tower Tower-Umgebungen bleiben diese vier geänderten Kontrollen aus Gründen der Umgebungskonsistenz automatisch aktiviert. Diese optionalen Kontrollen können jetzt jedoch deaktiviert werden. Neue AWS Control Tower Tower-Umgebungen müssen alle optionalen Kontrollen ermöglichen. **Bestehende Umgebungen müssen die zuvor obligatorischen Kontrollen deaktivieren, bevor Amazon S3 S3-Buckets, die nicht von AWS Control Tower bereitgestellt werden, verschlüsselt werden.** **Neue obligatorische Kontrollen:** + Änderungen an der Verschlüsselungskonfiguration für von AWS Control Tower erstellte S3-Buckets im Protokollarchiv nicht zulassen + Änderungen an der Protokollierungskonfiguration für von AWS Control Tower erstellte S3-Buckets im Protokollarchiv nicht zulassen + Änderungen an der Bucket-Richtlinie für von AWS Control Tower erstellte S3-Buckets im Protokollarchiv nicht zulassen + Änderungen an der Lebenszykluskonfiguration für von AWS Control Tower erstellte S3-Buckets im Protokollarchiv nicht zulassen **Die Beratung wurde von Pflicht zu Wahlfach geändert:** + Änderungen an der Verschlüsselungskonfiguration für alle Amazon S3 S3-Buckets nicht zulassen [Bisher: Encryption at Rest for Log Archive aktivieren] + Änderungen an der Protokollierungskonfiguration für alle Amazon S3 S3-Buckets nicht zulassen [Bisher: Zugriffsprotokollierung für Log Archive aktivieren] + Änderungen an der Bucket-Richtlinie für alle Amazon S3 S3-Buckets nicht zulassen [Bisher: Richtlinienänderungen im Protokollarchiv nicht zulassen] + Änderungen an der Lebenszykluskonfiguration für alle Amazon S3 S3-Buckets nicht zulassen [Bisher: Eine Aufbewahrungsrichtlinie für das Protokollarchiv festlegen] AWS Control Tower Version 2.7 beinhaltet Änderungen am AWS Control Tower landing zone Zone-Blueprint, die nach dem Upgrade auf 2.7 zu Inkompatibilität mit früheren Versionen führen können. + Insbesondere wird AWS Control Tower Version 2.7 `BlockPublicAccess` automatisch für S3-Buckets aktiviert, die von AWS Control Tower bereitgestellt werden. Sie können diese Standardeinstellung deaktivieren, wenn für Ihren Workload ein kontenübergreifender Zugriff erforderlich ist. Weitere Informationen darüber, was mit `BlockPublicaccess` aktivierter Option passiert, finden Sie unter [Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-control-block-public-access.html). + AWS Control Tower Version 2.7 beinhaltet eine Anforderung für HTTPS. Alle Anfragen, die an von AWS Control Tower bereitgestellte S3-Buckets gesendet werden, müssen Secure Socket Layer (SSL) verwenden. Nur HTTPS-Anfragen dürfen weitergeleitet werden. Wenn Sie HTTP (ohne SSL) als Endpunkt zum Senden der Anfragen verwenden, erhalten Sie durch diese Änderung die Fehlermeldung „Zugriff verweigert“, was möglicherweise Ihren Arbeitsablauf beeinträchtigen kann. **Diese Änderung kann nach dem Update 2.7 für deine landing zone nicht mehr rückgängig gemacht werden.** *Wir empfehlen Ihnen, Ihre Anfragen so zu ändern, dass sie TLS statt HTTP verwenden.* ## Drei neue AWS Regionen verfügbar **8. April 2021** (Update für die AWS Control Tower Tower-Landezone erforderlich) AWS Control Tower ist in drei weiteren AWS Regionen verfügbar: Asien-Pazifik (Tokio), Asien-Pazifik (Seoul) und Asien-Pazifik (Mumbai). Für die Ausweitung der Verwaltung auf diese Regionen ist ein landing zone Zone-Update auf Version 2.7 erforderlich. Ihre landing zone wird nicht automatisch auf diese Regionen ausgedehnt, wenn Sie das Update auf Version 2.7 durchführen. Sie müssen sie in der Tabelle Regionen anzeigen und auswählen, damit sie aufgenommen werden können. ## Regiert nur ausgewählte Regionen **19. Februar 2021** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) Die Auswahl der AWS Control Tower Tower-Region bietet eine bessere Möglichkeit, die geografische Präsenz Ihrer AWS Control Tower Tower-Ressourcen zu verwalten. Um die Anzahl der Regionen zu erhöhen, in denen Sie AWS Ressourcen oder Workloads hosten — aus Gründen der Einhaltung gesetzlicher Vorschriften, Kosten oder aus anderen Gründen — können Sie jetzt die zusätzlichen Regionen auswählen, die verwaltet werden sollen. Die Regionsauswahl ist verfügbar, wenn Sie eine neue landing zone einrichten oder Ihre AWS Control Tower Tower-Landingzone-Version aktualisieren. Wenn Sie Account Factory verwenden, um ein neues Konto zu erstellen oder ein bereits bestehendes Mitgliedskonto zu registrieren, oder wenn Sie **Extend Governance** verwenden, um Konten in einer bereits bestehenden Organisationseinheit zu registrieren, stellt AWS Control Tower seine Governance-Funktionen zur zentralen Protokollierung, Überwachung und Kontrolle in den von Ihnen ausgewählten Regionen in den Konten bereit. Weitere Informationen zur Auswahl von Regionen finden Sie unter. [Konfigurieren Sie Ihre AWS Control Tower Tower-Regionen](region-how.md#deploying-to-new-region) ## AWS Control Tower erweitert jetzt die Governance auf bestehende OUs Systeme in Ihren AWS Organisationen **28. Januar 2021** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) Erweitern Sie die Steuerung von der AWS Control Tower-Konsole aus auf bestehende Organisationseinheiten (OUs) (die sich nicht in AWS Control Tower befinden). Mit dieser Funktion können Sie Konten der obersten Ebene OUs und inkludierte Konten unter die Kontrolle von AWS Control Tower stellen. Informationen zur Ausweitung der Governance auf eine gesamte Organisationseinheit finden Sie unter[Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower](importing-existing.md). Wenn Sie eine OU registrieren, führt AWS Control Tower eine Reihe von Prüfungen durch, um sicherzustellen, dass die Verwaltung und Registrierung von Konten innerhalb der OU erfolgreich verlängert wird. Weitere Informationen zu häufig auftretenden Problemen im Zusammenhang mit der Erstregistrierung einer Organisationseinheit finden Sie unter. [Häufige Ursachen für Fehler bei der Registrierung oder erneuten Registrierung](common-eg-failures.md) Sie können auch die AWS Control [Tower-Produktwebseite](https://aws.amazon.com/controltower/) besuchen oder YouTube sich dieses Video über die [ersten Schritte mit AWS Control Tower for](https://www.youtube.com/watch?v=CwRy0t8nfgM) ansehen AWS Organizations. ## AWS Control Tower bietet Bulk-Kontoaktualisierungen **28. Januar 2021** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) Mit der Funktion für Massenaktualisierungen können Sie jetzt alle Konten in einer registrierten AWS Organizations Organisationseinheit (OU) mit bis zu 300 Konten mit einem einzigen Klick über das AWS Control Tower Tower-Dashboard aktualisieren. Dies ist besonders nützlich, wenn Sie Ihre AWS Control Tower Tower-Landezone aktualisieren und auch Ihre registrierten Konten aktualisieren müssen, um sie an die aktuelle Landingzone-Version anzupassen. Diese Funktion hilft Ihnen auch dabei, Ihre Konten auf dem neuesten Stand zu halten, wenn Sie Ihre AWS Control Tower Tower-Landing landing zone aktualisieren, um sie auf neue Regionen auszudehnen, oder wenn Sie eine Organisationseinheit erneut registrieren möchten, um sicherzustellen, dass für alle Konten in dieser Organisationseinheit die neuesten Kontrollen angewendet werden. Durch die Aktualisierung mehrerer Konten entfällt die Notwendigkeit, jeweils ein Konto zu aktualisieren oder ein externes Skript zu verwenden, um die Aktualisierung für mehrere Konten durchzuführen. Hinweise zum Aktualisieren einer landing zone finden Sie unter[Aktualisiere deine landing zone](update-controltower.md). Informationen zur Registrierung oder erneuten Registrierung einer Organisationseinheit finden Sie unter[Registrieren Sie eine bestehende Organisationseinheit bei AWS Control Tower](importing-existing.md). # Januar bis Dezember 2020 Im Jahr 2020 veröffentlichte AWS Control Tower die folgenden Updates: + [Die AWS Control Tower Tower-Konsole ist jetzt mit externen AWS Konfigurationsregeln verknüpft](#config-aggregator-12-2020) + [AWS Control Tower jetzt in weiteren Regionen verfügbar](#region-expansion-11-19-20) + [Aktualisierung von Guardrail](#control-update) + [Die AWS Control Tower Tower-Konsole zeigt weitere Informationen zu OUs und Konten](#OU-account-detail) + [Verwenden Sie AWS Control Tower, um neue AWS Umgebungen mit mehreren Konten einzurichten in AWS Organizations](#multiaccount-environments) + [Anpassungen für die AWS Control Tower Tower-Lösung](#Customizations) + [Allgemeine Verfügbarkeit von AWS Control Tower Version 2.3](#Available_in_Sydney) + [Kontobereitstellung in einem Schritt in AWS Control Tower](#Single-step-provisioning) + [Tool zur Außerbetriebnahme von AWS Control Tower](#Decommissioning-tool) + [Benachrichtigungen über den Lebenszyklus von AWS Control Tower Tower-Ereignissen](#Lifecycle-event-notifications) ## Die AWS Control Tower Tower-Konsole ist jetzt mit externen AWS Konfigurationsregeln verknüpft **29. Dezember 2020** (Für die AWS Control Tower landing zone ist ein Update auf Version 2.6 erforderlich. Weitere Informationen finden Sie [Aktualisiere deine landing zone](update-controltower.md) unter AWS Control Tower umfasst jetzt einen Aggregator auf Organisationsebene, der bei der Erkennung externer AWS Konfigurationsregeln hilft. Auf diese Weise können Sie in der AWS Control Tower-Konsole sehen, ob es zusätzlich zu den von AWS Control Tower erstellten AWS AWS Config-Regeln auch extern erstellte Config-Regeln gibt. Der Aggregator ermöglicht es AWS Control Tower, externe Regeln zu erkennen und einen Link zur AWS Config-Konsole bereitzustellen, ohne dass AWS Control Tower Zugriff auf nicht verwaltete Konten erhalten muss. Mit dieser Funktion haben Sie jetzt einen konsolidierten Überblick über die auf Ihre Konten angewandten Detektivkontrollen, sodass Sie die Einhaltung der Vorschriften verfolgen und feststellen können, ob Sie zusätzliche Kontrollen für Ihr Konto benötigen. Weitere Informationen finden Sie unter [So aggregiert AWS Control Tower AWS Config Regeln für nicht verwaltete Konten OUs und Konten](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how.html#config-role-for-organizations). ## AWS Control Tower jetzt in weiteren Regionen verfügbar **18. November 2020** (Für die AWS Control Tower landing zone ist ein Update auf Version 2.5 erforderlich. Weitere Informationen finden Sie [Aktualisiere deine landing zone](update-controltower.md) unter AWS Control Tower ist jetzt in 5 weiteren AWS Regionen verfügbar: + Region Asien-Pazifik (Singapur) + Region Europa (Frankfurt) + Region Europa (London) + Region Europa (Stockholm) + Region Kanada (Zentral) Die Hinzufügung dieser 5 AWS Regionen ist die einzige Änderung, die für Version 2.5 von AWS Control Tower eingeführt wurde. AWS Control Tower ist auch in den Regionen USA Ost (Nord-Virginia), USA Ost (Ohio), USA West (Oregon), Europa (Irland) und Asien-Pazifik (Sydney) verfügbar. Mit dieser Markteinführung ist AWS Control Tower jetzt in 10 AWS Regionen verfügbar. Dieses Landezone-Update umfasst alle aufgelisteten Regionen und kann nicht rückgängig gemacht werden. Nachdem Sie Ihre landing zone auf Version 2.5 aktualisiert haben, müssen Sie alle registrierten Konten für AWS Control Tower manuell aktualisieren, damit sie in den 10 unterstützten AWS Regionen verwaltet werden. Weitere Informationen finden Sie unter [Konfigurieren Sie Ihre AWS Control Tower Tower-Regionen](region-how.md#deploying-to-new-region). ## Aktualisierung von Guardrail **8. Oktober 2020** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) Für die obligatorische Kontrolle wurde eine aktualisierte Version veröffentlicht`AWS-GR_IAM_ROLE_CHANGE_PROHIBITED`. Diese Änderung der Steuerung ist erforderlich, da bei Konten, die automatisch bei AWS Control Tower registriert werden, die `AWSControlTowerExecution` Rolle aktiviert sein muss. Die vorherige Version des Steuerelements verhindert, dass diese Rolle erstellt wird. Weitere Informationen finden Sie unter [Änderungen an AWS IAM-Rollen, die von AWS Control Tower eingerichtet wurden, nicht zulassen und CloudFormation](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#iam-disallow-changes) im Referenzhandbuch zu AWS Control Tower Controls. ## Die AWS Control Tower Tower-Konsole zeigt weitere Informationen zu OUs und Konten **22. Juli 2020** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) Sie können Ihre Organisationen und Konten, die nicht bei AWS Control Tower registriert sind, sowie Organisationen und Konten, die registriert sind, einsehen. In der AWS Control Tower Tower-Konsole können Sie weitere Informationen zu Ihren AWS Konten und Organisationseinheiten einsehen (OUs). Auf der Seite **Konten** werden jetzt alle Konten in Ihrer Organisation aufgeführt, unabhängig von der Organisationseinheit oder dem Registrierungsstatus in AWS Control Tower. Sie können jetzt in allen Tabellen suchen, sortieren und filtern. ## Verwenden Sie AWS Control Tower, um neue AWS Umgebungen mit mehreren Konten einzurichten in AWS Organizations **22. April 2020** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) AWS Organizations Kunden können jetzt AWS Control Tower verwenden, um neu erstellte Organisationseinheiten (OUs) und Konten zu verwalten, indem sie die folgenden neuen Funktionen nutzen: + AWS Organizations Bestandskunden können jetzt in ihrem bestehenden Verwaltungskonto eine neue landing zone für neue Organisationseinheiten (OUs) einrichten. Sie können neue Konten OUs in AWS Control Tower und neue Konten in solchen OUs mit AWS Control Tower Tower-Governance erstellen. + AWS Organizations Kunden können bestehende Konten mithilfe des Kontoregistrierungsprozesses oder mithilfe von Skripten registrieren. AWS Control Tower bietet einen Orchestrierungsservice, der andere AWS Services verwendet. Es wurde für Unternehmen mit mehreren Konten und Teams entwickelt, die nach der einfachsten Möglichkeit suchen, ihre neue oder bestehende AWS Umgebung mit mehreren Konten einzurichten und skalierbar zu verwalten. Bei einer Organisation, die von AWS Control Tower verwaltet wird, wissen Cloud-Administratoren, dass die Konten in der Organisation den festgelegten Richtlinien entsprechen. Bauherren profitieren davon, dass sie schnell neue AWS Konten einrichten können, ohne sich Sorgen um die Einhaltung der Vorschriften machen zu müssen. Informationen zum Einrichten einer landing zone finden Sie unter[Planen Sie Ihre AWS Control Tower Tower-Landezone](planning-your-deployment.md). Sie können auch die AWS Control [Tower-Produktwebseite](https://aws.amazon.com/controltower/) besuchen oder YouTube sich dieses Video über die [ersten Schritte mit AWS Control Tower for](https://www.youtube.com/watch?v=-n65I4M8cas) ansehen AWS Organizations. Zusätzlich zu dieser Änderung wurde die Funktion zur **schnellen Kontobereitstellung** in AWS Control Tower in Konto **registrieren umbenannt**. Sie ermöglicht jetzt die Registrierung vorhandener AWS Konten sowie die Erstellung neuer Konten. Weitere Informationen finden Sie unter [Registrieren Sie ein vorhandenes Konto über die AWS Control Tower Tower-Konsole](quick-account-provisioning.md). ## Anpassungen für die AWS Control Tower Tower-Lösung **17. März 2020** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) AWS Control Tower enthält jetzt eine neue Referenzimplementierung, mit der Sie ganz einfach benutzerdefinierte Vorlagen und Richtlinien auf Ihre AWS Control Tower Tower-Landezone anwenden können. Mit Anpassungen für AWS Control Tower können Sie CloudFormation Vorlagen verwenden, um neue Ressourcen für bestehende und neue Konten in Ihrem Unternehmen bereitzustellen. Sie können zusätzlich zu den SCPs bereits von AWS Control Tower bereitgestellten auch benutzerdefinierte Service Control-Richtlinien (SCPs) auf diese Konten anwenden. Anpassungen für die AWS Control Tower-Pipeline lassen sich mit Ereignissen und Benachrichtigungen ([Lebenszyklusereignisse in AWS Control Tower](lifecycle-events.md)) im Lebenszyklus von AWS Control Tower integrieren, um sicherzustellen, dass die Ressourcenbereitstellungen mit Ihrer landing zone synchron bleiben. Die Bereitstellungsdokumentation für diese AWS Control Tower Tower-Lösungsarchitektur ist auf der [AWS Solutions-Webseite](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/) verfügbar. ## Allgemeine Verfügbarkeit von AWS Control Tower Version 2.3 **5. März 2020** (Update für die AWS Control Tower Tower-Landezone erforderlich. Weitere Informationen finden Sie unter[Aktualisiere deine landing zone](update-controltower.md).) AWS Control Tower ist jetzt in der AWS Region Asien-Pazifik (Sydney) zusätzlich zu den Regionen USA Ost (Ohio), USA Ost (Nord-Virginia), USA West (Oregon) und Europa (Irland) verfügbar. Die Hinzufügung der Region Asien-Pazifik (Sydney) ist die einzige Änderung, die für Version 2.3 von AWS Control Tower eingeführt wurde. Wenn Sie AWS Control Tower noch nicht verwendet haben, können Sie es heute in jeder der unterstützten Regionen starten. Wenn Sie AWS Control Tower bereits verwenden und dessen Governance-Funktionen in Ihren Konten auf die Region Asien-Pazifik (Sydney) ausweiten möchten, rufen Sie die Seite **Einstellungen** in Ihrem AWS Control Tower Tower-Dashboard auf. Aktualisieren Sie von dort aus Ihre landing zone auf die neueste Version. Aktualisieren Sie dann Ihre Konten einzeln. **Anmerkung** Durch die Aktualisierung Ihrer landing zone werden Ihre Konten nicht automatisch aktualisiert. Wenn Sie mehr als ein paar Konten haben, können die erforderlichen Aktualisierungen zeitaufwändig sein. Aus diesem Grund empfehlen wir Ihnen, Ihre AWS Control Tower Tower-Landezone nicht auf Regionen auszudehnen, in denen Ihre Workloads nicht ausgeführt werden müssen. Informationen zum erwarteten Verhalten von Detective Controls als Ergebnis einer Bereitstellung in einer neuen Region finden [Sie unter Konfiguration Ihrer AWS Control Tower Tower-Regionen](https://docs.aws.amazon.com//controltower/latest/userguide/region-how.html#deploying-to-new-region). ## Kontobereitstellung in einem Schritt in AWS Control Tower **2. März 2020** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) AWS Control Tower unterstützt jetzt die Kontobereitstellung in einem Schritt über die AWS Control Tower Tower-Konsole. Mit dieser Funktion können Sie neue Konten von der AWS Control Tower Tower-Konsole aus einrichten. Um das vereinfachte Formular zu verwenden, navigieren Sie in der AWS Control Tower Tower-Konsole zu **Account Factory** und wählen Sie dann **Quick Account Provisioning**. AWS Control Tower weist dem bereitgestellten Konto und dem Single Sign-On-Benutzer (IAM Identity Center), der für das Konto erstellt wurde, dieselbe E-Mail-Adresse zu. Wenn Sie möchten, dass sich diese beiden E-Mail-Adressen unterscheiden, müssen Sie Ihr Konto über Service Catalog bereitstellen. Aktualisieren Sie Konten, die Sie mithilfe von Quick Account Provisioning mithilfe von Service Catalog und der AWS Control Tower Account Factory erstellen, genau wie Updates für jedes andere Konto. **Anmerkung** Im April 2020 wurde die Funktion zur **schnellen Kontobereitstellung** in Konto registrieren **umbenannt**. Im Juni 2022 wurde die Möglichkeit, Konten in der AWS Control Tower Tower-Konsole zu erstellen und zu aktualisieren, von der Möglichkeit, AWS Konten zu registrieren, getrennt. Weitere Informationen finden Sie unter [Registrieren Sie ein vorhandenes Konto über die AWS Control Tower Tower-Konsole](quick-account-provisioning.md). ## Tool zur Außerbetriebnahme von AWS Control Tower **28. Februar 2020** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) AWS Control Tower unterstützt jetzt ein automatisiertes Tool zur Außerbetriebnahme, das Sie bei der Bereinigung der von AWS Control Tower zugewiesenen Ressourcen unterstützt. Wenn Sie nicht mehr beabsichtigen, AWS Control Tower für Ihr Unternehmen zu verwenden, oder wenn Sie eine größere Umschichtung Ihrer Unternehmensressourcen benötigen, möchten Sie möglicherweise die Ressourcen bereinigen, die bei der ersten Einrichtung Ihrer landing zone erstellt wurden. Wenn Sie Ihre landing zone mithilfe eines weitgehend automatisierten Prozesses außer Betrieb nehmen möchten, wenden Sie sich an uns, AWS Support um Unterstützung bei den zusätzlichen erforderlichen Schritten zu erhalten. Weitere Informationen zur Außerbetriebnahme finden Sie unter. [Außerbetriebnahme einer AWS Control Tower Tower-Landezone](decommission-landing-zone.md) ## Benachrichtigungen über den Lebenszyklus von AWS Control Tower Tower-Ereignissen **22. Januar 2020** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) AWS Control Tower kündigt die Verfügbarkeit von Benachrichtigungen über Lebenszyklusereignisse an. Ein [Lebenszyklusereignis](lifecycle-events.md) markiert den Abschluss einer AWS Control Tower-Aktion, die den Status von Ressourcen wie Organisationseinheiten (OUs), Konten und Kontrollen, die von AWS Control Tower erstellt und verwaltet werden, ändern kann. Lebenszyklusereignisse werden als AWS CloudTrail Ereignisse aufgezeichnet und EventBridge als Ereignisse an Amazon übermittelt. AWS Control Tower zeichnet Lebenszyklusereignisse nach Abschluss der folgenden Aktionen auf, die mit dem Service ausgeführt werden können: Erstellen oder Aktualisieren einer landing zone, Erstellen oder Löschen einer OU, Aktivieren oder Deaktivieren einer Steuerung auf einer OU und Verwenden von Account Factory, um ein neues Konto zu erstellen oder ein Konto in eine andere OU zu verschieben. AWS Control Tower verwendet mehrere AWS Services, um eine Best AWS Practices-Umgebung mit mehreren Konten aufzubauen und zu verwalten. Es kann mehrere Minuten dauern, bis eine AWS Control Tower Tower-Aktion abgeschlossen ist. Sie können Lebenszyklusereignisse in den CloudTrail Protokollen verfolgen, um zu überprüfen, ob die ursprüngliche AWS Control Tower Tower-Aktion erfolgreich abgeschlossen wurde. Sie können eine EventBridge Regel erstellen, um Sie zu benachrichtigen, wenn ein Lebenszyklusereignis CloudTrail aufgezeichnet wird, oder um automatisch den nächsten Schritt in Ihrem Automatisierungs-Workflow auszulösen. # Juni — Dezember 2019 Vom 24. Juni bis 31. Dezember 2019 veröffentlichte AWS Control Tower die folgenden Updates: + [Allgemeine Verfügbarkeit von AWS Control Tower Version 2.2](#Version-2-2) + [Neue Wahlkontrollen in AWS Control Tower](#Elective-gaurdrails) + [Neue Detektivsteuerungen im AWS Control Tower](#New-controls) + [AWS Control Tower akzeptiert E-Mail-Adressen für gemeinsam genutzte Konten mit anderen Domänen als dem Verwaltungskonto](#Email-address-shared-accounts) + [Allgemeine Verfügbarkeit von AWS Control Tower Version 2.1](#Version-2-1) ## Allgemeine Verfügbarkeit von AWS Control Tower Version 2.2 **13. November 2019** (Update für die AWS Control Tower Tower-Landezone erforderlich. Weitere Informationen finden Sie unter[Aktualisiere deine landing zone](update-controltower.md).) AWS Control Tower, Version 2.2, bietet drei neue präventive Kontrollen, die eine Kontoabweichung verhindern: + [Änderungen an Amazon CloudWatch Logs-Protokollgruppen, die von AWS Control Tower eingerichtet wurden, nicht zulassen](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#log-group-deletion-policy) + [Das Löschen von AWS Config Aggregationsautorisierungen verbieten, die von AWS Control Tower erstellt wurden](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy) + [Löschen des Protokollarchivs nicht zulassen](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#disallow-audit-bucket-deletion) Bei einer Kontrolle handelt es sich um eine Regel auf hoher Ebene, die eine kontinuierliche Steuerung Ihrer gesamten AWS Umgebung gewährleistet. Wenn Sie Ihre AWS Control Tower Tower-Landezone erstellen, entsprechen die landing zone und alle Organisationseinheiten (OUs), Konten und Ressourcen den Governance-Regeln, die durch die von Ihnen ausgewählten Kontrollen durchgesetzt werden. Wenn Sie und Ihre Organisationsmitglieder die landing zone nutzen, kann es zu (versehentlichen oder vorsätzlichen) Änderungen an diesem Compliance-Status kommen. Die Erkennung von Abweichungen hilft Ihnen dabei, Ressourcen zu identifizieren, die Änderungen oder Konfigurationsupdates benötigen, um die Abweichung zu beheben. Weitere Informationen finden Sie unter [Abweichungen im AWS Control Tower erkennen und beheben](drift.md). ## Neue Wahlkontrollen in AWS Control Tower **05. September 2019** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) AWS Control Tower umfasst jetzt die folgenden vier neuen Wahlkontrollen: + [Löschaktionen in Amazon S3 S3-Buckets ohne MFA nicht zulassen](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-delete-mfa) + [Änderungen an der Replikationskonfiguration für Amazon S3 S3-Buckets nicht zulassen](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-ccr) + [Aktionen als Root-Benutzer verbieten](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-auser-actions) + [Die Erstellung von Zugriffsschlüsseln für den Root-Benutzer verbieten](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-access-keys) Bei einer Kontrolle handelt es sich um eine Regel auf hoher Ebene, die eine kontinuierliche Steuerung Ihrer gesamten AWS Umgebung gewährleistet. Leitlinien ermöglichen es Ihnen, Ihre Richtlinienziele auszudrücken. Weitere Informationen finden Sie unter [Über Kontrollen in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html). ## Neue Detektivsteuerungen im AWS Control Tower **25. August 2019** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) AWS Control Tower umfasst jetzt die folgenden acht neuen Detective Controls: + [Ermitteln Sie, ob die Versionierung für Amazon S3 S3-Buckets aktiviert ist](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-no-versioning) + [Ermitteln Sie, ob MFA für IAM-Benutzer der Konsole aktiviert ist AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-console-access-mfa) + [Ermitteln Sie, ob MFA für IAM-Benutzer aktiviert ist](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-access-mfa) + [Ermitteln Sie, ob die Amazon EBS-Optimierung für Amazon EC2 EC2-Instances aktiviert ist](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-not-ebs-optimized) + [Ermitteln Sie, ob Amazon EBS-Volumes an Amazon EC2 EC2-Instances angehängt sind](https://docs.aws.amazon.com//controltower/latest/userguide/strongly-recommended-controls.html#disallow-unattached-ebs) + [Ermitteln Sie, ob der öffentliche Zugriff auf Amazon RDS-Datenbank-Instances aktiviert ist](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-public-access) + [Ermitteln Sie, ob der öffentliche Zugriff auf Amazon RDS-Datenbank-Snapshots aktiviert ist](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-snapshot-public-access) + [Ermitteln Sie, ob die Speicherverschlüsselung für Amazon RDS-Datenbank-Instances aktiviert ist](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-storage-unencrypted) Bei einer Kontrolle handelt es sich um eine Regel auf hoher Ebene, die eine kontinuierliche Steuerung Ihrer gesamten AWS Umgebung gewährleistet. Eine detektivische Kontrolle erkennt Verstöße gegen die Einhaltung der Vorschriften durch Ressourcen in Ihren Konten, z. B. Verstöße gegen Richtlinien, und gibt über das Dashboard Warnmeldungen aus. Weitere Informationen finden Sie unter [Über Kontrollen in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html). ## AWS Control Tower akzeptiert E-Mail-Adressen für gemeinsam genutzte Konten mit anderen Domänen als dem Verwaltungskonto **01. August 2019** (Für die AWS Control Tower Tower-Landezone ist kein Update erforderlich) In AWS Control Tower können Sie jetzt E-Mail-Adressen für gemeinsame Konten (Protokollarchiv und Audit-Mitglied) und Kinderkonten (verkauft mit Account Factory) angeben, deren Domains sich von der E-Mail-Adresse des Verwaltungskontos unterscheiden. Diese Funktion ist nur verfügbar, wenn Sie eine neue landing zone erstellen und wenn Sie neue Kinderkonten einrichten. ## Allgemeine Verfügbarkeit von AWS Control Tower Version 2.1 **24. Juni 2019** (Update für die AWS Control Tower Tower-Landezone erforderlich. Weitere Informationen finden Sie unter [Aktualisieren Sie Ihre Landezone](https://docs.aws.amazon.com/controltower/latest/userguide/update-controltower.html).) AWS Control Tower ist jetzt allgemein verfügbar und wird für den Produktionseinsatz unterstützt. AWS Control Tower richtet sich an Unternehmen mit mehreren Konten und Teams, die nach der einfachsten Möglichkeit suchen, ihre neue AWS Umgebung mit mehreren Konten einzurichten und skalierbar zu verwalten. Mit AWS Control Tower können Sie sicherstellen, dass die Konten in Ihrer Organisation den festgelegten Richtlinien entsprechen. Endbenutzer in verteilten Teams können schnell neue AWS Konten einrichten. Mit AWS Control Tower können Sie [eine landing zone einrichten](getting-started-with-control-tower.md), in der bewährte Methoden wie die Konfiguration einer [Struktur mit mehreren Konten](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html), die Verwaltung von Benutzeridentitäten und Verbundzugriff mit AWS Organizations AWS IAM Identity Center, die Aktivierung der Kontobereitstellung über Service Catalog und die Erstellung eines zentralen Protokollarchivs mit und angewendet werden. AWS CloudTrail AWS Config Für eine kontinuierliche Steuerung können Sie vorkonfigurierte Kontrollen aktivieren, bei denen es sich um klar definierte Regeln für Sicherheit, Betrieb und Compliance handelt. Leitplanken helfen dabei, den Einsatz von Ressourcen zu verhindern, die nicht den Richtlinien entsprechen, und überwachen die eingesetzten Ressourcen kontinuierlich auf Nichtkonformität. Das AWS Control Tower Tower-Dashboard bietet einen zentralen Einblick in eine AWS Umgebung, einschließlich bereitgestellter Konten, aktivierter Kontrollen und des Compliance-Status von Konten. Sie können eine neue Umgebung mit mehreren Konten mit einem einzigen Klick in der AWS Control Tower Tower-Konsole einrichten. Für die Nutzung von AWS Control Tower fallen keine zusätzlichen Gebühren oder Vorabverpflichtungen an. Sie zahlen nur für die AWS Dienste, die Sie für die Einrichtung einer landing zone und die Implementierung ausgewählter Steuerungen aktiviert haben.