Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Notas de la versión de AWS Control Tower
<a name="release-notes"></a>

En las siguientes secciones, se muestran detalles sobre versiones de AWS Control Tower, desde el inicio del servicio. Algunas versiones requieren una actualización para una zona de aterrizaje de AWS Control Tower, y otras versiones se incorporan automáticamente al servicio. 

Las características y las versiones se muestran en orden cronológico inverso (primero los más recientes) en función de la fecha en que se anunciaron oficialmente al público.

**Topics**
+ [Enero de 2026 - actualidad](2026-all.md)
+ [enero de 2025 - diciembre de 2025](2025-all.md)
+ [Enero a diciembre de 2024](2024-all.md)
+ [De enero a diciembre de 2023](2023-all.md)
+ [De enero a diciembre de 2022](2022-all.md)
+ [De enero a diciembre de 2021](2021-all.md)
+ [De enero a diciembre de 2020](2020-all.md)
+ [Junio - diciembre de 2019](2019-all.md)

# Enero de 2026 - actualidad
<a name="2026-all"></a>

Desde enero de 2026, AWS Control Tower ha publicado las siguientes actualizaciones:
+ [La Torre de Control de AWS está disponible en la nube soberana europea](#eusc-region)

## La Torre de Control de AWS está disponible en la nube soberana europea
<a name="eusc-region"></a>

**13 de enero de 2026**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ya está disponible en la nube soberana europea. Para obtener más información sobre la Torre de Control de AWS en la nube soberana europea, consulte la [Guía del usuario de la Torre de Control de AWS para la nube soberana europea](https://docs.aws.eu/esc/latest/userguide/controltower.html).

# enero de 2025 - diciembre de 2025
<a name="2025-all"></a>

Desde enero de 2025, AWS Control Tower ha publicado las siguientes actualizaciones:
+ [Versión 4.0 de la zona de aterrizaje de AWS Control Tower](#lz-40)
+ [AWS Control Tower añade 279 AWS Config controles adicionales a Control Catalog](#additional-config-controls)
+ [AWS Control Tower disponible en la región Asia-Pacífico (Nueva Zelanda)](#akl-region)
+ [AWS Control Tower admite inscripción automática de cuentas](#auto-enroll)
+ [AWS Control Tower actualiza la versión de Python](#updated-python)
+ [AWS Control Tower admite IPv6 direcciones](#ct-ipv6)
+ [AWS Control Tower reduce la desviación](#no-attached-scp-drift)

  [Account Factory for Terraform versión 1.15.0 disponible](#aft-1-15)
+ [Se han actualizado los controles con tipos de instancias Nitro](#nitro-updates)
+ [AWS Control Tower disponible en la región de Asia-Pacífico (Taipéi)](#new-region-tpe)
+ [AWS Control Tower admite PrivateLink](#ct-privatelink)
+ [Compatibilidad para marcos industriales adicionales, se han actualizado los metadatos](#hg-1-5)
+ [Controles vinculados a los servicios AWS Config](#managed-config-controls)
+ [La vista de consola de controles habilitados proporciona una visibilidad centralizada](#enabled-controls-page)
+ [Account Factory for Terraform (AFT) admite nuevas configuraciones en la implementación](#aft-configurations)
+ [AWS Control Tower presenta informes a nivel de cuenta como referencia APIs](#enabled-baseline-drift)
+ [La Torre de Control de AWS está disponible en las regiones de AWS Asia Pacífico (Tailandia) y México (Central)](#new-regions-bkk-qro)
+ [AWS Config Controles adicionales disponibles](#new-config-controls)
+ [Anule el registro y elimine acciones para OUs](#deregister-and-delete)
+ [Control Catalog admite IPv6 direcciones](#ipv6)

## Versión 4.0 de la zona de aterrizaje de AWS Control Tower
<a name="lz-40"></a>

**17 de noviembre de 2025**

(Se requiere una actualización para la versión 4.0 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte[Actualización de la zona de aterrizaje](update-controltower.md)).

AWS Control Tower landing zone 4.0 es una actualización importante que introduce una experiencia flexible solo con controles, que permite a los clientes personalizar la forma en que implementan y administran su entorno de cuentas múltiples de AWS. Esta versión cambia significativamente la forma en que la Torre de Control de AWS se integra con los servicios de AWS y administra los recursos de la organización. Para obtener información sobre los cambios clave, consulte[Guía de migración a la versión 4.0 de Landing Zone](landing-zone-v4-migration-guide.md).

**Características y cambios clave**
+ Integraciones de servicios opcionales: landing zone 4.0 le permite elegir qué integraciones de servicios habilitar en su entorno. Al deshabilitar una integración, se eliminarán los recursos desplegados por la Torre de Control de AWS específicos para esa integración en las cuentas administradas y en las cuentas centrales de integración de servicios. Ahora puede activar o desactivar las integraciones de servicios de forma selectiva: 
  + AWS Config
  + AWS CloudTrail
  + Funciones de seguridad
  + AWS Backup

*Importante: Si desea deshabilitar la integración de AWS Config, también debe deshabilitar las integraciones de Security Roles, IAM Identity Center y AWS Backup.*
+ Recursos dedicados en lugar de utilizar recursos compartidos: landing zone 4.0 ahora crea recursos dedicados para servicios clave. Esta separación proporciona un mejor aislamiento de los recursos y un control más detallado de los recursos específicos del servicio:
  + Depósitos S3 separados para AWS Config
  + Depósitos S3 separados para AWS CloudTrail
  + Temas de SNS individuales para cada servicio
+ Estructura organizativa flexible: landing zone 4.0 elimina los requisitos de estructura organizativa anteriores:
  + Ya no es necesario que utilice una unidad organizativa de seguridad
  + Puede definir su propia estructura organizativa
  + El único requisito es que todas las cuentas centrales estén en la misma OU
+ Experiencia de controles dedicada: ahora puedes crear una configuración mínima de landing zone que incluya:
  + Integración básica de AWS Organizations
  + Capacidad de habilitar los controles sin habilitar la `AWSControlTowerBaseline` línea de base 
  + Configuraciones de gobierno personalizadas en función de sus necesidades
+ Cambios en AWS Config: Landing Zone 4.0 introduce varias mejoras en la implementación de la integración de AWS Config:
  + Una nueva línea base de Config Spoke específica para controles de detectives
  + Agregador de configuración vinculado a servicios (SLCA) en la cuenta de Config hub
  + Sustitución de los agregadores de cuentas y organizaciones tradicionales
+ Manifiesto opcional:
  + El campo de manifiesto ahora es opcional y te permite:
    + Cree zonas de aterrizaje sin ninguna integración de servicios
    + Más flexibilidad en la configuración inicial
    + Opciones de despliegue personalizadas

## AWS Control Tower añade 279 AWS Config controles adicionales a Control Catalog
<a name="additional-config-controls"></a>

**14 de noviembre de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

La Torre de Control de AWS ahora incluye 279 AWS Config controles adicionales como parte del catálogo de controles. Puede ver los controles en la consola de la Torre de Control de AWS y a través del APIs.

Algunos controles tienen relaciones con otros controles. Estas relaciones también se expresan en la consola de la Torre de Control de AWS y en la APIs. Los tipos de relación incluyen **complementaria**, **mutuamente excluyente** y **alternativa**.

## AWS Control Tower disponible en la región Asia-Pacífico (Nueva Zelanda)
<a name="akl-region"></a>

**28 de octubre de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está disponible ahora en la región de Asia-Pacífico (Nueva Zelanda).

Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la [tabla de regiones de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower admite inscripción automática de cuentas
<a name="auto-enroll"></a>

**15 de octubre de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Para los clientes que utilizan la versión 3.1 o superior de la zona de aterrizaje de AWS Control Tower, AWS Control Tower ahora permite la inscripción automática de cuentas en ellas OUs. Si opta por la inscripción automática de cuentas, AWS Control Tower aplicará los recursos y controles básicos habilitados por una UO a una cuenta cuando la traslade a una nueva UO. Se eliminan los controles y las líneas de base de la UO anterior. En la mayoría de los casos, esta acción no crea ninguna desviación.

**Para activar la inscripción automática:** puede seleccionar la inscripción automática de las cuentas en la página de **configuración** de la zona de aterrizaje de la consola de la Torre de Control de AWS, o llamando a la Torre de Control de AWS `CreateLandingZone` o `UpdateLandingZone` APIs con el valor del `RemediationType` parámetro establecido en **Inheritance** Drift.

**Para aplicar la inscripción automática:** tras seleccionar esta opción en la página de **configuración**, puede mover una cuenta a través de la AWS Organizations consola, la AWS Organizations `MoveAccount` API o la consola de la Torre de Control de AWS.

**Para anular la inscripción de una cuenta con inscripción automática:** si mueve una cuenta fuera de una UO que esté registrada, AWS Control Tower elimina automáticamente todos los recursos y controles básicos implementados.

Para obtener más información sobre inscripción automática, consulte [Si lo desea, configure la inscripción automática de cuentas](configure-auto-enroll.md).

Esta versión también incluye una actualización de una política administrada y una nueva política administrada. La actualizamos [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//controltower/latest/userguide/managed-policies-table.html)y añadimos la nueva [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com//controltower/latest/userguide/managed-policies-table.html).

Hemos actualizado la Torre de Control de AWS `CreateLandingZone` y `UpdateLandingZone` APIs hemos añadido una nueva`RemediationType`, llamada`Inheritance Drift`.

## AWS Control Tower actualiza la versión de Python
<a name="updated-python"></a>

**3 de septiembre de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Python versión 3.9 está en desuso. AWS Control Tower ha actualizado las versiones de Python en los entornos de AWS Control Tower. No es necesario realizar ninguna acción y esta actualización no afecta a las cargas de trabajo actuales. 

## AWS Control Tower reduce la desviación
<a name="no-attached-scp-drift"></a>

 **20 de agosto de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha actualizado la funcionalidad de la desviación de la política de control de servicio (SCP). Con esta versión, AWS Control Tower administra directamente dos tipos de desviaciones de gobernanza, que ya no provocan desviación en el entorno. 

**Se han eliminado dos tipos de desviaciones de gobernanza**
+ **SCP asociado a una UO administrada**: este tipo de desviación se produce cuando un SCP de un control se asocia a cualquier otra UO. Esto era especialmente común cuando se actualizaba OUs desde fuera de la consola de AWS Control Tower.
+ **SCP asociado a una cuenta de miembro**: este tipo de desviación se producía normalmente cuando un SCP de un control se asociaba a una cuenta desde fuera de la consola de AWS Control Tower.

Para obtener más información sobre la desviación, consulte [Detect and resolve drift in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html).

## AWS Control Tower admite IPv6 direcciones
<a name="ct-ipv6"></a>

**18 de agosto de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

La API de la Torre de Control de AWS ahora admite las direcciones del Protocolo de Internet versión 6 (IPv6) a través de nuestros nuevos puntos de enlace de doble pila. La compatibilidad con los puntos de enlace existentes IPv4 sigue estando disponible para garantizar la compatibilidad con versiones anteriores. *Los nuevos dominios de doble pila están disponibles [desde Internet](https://docs.aws.amazon.com/general/latest/gr/controlcatalog.html) o [desde una Amazon Virtual Private Cloud (VPC) mediante. [AWS PrivateLink](https://aws.amazon.com/privatelink/)](https://docs.aws.amazon.com/controlcatalog/latest/userguide/vpc-interface-endpoints.html)*

## Account Factory for Terraform versión 1.15.0 disponible
<a name="aft-1-15"></a>

 **28 de julio de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Ya está disponible la versión 1.15.0 de Account Factory for Terraform (AFT) de AWS Control Tower. Para obtener más información, consulte [el GitHub repositorio AFT](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases/tag/1.15.0).

## Se han actualizado los controles con tipos de instancias Nitro
<a name="nitro-updates"></a>

 **24 de julio de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha actualizado los ocho controles proactivos del Control Catalog (antes denominado Biblioteca de control) que aplican los tipos de instancias de Amazon EC2. Esta actualización le permite crear instancias de algunos tipos nuevos de instancias de Nitro y elimina algunos tipos de instancias *u-series* obsoletos. 

**Se han actualizado controles**
+ [https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-10-description](https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-10-description)
+ [https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-11-description](https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-11-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-15-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-15-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-16-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-16-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-17-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-17-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-18-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-18-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-19-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-19-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-20-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-20-description)

**Nuevos tipos de instancias disponibles**
+ `c8gd`
+ `c8gn`
+ `i7i`
+ `m8gd`
+ `p6-b200`
+ `r8gd`

**Tipos de instancias eliminados**
+ `u-12tb1`
+ `u-18tb1`
+ `u-24tb1`
+ `u-9tb1`

Los controles actualizados están disponibles en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para obtener una lista de regiones donde AWS Control Tower está disponible, consulte la [Tabla de Región de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower disponible en la región de Asia-Pacífico (Taipéi)
<a name="new-region-tpe"></a>

**23 de julio de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está ahora disponible en la región de Asia-Pacífico (Taipéi):

Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la [tabla de regiones de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower admite PrivateLink
<a name="ct-privatelink"></a>

 **30 de junio de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower admite ahora [AWS PrivateLink](https://aws.amazon.com/privatelink/)**. Puede invocar la Torre de Control y el Catálogo APIs de Control de AWS desde su Amazon Virtual Private Cloud (VPC) sin tener que atravesar la Internet pública. AWS PrivateLink proporciona conectividad privada entre nubes privadas virtuales (VPCs), servicios y recursos compatibles y sus redes locales. AWS PrivateLink El soporte para la Torre de Control de AWS está disponible en todos los Regiones de AWS lugares donde esté disponible la Torre de Control de AWS. 

## Compatibilidad para marcos industriales adicionales, se han actualizado los metadatos
<a name="hg-1-5"></a>

**12 de junio de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Con esta versión, AWS Control Tower se amplía para incluir compatibilidad para 10 marcos industriales. Para ver una lista de marcos, consulte [Marcos compatibles](https://docs.aws.amazon.com//controltower/latest/controlreference/frameworks-supported.html).

Por ejemplo, puede empezar navegando a la página Control Catalog en la consola de AWS Control Tower y buscando un marco, como **PCI-DSS-v4.0**, para ver todos los controles relacionados con él. O puede examinar los controles y los marcos mediante programación llamando a la nueva API [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControlMappings.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControlMappings.html).

Las definiciones de metadatos asociadas a los controles están cambiando para mejorar la compatibilidad con estos marcos industriales adicionales. Los cambios en los metadatos pueden afectar a la forma en que se evalúan los controles para su habilitación. Por ejemplo, es posible que los valores de los metadatos NIST, PCI y CIS hayan cambiado. Le recomendamos que *revise las asignaciones* de los controles habilitados en la página **Detalles de controles** de la consola.

En la consola y la API hemos introducido tres campos de metadatos nuevos. En conjunto, estos campos describen una jerarquía que ayuda a entender cómo categorizar y habilitar los controles. Los campos son: **Dominio**, **Objetivo** y [https://docs.aws.amazon.com//controltower/latest/controlreference/common-controls-list.html](https://docs.aws.amazon.com//controltower/latest/controlreference/common-controls-list.html). Hemos redefinido nuestros [objetivos de control](https://docs.aws.amazon.com/controltower/latest/controlreference/control-catalog-objectives.html) para alinearlos mejor con el ámbito más amplio de los marcos industriales disponibles. Para obtener más información sobre esta jerarquía, consulte [Descripción general de la ontología.](https://docs.aws.amazon.com/controlcatalog/latest/userguide/ontology-overview.html)
+ Estos cambios en los metadatos se reflejan en la consola de la Torre de Control de AWS, y la experiencia de la consola es uniforme en todas las AWS Config consolas y la Torre de Control de AWS.
+ Para ver información de control en la consola de AWS Control Tower, debe añadir permisos adicionales de `controlcatalog` a sus políticas de IAM. Para obtener más información, consulte [Permisos necesarios para utilizar la consola de AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/additional-console-required-permissions.html).
+ Cada control tiene ahora un nuevo campo llamado `GovernedResources`, que muestra los tipos de recursos que regula el control. En algunos casos, este campo muestra el prefijo de servicio de los recursos y, en otros casos, puede estar en blanco. Para obtener más información, consulte [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) y [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html).

En esta versión, hemos cambiado el nombre de la *Biblioteca de controles* a *Control Catalog* para mantener la coherencia con la terminología.

## Controles vinculados a los servicios AWS Config
<a name="managed-config-controls"></a>

 **12 de junio de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower anuncia la compatibilidad con la implementación de los controles de detección de la Torre de Control de AWS como reglas vinculadas a servicios AWS Config .

Con esta versión, AWS Control Tower ahora implementa reglas de Config vinculadas a servicios directamente en las cuentas inscritas, sustituyendo el método de implementación anterior por conjuntos de pilas AWS CloudFormation . Este cambio mejora considerablemente la velocidad de implementación. Además, estas reglas de Config vinculadas a servicios ayudan a garantizar una gobernanza coherente de sus recursos, ya que evitan la desviación involuntaria de la configuración que podría deberse a cambios manuales en los conjuntos de CloudFormation pilas o las reglas de Config.

**De ahora en adelante, todos los controles de la Torre de Control de AWS implementados mediante AWS Config reglas se implementarán con este mecanismo, que se denomina directamente a AWS Config APIs.**

**importante**  
Antes de adoptar reglas de Config vinculadas a servicios, revise las personalizaciones existentes, como las correcciones que haya realizado en las reglas de Config fuera de AWS Control Tower, ya que estas personalizaciones se eliminarán durante la transición. AWS Config APIs No admiten la adición de configuraciones de corrección para las reglas vinculadas a servicios. AWS Config Consulte [https://docs.aws.amazon.com/config/latest/APIReference/API_PutRemediationConfigurations.html](https://docs.aws.amazon.com/config/latest/APIReference/API_PutRemediationConfigurations.html).

**Se requieren detalles y acción**
+ Si seleccione **Actualizar** o **Restablecer** su zona de aterrizaje, AWS Control Tower actualiza los controles **Obligatorios** que rigen la UO de seguridad. **Para completar la actualización, también debe **restablecer** cada uno de los controles de detección que se implementan con AWS Config reglas o volver a registrar la unidad organizativa.** 
+ El alcance completo de esta actualización le afecta a usted si utiliza la versión 3.2 o superior de la zona de aterrizaje de AWS Control Tower. Al aplicar esta actualización, AWS Config las reglas existentes se cambian para convertirse en reglas de Config administradas por el servicio, junto con el nuevo método de implementación.
+ Si su zona de aterrizaje es la versión 3.1 o inferior, cualquier nueva regla de Config se implementará con el nuevo método, no con conjuntos de pilas. Sus reglas de Config existentes NO se actualizan para convertirse en reglas de Config administradas por servicios. Seguirán siendo de tipo estándar.
+ Puede identificar las reglas de configuración vinculadas a servicios por su ARN de recurso, que tiene el siguiente formato:

  ```
  arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*
  ```

La funcionalidad prevista de los controles, cuando se implementan mediante AWS Config reglas vinculadas a servicios, no ha cambiado. Las reglas de Config de detección vinculadas a servicios de AWS Control Tower pueden identificar recursos que no conformes en sus cuentas, como infracciones de políticas, y enviar alertas a través del panel. Para mantener la coherencia, evitar desviaciones en la configuración y simplificar la experiencia general del usuario, estas reglas ahora solo se pueden modificar a través de AWS Control Tower.

Como parte de esta versión, agregamos cuatro permisos nuevos a la política para el rol vinculado al servicio (SLR) [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSServiceRoleForAWSControlTower](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSServiceRoleForAWSControlTower), de modo que puedas habilitar y deshabilitar las reglas vinculadas al servicio AWS Config para tus cuentas inscritas.

```
config:DescribeConfigRules
config:TagResource
config:PutConfigRule
config:DeleteConfigRule
```

## La vista de consola de controles habilitados proporciona una visibilidad centralizada
<a name="enabled-controls-page"></a>

**21 de mayo de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha agregado una nueva página en la consola que muestra todos los controles habilitados en una vista única y centralizada. Anteriormente, los controles solo se podían ver con la cuenta o la UO donde estaban habilitados. La vista consolidada facilita la identificación a escala de brechas en la gobernanza de controles.

En la página **Controles habilitados**, puede filtrar los controles según su comportamiento: Preventivo, De detección o Proactivo. También puede filtrar de acuerdo con la implementación del control, como SCP. Para cada control, puede ver cuántos OUs tienen este control activado.

Para ver la página **Controles habilitados**, vaya a la sección **Controles** de la consola de AWS Control Tower.

## Account Factory for Terraform (AFT) admite nuevas configuraciones en la implementación
<a name="aft-configurations"></a>

**13 de mayo de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

El marco de personalización de cuentas de AWS Control Tower, Account Factory for Terraform (AFT), ahora admite tres configuraciones opcionales adicionales en el momento de la implementación. Puede implementar AFT en una nube privada virtual (VPC) personalizada, especificar el nombre del proyecto de Terraform para la implementación de AFT y etiquetar los recursos que crea AFT.

Para obtener más información sobre AFT, consulte [Implementación de Account Factory for Terraform (AFT) de AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html).

## AWS Control Tower presenta informes a nivel de cuenta como referencia APIs
<a name="enabled-baseline-drift"></a>

 **12 de mayo de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Ahora puede consultar mediante programación *los* estados de las *cuentas* reguladas y de registro de las cuentas reguladas utilizando la línea de base. APIs Con esta función, puede identificar cuándo las configuraciones de líneas de base de cuentas y UO están *desviadas* o no sincronizadas. Para ver el estado de desviación mediante programación, puede llamar a la API [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) correspondiente a las líneas de base bases habilitadas. Para ver los estados de cuentas individuales mediante programación con la API `ListEnabledBaselines`, use la marca `includeChildren`. Puede filtrar por estos estados y ver solo las cuentas OUs que requieren su atención.

[https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types) establece prácticas recomendadas, configuraciones, controles y recursos necesarios para la gobernanza. Cuando habilita esta línea de base en una unidad organizativa (UO), las cuentas de miembros de la UO se inscriben en AWS Control Tower automáticamente. La base de AWS Control Tower APIs incluye CloudFormation soporte, que le permite crear automatizaciones que gestionen sus cuentas OUs y sus cuentas con infraestructura como código (IaC).

 Para obtener más información al respecto APIs, consulte [las líneas de referencia](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html) en la Guía del *usuario de AWS Control Tower*. Las funciones de generación de informes de referencia APIs y las recién lanzadas sobre el estado de *inscripción de cuentas* y de *derivación* están disponibles en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## La Torre de Control de AWS está disponible en las regiones de AWS Asia Pacífico (Tailandia) y México (Central)
<a name="new-regions-bkk-qro"></a>

**9 de mayo de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ya está disponible en las siguientes AWS regiones:
+ Asia-Pacífico (Tailandia)
+ México (centro)

Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la [tabla de regiones de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Config Controles adicionales disponibles
<a name="new-config-controls"></a>

 **11 de abril de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite 223 AWS Config reglas administradas adicionales para diversos casos de uso, como la seguridad, el costo, la durabilidad y las operaciones. Con este lanzamiento, ahora puede usar la Torre de Control de AWS para buscar y descubrir las AWS Config reglas que necesita para gobernar su entorno de múltiples cuentas y, a continuación, habilitar y administrar los controles directamente desde la Torre de Control de AWS.

Para empezar desde la consola de AWS Control Tower, vaya al Control Catalog y busque los controles con el filtro de implementación AWS Config. Puede habilitar los controles directamente desde la consola de AWS Control Tower. 

Para obtener más información, consulte [AWS Config Controles integrados disponibles en AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/controlreference/config-controls.html).

Con este lanzamiento, hemos actualizado los campos `ListControls` y `GetControl` APIs para adaptarlos a tres nuevos campos: **CreateTime****Gravedad** e **Implementación**, que puede utilizar al buscar un control en el catálogo de controles. Por ejemplo, ahora puede buscar mediante programación AWS Config las reglas de alta gravedad que se crearon después de la última evaluación.

Puede buscar las nuevas AWS Config reglas en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para implementar una regla, consulte la lista de reglas compatibles con Regiones de AWS esa regla para ver dónde se puede habilitar.

## Anule el registro y elimine acciones para OUs
<a name="deregister-and-delete"></a>



 **8 de abril de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower admite ahora acciones de consola independientes para anular el registro de una UO y eliminarla. Debe anular el registro de la UO antes de eliminarla. Puede eliminar una UO desde AWS Control Tower anulando su registro.

Para obtener más información, consulte [Eliminación de una UO](remove-ou.md).

## Control Catalog admite IPv6 direcciones
<a name="ipv6"></a>

 **2 de abril de 2025**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

La API del catálogo de control de AWS Control Tower ahora admite las direcciones del Protocolo de Internet versión 6 (IPv6) a través de nuestros nuevos puntos de enlace de doble pila. Los puntos de conexión actuales de Control Catalog IPv4 siguen disponibles para garantizar la compatibilidad con versiones anteriores. *Los nuevos dominios de doble pila están disponibles [desde Internet](https://docs.aws.amazon.com/general/latest/gr/controlcatalog.html) o [desde una Amazon Virtual Private Cloud (VPC) mediante. [AWS PrivateLink](https://aws.amazon.com/privatelink/)](https://docs.aws.amazon.com/controlcatalog/latest/userguide/vpc-interface-endpoints.html)*

# Enero a diciembre de 2024
<a name="2024-all"></a>

En 2024, AWS Control Tower publicó las siguientes actualizaciones:
+ [AWS Control Tower cFCT admite GitHub y RCPs](#cfct-github-support)
+ [AWS Control Tower agrega controles preventivos con políticas declarativas](#declarative-policies)
+ [AWS Control Tower agrega opciones de planes prescriptivos de copia de seguridad](#aws-backup)
+ [AWS Control Tower integra AWS Config los controles](#config-controls)
+ [AWS Control Tower mejora la administración de enlaces y agrega regiones de control proactivo](#hook-management)
+ [AWS Control Tower lanza políticas de control de recursos administrados](#rcp-controls)
+ [AWS Control Tower registra la desviación de políticas de control](#policy-drift)
+ [Nueva API de `ResetEnabledControl`](#reset-enabled-control-api)
+ [El catálogo de control actualiza la API `GetControl`](#getcontrol-api-update)
+ [AWS Control Tower AFT admite GitLab](#aft-gitlab-support)
+ [La Torre de Control de AWS está disponible en la región de AWS Asia Pacífico (Malasia)](#kul-region)
+ [AWS Control Tower admite hasta 1000 cuentas por OU](#1000-accounts)
+ [AWS Control Tower añade una selección de versiones de zona de aterrizaje](#lz-version-select)
+ [API de control descriptiva disponible, acceso ampliado a regiones y controles](#get-and-list-controls)
+ [AWS Control Tower admite AFT y CfCT en regiones de inscripción](#aft-cfct-regions)
+ [AWS Control Tower añade la API `ListLandingZoneOperations`](#lz-operations-api)
+ [AWS Control Tower admite hasta 100 operaciones de control simultáneas](#multiple-controls)
+ [La Torre de Control de AWS está disponible en el oeste de AWS Canadá (Calgary)](#yyc-available)
+ [AWS Control Tower admite ajustes de cuotas de autoservicio](#service-quotas)
+ [AWS Control Tower publica la *Guía de referencia de controles*](#controls-reference-guide)
+ [AWS Control Tower actualiza y cambia el nombre de dos controles proactivos](#update-2-proactive-controls)
+ [Los controles obsoletos ya no están disponibles](#deprecated-controls)
+ [AWS Control Tower admite el etiquetado de `EnabledControl` recursos en CloudFormation](#cfn-tagging)
+ [AWS Control Tower admite el registro y APIs la configuración de unidades organizativas con líneas base](#baseline-apis)

## AWS Control Tower cFCT admite GitHub y RCPs
<a name="cfct-github-support"></a>

 **9 de diciembre de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite GitHub TM como opción para un sistema de control de versiones (VCS) de terceros y una fuente de configuración para las personalizaciones de la Torre de Control de AWS (CFCT). Para obtener más información, consulte [Configurar GitHub como fuente de configuración](cfct-github-configuration-source.md).

AWS Control Tower ahora admite políticas de control de recursos (RCPs) para las personalizaciones de AWS Control Tower (CFCT). Para obtener más información, consulte [Guía de personalización de CfCT](cfct-customizations-dev-guide.md).

## AWS Control Tower agrega controles preventivos con políticas declarativas
<a name="declarative-policies"></a>

 **1 de diciembre de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite los controles preventivos que se implementan mediante políticas declarativas desde AWS Organizations. Las políticas declarativas se aplican directamente en el nivel de servicio. Este enfoque garantiza que se aplique la configuración especificada, incluso cuando el servicio introduzca nuevas funciones o APIs cuando el servicio introduzca nuevas funciones. Para obtener más información, consulte [Controles implementados con políticas declarativas](https://docs.aws.amazon.com//controltower/latest/controlreference/declarative-controls.html).

## AWS Control Tower agrega opciones de planes prescriptivos de copia de seguridad
<a name="aws-backup"></a>

 **25 de noviembre de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite AWS Backup planes prescriptivos que le permiten incorporar un flujo de trabajo de respaldo y recuperación de datos directamente en su landing zone. El plan de copia de seguridad incluye reglas predefinidas, como días de retención, frecuencia de copia de seguridad y período durante el cual se realiza copia de seguridad. Estas reglas definen cómo hacer copias de seguridad de los recursos de AWS en todas las cuentas de miembros reguladas. Al aplicar un plan de respaldo a la zona de aterrizaje, AWS Control Tower se asegura de que el plan sea coherente para todas las cuentas de los miembros y se ajuste a las recomendaciones de prácticas recomendadas de AWS Backup.

Para obtener más información, consulte [Copia de seguridad de AWS y AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/backup.html).

## AWS Control Tower integra AWS Config los controles
<a name="config-controls"></a>

**21 de noviembre de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha integrado AWS Config controles seleccionados para que AWS Control Tower pueda verlos y gestionarlos.

Para obtener más información, consulte [Controles de AWS Config integrados disponibles en AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/config-controls.html)

## AWS Control Tower mejora la administración de enlaces y agrega regiones de control proactivo
<a name="hook-management"></a>

**20 de noviembre de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Con esta versión, puede utilizar toda la capacidad de los CloudFormation ganchos, sin restricciones por parte de AWS Control Tower. Además, hay controles proactivos disponibles en las regiones de Oeste de Canadá (Calgary) y Asia-Pacífico (Malasia).

Anteriormente, todos los CloudFormation enlaces de su entorno debían estar protegidos por el control **CT.CLOUDFORMATION.PR.1**, de modo que solo AWS Control Tower pudiera modificarlos. Con esta versión, puede implementar CloudFormation ganchos y modificarlos sin las restricciones que antes exigía el servicio de Torre de Control de AWS. 

Si actualmente implementa controles proactivos, puede pasar a esta funcionalidad de enlace mejorada. Para restablecer todos los controles proactivos de una UO, restablezca cualquier control proactivo individual que esté activo en esa UO. Puede realizar el restablecimiento llamando a la `ResetEnabledControl` API o actualizando el control desde la consola, con la función **Restablecer**. Al completar esta tarea de restablecimiento para cualquier control proactivo, AWS Control Tower traslada todos los enlaces de controles proactivos de la UO a la nueva capacidad. Repita este proceso para cada UO que implemente controles proactivos.

Tras restablecer cualquier control proactivo, elimine el control **CT.CLOUDFORMATION.PR.1 de su** Torre de Control de AWS OUs, a menos que lo haya activado para otro propósito. Si no desactiva el control **CT.CLOUDFORMATION.PR.1**, no podrá crear ni modificar los demás enlaces. CloudFormation 

Para obtener más información, consulte [Actualización de enlaces de controles proactivos](https://docs.aws.amazon.com//controltower/latest/controlreference/get-new-hooks.html).

## AWS Control Tower lanza políticas de control de recursos administrados
<a name="rcp-controls"></a>

 **15 de noviembre de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ofrece un nuevo tipo de control preventivo, que se implementa con políticas de control de recursos (RCPs). Estos controles le ayudan a establecer un perímetro de datos en todo el entorno de AWS Control Tower para proteger sus recursos de accesos no deseados.

Por ejemplo, puede habilitar controles basados en RCP para Amazon S3 AWS Security Token Service AWS Key Management Service, Amazon SQS y servicios. AWS Secrets Manager Un control basado en RCP puede hacer cumplir un requisito como «Exigir que solo los directores de IAM que pertenezcan a la organización o un AWS servicio puedan acceder a los recursos de Amazon S3 de la organización», independientemente de los permisos otorgados en las políticas de bucket individuales.

Puede configurar los nuevos controles basados en el RCP y algunos controles preventivos basados en el SCP existentes para especificar las exenciones de IAM para los directores y los recursos. AWS Si no desea que una entidad principal o un recurso se rija por el control, puede configurar una exención.

Al combinar los controles preventivos, proactivos y de detección en AWS Control Tower, puede supervisar si su AWS entorno de múltiples cuentas es seguro y se administra de acuerdo con las mejores prácticas, como el estándar [AWS Foundational Security Best Practices](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp.html).

Estos nuevos controles preventivos basados en RCP están disponibles en los Regiones de AWS lugares donde está disponible AWS Control Tower. Para obtener una lista completa de los Regiones de AWS lugares donde está disponible la Torre de Control de AWS, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower registra la desviación de políticas de control
<a name="policy-drift"></a>

**15 de noviembre de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora informa sobre desviaciones en las políticas de control, tanto para los controles implementados con políticas de control de recursos (RCPs) como para los controles que forman parte del **estándar gestionado por el servicio CSPM de Security Hub: AWS Control Tower**. Este tipo de desviación se puede corregir con la nueva API `ResetEnabledControl`. Para obtener más información, consulte [Types of Governance Drift](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html).

## Nueva API de `ResetEnabledControl`
<a name="reset-enabled-control-api"></a>

 **14 de noviembre de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower anuncia una nueva API que le ayudará a administrar la desviación de control mediante programación. Puede reparar la desviación de control y restablecer un control a la configuración deseada. La API `ResetEnabledControl` funciona con los controles opcionales de AWS Control Tower, incluidos los controles **Altamente recomendados** y **Opcionales**.

**Excepciones de control**
+ Los controles que se implementan con las políticas de control de servicios (SCPs) no se pueden restablecer con esta API. Para obtener más información, consulte [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html). 
+ Los controles obligatorios no se pueden restablecer porque protegen los recursos de AWS Control Tower. 
+ El control **Denegación de regiones** de la zona de aterrizaje debe restablecerse a través de la consola.

La desviación de control se produce cuando se modifica un control de la Torre de Control de AWS fuera de la Torre de Control de AWS, por ejemplo, desde la AWS Organizations consola. La resolución de la desviación contribuye a garantizar la conformidad con los requisitos de gobernanza.

## El catálogo de control actualiza la API `GetControl`
<a name="getcontrol-api-update"></a>

 **8 de noviembre de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower admite ahora una API `GetControl` actualizada que incluye dos campos nuevos: tipos `Implementation` para todos los controles y `Parameters` para determinados controles que se pueden configurar.

La API `GetControl` forma parte del espacio de nombres `controlcatalog` de AWS Control Tower.

Para obtener más información, consulte [API `GetControl`](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) en la *Referencia de la API Control Catalog*.

**Esta versión incluye cambios relacionados que se muestran en la consola de AWS Control Tower.**
+ El valor de los `Implementation` parámetros de todos AWS Security Hub CSPM los controles existentes ha cambiado de AWS Config regla a AWS Security Hub CSPM. El panel de ayuda de la consola correspondiente se modifica para reflejar este cambio.
+ El valor de los `Implementation` parámetros de todos los controles Hook existentes ha cambiado de regla de CloudFormation guarda a CloudFormation gancho. El panel de ayuda de la consola correspondiente se modifica para reflejar este cambio.

## AWS Control Tower AFT admite GitLab
<a name="aft-gitlab-support"></a>

 **23 de octubre de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite GitLab TM y GitLab Self-Managed como opciones para un sistema de control de versiones (VCS) de terceros y una fuente de configuración para Account Factory for Terraform (AFT).

## La Torre de Control de AWS está disponible en la región de AWS Asia Pacífico (Malasia)
<a name="kul-region"></a>

 **21 de octubre de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está disponible en la región de Asia-Pacífico (Malasia) de AWS .

Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la [tabla de regiones de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower admite hasta 1000 cuentas por OU
<a name="1000-accounts"></a>

 **30 de agosto de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha aumentado el número máximo de cuentas permitidas por unidad organizativa (OU) de 300 a 1000. Ahora puede inscribir hasta 1000 personas a la vez Cuentas de AWS en la gobernanza de la Torre de Control de AWS, sin cambiar la estructura de la unidad organizativa. Los procesos de registro y anulación del registro de las OU también son más eficientes y requieren mucho menos tiempo para implementar los recursos de línea de base de AWS Control Tower en sus cuentas.

Se siguen aplicando algunas limitaciones de las cuentas debido a las limitaciones en la cantidad de conjuntos de pilas de CloudFormation disponibles. En concreto, el número máximo de cuentas que puede inscribir en una OU puede variar en función del número de regiones que controle. Para obtener más información, consulte [Limitaciones basadas en AWS los servicios subyacentes](https://docs.aws.amazon.com//controltower/latest/userguide/region-stackset-limitations.html) en la [https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html](https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html). Para obtener una lista completa de Regiones de AWS en las que AWS Control Tower está disponible, consulte la [tabla de regiones de Región de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower añade una selección de versiones de zona de aterrizaje
<a name="lz-version-select"></a>

 **15 de agosto de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Si ejecuta la versión 3.1 o superior de la zona de aterrizaje de AWS Control Tower, puede actualizar o reparar la zona de aterrizaje en la versión actual, o bien actualizar a la versión que prefiera. Anteriormente, cualquier actualización o reparación de una zona de aterrizaje exigía una actualización a la última versión de la zona de aterrizaje. 

Con la selección de versiones de zona de aterrizaje, dispone de más flexibilidad para planificar las actualizaciones de la versión mientras evalúa los posibles cambios en el entorno. No tiene que elegir entre reparar la desviación para seguir cumpliendo las normas, actualizar las configuraciones de la zona de aterrizaje o actualizar a la última versión de la zona de aterrizaje. Si ejecuta la versión 3.1 o superior de la zona de aterrizaje, puede optar por permanecer en la versión actual o bien actualizar a una versión más reciente, cuando actualice o restablezca las configuraciones de la zona de aterrizaje. 

## API de control descriptiva disponible, acceso ampliado a regiones y controles
<a name="get-and-list-controls"></a>

 **6 de agosto de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower añadió dos nuevas operaciones de API que le ayudan a encontrar más información sobre los controles disponibles mediante programación. Esta funcionalidad facilita la implementación de controles con automatización.
+ La API [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) devuelve detalles sobre un control habilitado, como el identificador de destino, un resumen de la información del control, una lista de las regiones de destino y el estado de desviación.
+ La API [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html) devuelve una lista paginada de todos los controles disponibles en la biblioteca de controles de AWS Control Tower.

 APIs Se accede a ellos a través del espacio de [nombres AWS Control Catalog](https://docs.aws.amazon.com//controlcatalog/latest/userguide/what-is-controlcatalog.html). El catálogo de AWS control forma parte de la Torre de Control de AWS, que incluye controles que le ayudan a gestionar otros AWS servicios, no solo la Torre de Control de AWS. Este catálogo ampliado consolida los controles de varios AWS servicios, de modo que puede ver AWS los controles de acuerdo con algunos casos de uso comunes, como la seguridad, el costo, la durabilidad y las operaciones. Para obtener más información, consulte [Control Catalog API Reference](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/Welcome.html).

**Disponibilidad ampliada por región**

A partir de esta versión, puede ampliar la gobernanza de AWS Control Tower en Regiones de AWS donde algunos de sus controles (ya) habilitados no estén disponibles. Además, ahora puede habilitar determinados controles en más regiones, aunque el control no esté disponible en todas las regiones gobernadas.

Anteriormente, AWS Control Tower le impedía ampliar la gobernanza a las regiones o habilitar los controles, cuando no ofrecía coherencia en todos los controles habilitados y las regiones gobernadas. Con esta versión, tiene más flexibilidad y más responsabilidad a la hora de garantizar que la configuración sea correcta para todos los controles habilitados y todas las regiones gobernadas. El [control de la Torre de Control de AWS APIs](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html) y el [catálogo](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/Welcome.html) de controles APIs pueden ayudarle a obtener información sobre las AWS regiones en las que está protegido por los controles habilitados y las regiones en las que se pueden implementar controles adicionales. La información de la región y el control también está disponible en la consola de AWS Control Tower.

## AWS Control Tower admite AFT y CfCT en regiones de inscripción
<a name="aft-cfct-regions"></a>

 **18 de julio de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

En la actualidad, los marcos de personalización de AWS Control Tower Account Factory for Terraform (AFT) y Customizations for AWS Control Tower (cFCT) están disponibles en cinco versiones adicionales Regiones de AWS: Asia Pacífico (Hyderabad, Yakarta y Osaka), Israel (Tel Aviv) y Oriente Medio (Emiratos Árabes Unidos).

El generador de cuentas para Terraform (AFT) configura una canalización de Terraform para ayudarlo a aprovisionar y personalizar cuentas en AWS Control Tower. Las personalizaciones para AWS Control Tower (cFCT) le ayudan a personalizar la zona de aterrizaje y las cuentas de AWS Control Tower con CloudFormation plantillas y políticas de control de servicios ()SCPs.

Para obtener más información, visite las páginas del generador de cuentas para Terraform y de las personalizaciones para AWS Control Tower en la Guía del usuario de AWS Control Tower. También puede consultar las notas de la versión en la página de GitHub de AFT y en la página de GitHub de CfCT. AFT y cFCT son compatibles en todas AWS las regiones, con algunas excepciones. Para obtener información específica, consulte [Region limitations](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html).

## AWS Control Tower añade la API `ListLandingZoneOperations`
<a name="lz-operations-api"></a>

 **26 de junio de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

 AWS Control Tower ha añadido una API que le permite recuperar una lista de las operaciones aplicadas recientemente a la zona de aterrizaje y las operaciones actualmente en curso. La API puede devolver el historial de operaciones de las zonas de aterrizaje y sus identificadores durante un máximo de 90 días. Para ver ejemplos de uso, consulte [View the status of your landing zone operations](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html).

Para obtener más información acerca de la API `ListLandingZoneOperations`, consulte [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html) en la *Referencia de la API de AWS Control Tower*.

## AWS Control Tower admite hasta 100 operaciones de control simultáneas
<a name="multiple-controls"></a>

 **20 de mayo de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite varias operaciones de control con mayor simultaneidad. Puede enviar hasta 100 operaciones de control de la Torre de Control de AWS, en varias unidades organizativas (OUs), al mismo tiempo, desde la consola o con APIs. Pueden ejecutarse hasta diez (10) operaciones simultáneamente y las adicionales se ponen en cola. De esta forma, puede establecer una configuración más estandarizada en varias Cuentas de AWS, sin la carga operativa que representan las operaciones de control repetitivas.

Para supervisar el estado de las operaciones de control en curso y en cola, puede ir a la nueva página **Operaciones recientes** en la consola de AWS Control Tower o puede llamar a la nueva API [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListControlOperations.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListControlOperations.html).

La biblioteca de AWS Control Tower contiene más de 500 controles, que se asignan a diferentes objetivos, marcos y servicios de control. Para un objetivo de control específico, como **Cifrar datos en reposo**, puede habilitar varios controles con una sola operación de control para ayudarlo a lograr el objetivo. Esta capacidad facilita el desarrollo acelerado, permite una adopción más rápida de los controles de prácticas recomendadas y mitiga las complejidades operativas.

## La Torre de Control de AWS está disponible en el oeste de AWS Canadá (Calgary)
<a name="yyc-available"></a>

**3 de mayo de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

A partir de hoy, puede activar AWS Control Tower en la región Oeste de Canadá (Calgary). Si ya ha implementado AWS Control Tower y desea extender sus funciones de gobierno a esta región, puede hacerlo con la [zona de aterrizaje](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html) de AWS Control Tower APIs. Asimismo, desde la consola, vaya a la página **Configuración** del panel de control de AWS Control Tower, seleccione sus regiones y, a continuación, actualice la zona de aterrizaje.

La región Oeste de Canadá (Calgary) no es compatible con AWS Service Catalog. Por este motivo, algunas funcionalidades de AWS Control Tower son diferentes. El cambio de funcionalidad más notable es que el generador de cuentas no está disponible. Si elige Oeste de Canadá (Calgary) como región de origen, los procedimientos para actualizar las cuentas, configurar las automatizaciones de cuentas y cualquier otro proceso que implique a Service Catalog son diferentes a los de otras regiones.

**Cuentas aprovisionadas**

Para crear y aprovisionar una nueva cuenta en la región Oeste de Canadá (Calgary), le recomendamos que cree una cuenta fuera de AWS Control Tower y, a continuación, la inscriba en una OU registrada. Para obtener más información, consulte [Enroll an existing account](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html) y [Steps to enroll an account](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html#enrollment-steps).

El Service Catalog no APIs está disponible en la región Canadá Oeste (Calgary). El script de ejemplo que se muestra en [Automatizar el aprovisionamiento de cuentas en AWS Control Tower by Service Catalog APIs ](https://docs.aws.amazon.com//controltower/latest/userguide/automated-provisioning-walkthrough.html) no funciona.

Las personalizaciones del generador de cuentas (AFC), el generador de cuentas para Terraform (AFT) y las personalizaciones para AWS Control Tower (CfCT) no están disponibles en Oeste de Canadá (Calgary) debido a la falta de otras dependencias subyacentes de AWS Control Tower. Si amplía la gobernanza a la región Oeste de Canadá (Calgary), podrá seguir administrando los esquemas de AFC en todas las regiones compatibles con AWS Control Tower, siempre y cuando Service Catalog esté disponible en la región de origen.

**Controles**

Los controles proactivos y los controles para el **estándar administrado por servicios de AWS Security Hub CSPM : AWS Control Tower** no está disponible en la región Oeste de Canadá (Calgary). El control preventivo `CT.CLOUDFORMATION.PR.1` no está disponible en Oeste de Canadá (Calgary) porque solo es necesario para activar los controles proactivos basados en enlaces. Algunos controles de detección basados en no AWS Config están disponibles. Para obtener más información, consulte [Limitaciones de control](control-limitations.md).

**Proveedor de identidades**

IAM Identity Center no está disponible en la región Oeste de Canadá (Calgary). La práctica recomendada es configurar la zona de aterrizaje en una región en la que esté disponible IAM Identity Center. Como alternativa, tiene la opción de administrar por sí mismo la configuración de acceso a la cuenta si utiliza un proveedor de identidad externo en Oeste de Canadá (Calgary).

La falta de disponibilidad de Service Catalog en la región Oeste de Canadá (Calgary) no afecta a las demás regiones compatibles con AWS Control Tower. Estas diferencias se aplican solo si la región de origen es Oeste de Canadá (Calgary).

Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la [tabla de regiones de AWS]( https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower admite ajustes de cuotas de autoservicio
<a name="service-quotas"></a>

**25 de abril de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite ajustes de cuotas de autoservicio a través de la consola de Service Quotas. Para obtener más información, consulte [Solicitud de un aumento de cuota](request-an-increase.md).

## AWS Control Tower publica la *Guía de referencia de controles*
<a name="controls-reference-guide"></a>

**21 de abril de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower publicó la *Guía de referencia de controles*, un nuevo documento en el que puede encontrar información detallada sobre los controles específicos del entorno de AWS Control Tower. Este material se incluía anteriormente en la *Guía del usuario de AWS Control Tower*. La *Guía de referencia de controles* abarca los controles en un formato ampliado. Para obtener más información, consulte [AWS Control Tower Controls Reference Guide](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html).

## AWS Control Tower actualiza y cambia el nombre de dos controles proactivos
<a name="update-2-proactive-controls"></a>

**26 de marzo de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha cambiado el nombre de dos controles proactivos para adaptarlos a las actualizaciones de Amazon OpenSearch Service.
+ [**[CT.OPENSEARCH.PR.8]** Requiere un dominio de Elasticsearch Service para usar .2 TLSv1](https://docs.aws.amazon.com//controltower/latest/controlreference/opensearch-rules.html#ct-opensearch-pr-8-description)
+ [**[CT.OPENSEARCH.PR.16 ]** Requiere un dominio OpenSearch de Amazon Service para usar TLSv1 .2](https://docs.aws.amazon.com//controltower/latest/controlreference/opensearch-rules.html#ct-opensearch-pr-16-description)

Hemos actualizado los nombres de los controles y los artefactos de estos dos controles para adaptarlos a la versión reciente de Amazon OpenSearch Service, que [ahora es compatible con la versión 1.3 de Transport Layer Security (TLS)](https://aws.amazon.com/about-aws/whats-new/2024/01/amazon-opensearch-service-tls-1-3-perfect-forward-secrecy) entre sus opciones de seguridad de transporte para la seguridad de puntos finales de dominio.

Para añadir compatibilidad con la versión TLSv1 .3 a estos controles, hemos actualizado el artefacto y el nombre de los controles para que reflejen la intención del control. Ahora evalúan la versión mínima de TLS del dominio de servicio. Para realizar esta actualización en el entorno, debe **Deshabilitar** y **Habilitar** los controles para implementar el artefacto más reciente.

Ningún otro control proactivo se ve afectado por este cambio. Le recomendamos que revise estos controles para asegurarse de que cumplen sus objetivos de control.

Si tiene preguntas o dudas, póngase en contacto con [AWS Support](https://aws.amazon.com/support).

## Los controles obsoletos ya no están disponibles
<a name="deprecated-controls"></a>

**12 de marzo de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha retirado algunos controles. Estos controles ya no están disponibles.
+ CT.ATHENA.PR.1
+ CT.CODEBUILD.PR.4
+ CT.AUTOSCALING.PR.3
+ SH.Athena.1
+ SH.Codebuild.5
+ SH.AutoScaling.4
+ SH.SNS.1
+ SH.SNS.2

## AWS Control Tower admite el etiquetado de `EnabledControl` recursos en CloudFormation
<a name="cfn-tagging"></a>

**22 de febrero de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Esta versión de AWS Control Tower actualiza el comportamiento del recurso `EnabledControl` para adaptarlo mejor a los controles configurables y mejorar la capacidad de administrar el entorno de AWS Control Tower con automatización. Con esta versión, puede añadir etiquetas a los recursos `EnabledControl` configurables mediante plantillas de CloudFormation . Anteriormente, APIs solo podía añadir etiquetas a través de la consola de la Torre de Control de AWS.

Las operaciones de las API `GetEnabledControl`, `EnableControl` y `ListTagsforResource` de AWS Control Tower se actualizan con esta versión porque dependen de la funcionalidad de los recursos `EnabledControl`.

Para obtener más información, consulte [Tagging `EnabledControl` resources in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/controlreference/tagging.html) y [https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/aws-resource-controltower-enabledcontrol.html](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/aws-resource-controltower-enabledcontrol.html) en la *Guía del usuario de CloudFormation *.

## AWS Control Tower admite el registro y APIs la configuración de unidades organizativas con líneas base
<a name="baseline-apis"></a>

**14 de febrero de 2024**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Estos permiten APIs el registro programático de la OU con la llamada. `EnableBaseline` Cuando habilita una línea de base en una OU, las cuentas de miembros de la OU se inscriben en la gobernanza de AWS Control Tower. Pueden aplicarse determinadas advertencias. Por ejemplo, el registro de la OU a través de la consola de AWS Control Tower permite controles opcionales y obligatorios. Cuando llames APIs, es posible que tengas que completar un paso adicional para activar los controles opcionales.

La *línea de base* de AWS Control Tower incorpora prácticas recomendadas para la gobernanza de AWS Control Tower de una OU y de las cuentas de miembros. Por ejemplo, al habilitar una línea base en una OU, las cuentas de los miembros de la OU reciben un grupo definido de recursos, que incluye AWS CloudTrail el centro de identidad de IAM y las funciones de AWS IAM requeridas. AWS Config

Las líneas de base específicas son compatibles con versiones específicas de zona de aterrizaje de AWS Control Tower. AWS Control Tower puede aplicar la última línea de base compatible con su zona de aterrizaje al cambiar la configuración de esta. Para obtener más información, consulte [Compatibilidad de las versiones de base de referencia y de zonas de aterrizaje de la OU](table-of-baselines.md).

**Esta versión incluye cuatro [tipos de líneas de base](types-of-baselines.md) esenciales**
+ `AWSControlTowerBaseline`
+ `AuditBaseline`
+ `LogArchiveBaseline`
+ `IdentityCenterBaseline`

Con las líneas base nuevas APIs y definidas, puede registrar y automatizar su flujo de trabajo de aprovisionamiento de OUs unidades organizativas. APIs También pueden gestionar los OUs que ya están bajo el gobierno de la Torre de Control de AWS, por lo que puede volver a registrarse OUs después de las actualizaciones de landing zone. APIs Incluyen soporte para un CloudFormation `EnabledBaseline` recurso, que le permite administrar su OUs infraestructura como código (IaC).

**Base de referencia APIs**
+ **EnableBaseline**, **UpdateEnabledBaseline**, **DisableBaseline**: Tome medidas sobre la base de referencia de una unidad organizativa.
+ **GetEnabledBaseline**, **ListEnabledBaselines**: Descubra las configuraciones para sus líneas base habilitadas.
+ **GetBaselineOperation**: Vea el estado de una operación de referencia concreta.
+ **ResetEnabledBaseline**: corrija la desviación de recursos en una unidad organizativa con una línea base habilitada (incluida la desviación de control anidada OUs y obligatoria). También corrige la desviación para la región, niega el control landing-zone-level.
+ **GetBaseline**, **ListBaselines**: Descubra el contenido de las líneas base de AWS Control Tower.

Para obtener más información al respecto APIs, consulte [las líneas de referencia](https://docs.aws.amazon.com//controltower/latest/userguide/table-of-baselines.html) en la Guía del usuario de AWS Control Tower y en la referencia de la [API](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html). Las nuevas APIs están disponibles en los Regiones de AWS lugares donde está disponible la Torre de Control de AWS, excepto en las regiones GovCloud (EE. UU.). Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la Región de AWS tabla. 

# De enero a diciembre de 2023
<a name="2023-all"></a>

En 2023, AWS Control Tower publicó las siguientes actualizaciones:
+ [Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 3)](#phase-3-tos-external)
+ [Zona de aterrizaje de AWS Control Tower, versión 3.3](#lz-3-3)
+ [Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 2)](#phase-2-tos-external)
+ [AWS Control Tower anuncia controles para ayudar a la soberanía digital](#digital-sovereignty)
+ [Zona de aterrizaje de AWS Control Tower APIs](#landing-zone-apis)
+ [Etiquetado de controles de AWS Control Tower APIs](#control-tagging-apis)
+ [La Torre de Control de AWS está disponible en AWS Asia Pacífico (Melbourne)](#mel-region)
+ [Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 1)](#transition-sc-tos-external)
+ [AWS Control Tower agrega nueva API de control](#new-control-api)
+ [AWS Control Tower agrega nuevos controles](#q3-new-controls)
+ [AWS Control Tower detecta desviación de acceso de confianza](#trust-access-drift)
+ [AWS Control Tower está disponible en cuatro versiones adicionales Regiones de AWS](#four-regions)
+ [La Torre de Control de AWS está disponible en AWS Israel (Tel Aviv)](#new-tlv-region)
+ [AWS Control Tower agrega 28 nuevos controles proactivos](#28-proactive-controls)
+ [AWS Control Tower descarta dos controles](#deprecate-2controls)
+ [Zona de aterrizaje de AWS Control Tower, versión 3.2](#lz-3-2)
+ [AWS Control Tower agrega email-to-ID mapeo para el centro de identidad de IAM](#email-to-id)
+ [AWS Control Tower añade más AWS Security Hub CSPM controles](#more-sh-controls)
+ [AWS Control Tower publica los metadatos de los AWS Security Hub CSPM controles](#publish-metadata)
+ [AWS Control Tower agrega Account Factory Customization (AFC) for Terraform](#afc-terraform)
+ [AWS Control Tower agrega un IAM Identity Center autoadministrado](#iam-self-manage)
+ [AWS Control Tower agrega nota de gobernanza mixta](#mixed-governance-note)
+ [AWS Control Tower agrega nuevos controles proactivos](#new-proactive-controls)
+ [AWS Control Tower actualiza controles de Amazon EC2](#updated-ec2-controls)
+  [AWS Control Tower, disponible en siete versiones adicionales Regiones de AWS](#seven-regions)
+ [Account Factory Customization (AFC) y rastreo de solicitudes de AWS Control Tower disponibles con carácter general](#account-customization-request-tracing-ga)
+ [Zona de aterrizaje de AWS Control Tower, versión 3.1](#lz-3-1)
+ [Controles proactivos de AWS Control Tower disponibles con carácter general](#proactive-control-ga)

## Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 3)
<a name="phase-3-tos-external"></a>

**14 de diciembre de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ya no admite el *código abierto de Terraform* como tipo de producto (modelo) al crear nuevos. Cuentas de AWS Para obtener más información e instrucciones sobre cómo actualizar los esquemas de su cuenta, consulte el tipo de producto [Transition to the AWS Service Catalog External](https://docs.aws.amazon.com//controltower/latest/userguide/service-catalog.html). 

Si no actualiza los esquemas de la cuenta para utilizar el tipo de producto *externo*, solo podrá actualizar o cancelar las cuentas que haya aprovisionado mediante los esquemas de código abierto de Terraform. 

## Zona de aterrizaje de AWS Control Tower, versión 3.3
<a name="lz-3-3"></a>

**14 de diciembre de 2023**

(Es necesaria una actualización a la versión 3.3 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md)).

**Actualizaciones de la política de buckets de S3 en la cuenta de auditoría de AWS Control Tower**

Hemos modificado la política de buckets de auditoría de Amazon S3 que AWS Control Tower implementa en las cuentas, de modo que se debe cumplir una condición `aws:SourceOrgID` para cualquier permiso de escritura. Con esta versión, AWS los servicios solo tienen acceso a sus recursos cuando la solicitud proviene de su organización o unidad organizativa (OU). 

Puede utilizar la clave de condición `aws:SourceOrgID` y establecer el valor del **ID de organización** en el elemento de condición de la política de bucket de S3. Esta condición garantiza que CloudTrail solo pueda escribir registros en nombre de las cuentas de su organización en su bucket de S3; evita que CloudTrail los registros ajenos a su organización se escriban en su bucket de S3 de AWS Control Tower.

Hicimos este cambio para corregir una posible vulnerabilidad de seguridad, sin que afectase a la funcionalidad de las cargas de trabajo actuales. Para ver la política actualizada, consulte [Política de bucket de Amazon S3 en la cuenta de auditoría](logging-s3-audit-bucket.md).

Para obtener más información sobre la nueva clave de condición, consulte la documentación de IAM y la entrada del blog de IAM titulada «*Use controles escalables para los AWS servicios que acceden a sus recursos*». 

**Actualizaciones de la política en el tema SNS AWS Config **

[Hemos agregado la nueva clave de `aws:SourceOrgID` condición a la política del tema de AWS Config SNS. Para ver la política actualizada, consulte la política del tema de SNS. AWS Config](https://docs.aws.amazon.com//controltower/latest/userguide/receive-notifications.html#config-sns-policy)

**Actualizaciones del control de denegación de regiones de la zona de aterrizaje**
+ Se ha eliminado `discovery-marketplace:`. Esta acción está cubierta por la exención `aws-marketplace:*`.
+ Se ha agregado `quicksight:DescribeAccountSubscription`

**Plantilla actualizada CloudFormation **

Hemos actualizado la CloudFormation plantilla de la pila nombrada `BASELINE-CLOUDTRAIL-MASTER` para que no muestre desviaciones cuando no se utiliza el AWS KMS cifrado.

## Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 2)
<a name="phase-2-tos-external"></a>

**7 de diciembre de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

HashiCorp actualizaron sus licencias de Terraform. *Como resultado, AWS Service Catalog cambiaron el soporte para los productos de *código abierto de Terraform* y los productos aprovisionados por un nuevo tipo de producto, denominado Externo.* 

Para evitar interrumpir las cargas de trabajo y AWS los recursos existentes en sus cuentas, siga los pasos de transición de la Torre de Control de AWS que aparecen en la [sección Transición al tipo de producto AWS Service Catalog externo](af-customization-page.md#service-catalog-external-product-type) antes del 14 de diciembre de 2023. 

## AWS Control Tower anuncia controles para ayudar a la soberanía digital
<a name="digital-sovereignty"></a>

**27 de noviembre de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower anuncia 65 nuevos controles AWS gestionados para ayudarle a cumplir sus requisitos de soberanía digital. Con esta versión, podrá descubrir estos controles en un nuevo *grupo de soberanía digital* en la consola de AWS Control Tower. Puede utilizar estos controles para ayudar a evitar acciones y detectar cambios en los recursos relacionados con las capacidades de *residencia de datos*, *restricción de acceso granular*, *cifrado* y *resiliencia*. Estos controles están diseñados para que le resulte más sencillo abordar los requisitos a escala. Para obtener más información sobre los controles de soberanía digital, consulte [Controls that enhance digital sovereignty protection](https://docs.aws.amazon.com//controltower/latest/controlreference/digital-sovereignty-controls.html).

Por ejemplo, puede optar por habilitar controles que ayuden a aplicar sus estrategias de cifrado y resiliencia, como **Exigir una caché de AWS AppSync API para habilitar el cifrado en tránsito** o **Requerir que se implemente un AWS Network Firewall en varias zonas de disponibilidad**. También puede personalizar el control de denegación de regiones de AWS Control Tower para aplicar las restricciones regionales que mejor se adapten a sus necesidades empresariales únicas.

Esta versión incluye capacidades mejoradas de denegación de regiones de AWS Control Tower. Puede aplicar un nuevo control de denegación de regiones parametrizado en la unidad organizativa para aumentar la granularidad de la gobernanza y, al mismo tiempo, mantener una gobernanza adicional de la región en la zona de aterrizaje. Este control de denegación de regiones personalizable lo ayuda a aplicar las restricciones regionales que mejor se adapten a sus necesidades empresariales únicas. Para obtener más información sobre el nuevo control de denegación de regiones configurable, consulte [Region deny control applied to the OU](https://docs.aws.amazon.com//controltower/latest/controlreference/ou-region-deny.html).

Como nueva herramienta para la nueva mejora de denegación de regiones, esta versión incluye una nueva API, `UpdateEnabledControl`, que le permite restablecer los controles habilitados a la configuración predeterminada. Esta API resulta especialmente útil en los casos de uso en los que es necesario resolver las desviaciones rápidamente o garantizar mediante programación que un control no se encuentre en estado de desviación. Para obtener más información acerca de la API, consulte [AWS Control Tower API Reference](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)

**Nuevos controles proactivos**
+ CT.APIGATEWAY.PR.6: Exija que un dominio REST de Amazon API Gateway utilice una política de seguridad que especifique una versión mínima del protocolo TLS de .2 TLSv1
+ CT.APPSYNC.PR.2: Requiere que se configure una API de AWS AppSync GraphQL con visibilidad privada 
+ CT.APPSYNC.PR.3: Exigir que una API de AWS AppSync GraphQL no esté autenticada con claves de API
+ CT.APPSYNC.PR.4: Requiere una caché de API AWS AppSync GraphQL para activar el cifrado en tránsito.
+ CT.APPSYNC.PR.5: Requiere una caché de API AWS AppSync GraphQL para activar el cifrado en reposo.
+ CT.AUTOSCALING.PR.9: Cómo requerir que un volumen de Amazon EBS configurado mediante una configuración de lanzamiento de Amazon EC2 Auto Scaling cifre los datos en reposo
+ CT.AUTOSCALING.PR.10: Exigir que un grupo de Amazon EC2 Auto Scaling utilice AWS solo tipos de instancias Nitro al anular una plantilla de lanzamiento
+ CT.AUTOSCALING.PR.11: Exija que solo los tipos de instancias AWS Nitro que admitan el cifrado del tráfico de red entre instancias se agreguen a un grupo de Amazon EC2 Auto Scaling, al anular una plantilla de lanzamiento
+ CT.DAX.PR.3: Cómo requerir que un clúster de DynamoDB Accelerator cifre datos en tránsito con seguridad de la capa de transporte (TLS)
+ CT.DMS.PR.2: Requerir un punto final del AWS Database Migration Service (DMS) para cifrar las conexiones de los puntos finales de origen y destino
+ CT.EC2.PR.15: Cómo requerir que una instancia de Amazon EC2 utilice un tipo de instancia de AWS Nitro cuando se crea desde el tipo de recurso `AWS::EC2::LaunchTemplate`
+ CT.EC2.PR.16: Cómo requerir que una instancia de Amazon EC2 utilice un tipo de instancia de AWS Nitro cuando se crea mediante el tipo de recurso `AWS::EC2::Instance`
+ CT.EC2.PR.17: Cómo requerir que un host dedicado de Amazon EC2 utilice un tipo de instancia de AWS Nitro
+ CT.EC2.PR.18: Exija que una flota de Amazon EC2 anule solo las plantillas de lanzamiento con AWS tipos de instancias Nitro
+ CT.EC2.PR.19: Cómo requerir que una instancia de Amazon EC2 utilice un tipo de instancia de Nitro que admita cifrado en tránsito entre instancias cuando se crea mediante el tipo de recurso `AWS::EC2::Instance`
+ CT.EC2.PR.20: Exija que una flota de Amazon EC2 anule solo las plantillas de lanzamiento con tipos de instancias AWS Nitro que admitan el cifrado en tránsito entre instancias
+ CT.ELASTICACHE.PR.8: Requerir un grupo de ElastiCache replicación de Amazon de versiones posteriores de Redis para activar la autenticación RBAC
+ CT.MQ.PR.1: Exija a un agente ActiveMQ de Amazon MQ que utilice el modo de implementación para obtener una alta disponibilidad active/standby 
+ CT.MQ.PR.2: Cómo requerir que un agente MQ de Amazon MQ Rabbit utilice el modo de clúster multi-AZ para obtener una alta disponibilidad
+ CT.MSK.PR.1: Cómo requerir que un clúster de Amazon Managed Streaming para Apache Kafka (MSK) aplique cifrado en tránsito entre los nodos del agente del clúster
+ CT.MSK.PR.2: Requiere que un clúster de Amazon Managed Streaming for Apache Kafka (MSK) esté configurado con deshabilitado PublicAccess 
+ CT.NETWORK-FIREWALL.PR.5: Exigir AWS la implementación de un firewall de Network Firewall en varias zonas de disponibilidad
+ CT.RDS.PR.26: Cómo requerir que un proxy de base de datos de Amazon RDS exija conexiones de seguridad de la capa de transporte (TLS)
+ CT.RDS.PR.27: Cómo requerir que un grupo de parámetros de clúster de base de datos de Amazon RDS exija conexiones de seguridad de la capa de transporte (TLS) para los tipos de motores compatibles
+ CT.RDS.PR.28: Cómo requerir que un grupo de parámetros de base de datos de Amazon RDS exija conexiones de seguridad de la capa de transporte (TLS) para los tipos de motores compatibles
+ CT.RDS.PR.29: Exigir que un clúster de Amazon RDS no esté configurado para que sea de acceso público mediante la propiedad 'PubliclyAccessible'
+ CT.RDS.PR.30: Cómo requerir que una instancia de base de datos de Amazon RDS tenga cifrado en reposo configurado para utilizar una clave de KMS que especifique para los tipos de motores compatibles
+ CT.S3.PR.12: Cómo requerir que un punto de acceso de Amazon S3 tenga una configuración Bloquear acceso público (BPA) con todas las opciones establecidas en true

**Nuevos controles preventivos**
+ CT.APPSYNC.PV.1Exigir que una API de AWS AppSync GraphQL esté configurada con visibilidad privada 
+ CT.EC2.PV.1 Cómo requerir que se cree una instantánea de Amazon EBS desde un volumen de EC2 cifrado
+ CT.EC2.PV.2 Cómo requerir que se configure un volumen de Amazon EBS adjunto para cifrar los datos en reposo
+ CT.EC2.PV.3 Cómo requerir que una instantánea de Amazon EBS no pueda restaurarse públicamente
+ CT.EC2.PV.4Exigir que no APIs se llame a Amazon EBS direct
+ CT.EC2.PV.5 Cómo prohibir el uso de la importación y exportación de máquinas virtuales de Amazon EC2
+ CT.EC2.PV.6No permitir el uso de acciones de Amazon RequestSpotFleet RequestSpotInstances EC2 y API obsoletas
+ CT.KMS.PV.1Exija que una política AWS KMS clave incluya una declaración que limite la creación de AWS KMS subvenciones a los servicios AWS 
+ CT.KMS.PV.2Exija que una clave AWS KMS asimétrica con material de clave RSA que se utilice para el cifrado no tenga una longitud de clave de 2048 bits
+ CT.KMS.PV.3Exija que la AWS KMS clave esté configurada con la comprobación de seguridad de bloqueo por política de elusión activada 
+ CT.KMS.PV.4Exigir que una clave AWS KMS gestionada por el cliente (CMK) esté configurada con material clave originado en CloudHSM AWS 
+ CT.KMS.PV.5Exija que una clave AWS KMS gestionada por el cliente (CMK) esté configurada con material clave importado 
+ CT.KMS.PV.6Exija que una clave AWS KMS gestionada por el cliente (CMK) esté configurada con material clave procedente de un almacén de claves externo (XKS)
+ CT.LAMBDA.PV.1Requiere una URL de AWS Lambda función para usar la autenticación basada en IAM AWS 
+ CT.LAMBDA.PV.2Requiere que AWS Lambda la URL de una función esté configurada para que solo puedan acceder a ella los directores de su Cuenta de AWS

## Zona de aterrizaje de AWS Control Tower APIs
<a name="landing-zone-apis"></a>

**26 de noviembre de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora ofrece opciones APIs que le ayudan a administrar su landing zone mediante programación. Te APIs permiten crear, actualizar y restablecer tu zona de aterrizaje, así como recuperar información sobre la configuración y las operaciones de tu zona de aterrizaje. Para obtener más información, consulte [Ejemplos de la API de zona de aterrizaje](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html).

La zona de aterrizaje APIs está disponible en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible, excepto en las regiones GovCloud (EE. UU.). Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## Etiquetado de controles de AWS Control Tower APIs
<a name="control-tagging-apis"></a>

**10 de noviembre de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora ofrece opciones APIs que le ayudan a etiquetar los controles habilitados mediante programación. Estas APIs le permiten añadir, eliminar y enumerar las etiquetas de los controles habilitados. Para obtener más información, consulte [Etiquetado de recursos de AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/tagging-resources.html).

El etiquetado de control APIs está disponible en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible, excepto en las regiones GovCloud (EE. UU.). Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## La Torre de Control de AWS está disponible en AWS Asia Pacífico (Melbourne)
<a name="mel-region"></a>

**3 de noviembre de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está disponible en Asia-Pacífico (Melbourne). Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la [Tabla de Región de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## Transición a un nuevo tipo de producto AWS Service Catalog externo (fase 1)
<a name="transition-sc-tos-external"></a>

**31 de octubre de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

HashiCorp actualizaron sus licencias de Terraform. *Como resultado, AWS Service Catalog cambiaron el soporte para los productos de *código abierto de Terraform* y los productos aprovisionados por un nuevo tipo de producto, denominado Externo.* 

Para evitar interrumpir las cargas de trabajo y AWS los recursos existentes en sus cuentas, siga los pasos de transición de la Torre de Control de AWS que aparecen en la [sección Transición al tipo de producto AWS Service Catalog externo](af-customization-page.md#service-catalog-external-product-type) antes del 14 de diciembre de 2023. 

## AWS Control Tower agrega nueva API de control
<a name="new-control-api"></a>

**27 de octubre de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ofrece ahora una nueva API, `UpdateEnabledControl`, que le permite actualizar los controles habilitados. Esta API resulta especialmente útil en los casos de uso en los que es necesario resolver las desviaciones rápidamente o garantizar mediante programación que un control no se encuentre en estado de desviación. Para obtener más información sobre la nueva API, consulte [Referencia de la API de AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html).

La `UpdateEnabledControl` API está disponible en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible, excepto en las regiones GovCloud (EE. UU.). Para obtener una lista de Regiones de AWS donde AWS Control Tower está disponible, consulte la [Tabla de Región de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower agrega nuevos controles
<a name="q3-new-controls"></a>

**20 de octubre de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha agregado 22 nuevos controles a la biblioteca de controles de AWS Control Tower. Estos controles le ayudan a aplicar las mejores prácticas para sus AWS recursos. Para obtener más información sobre los nuevos controles, consulte [Categorías de control](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html).

Los nuevos controles están disponibles en todos los Regiones de AWS lugares donde esté disponible la Torre de Control de AWS. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower detecta desviación de acceso de confianza
<a name="trust-access-drift"></a>

**13 de octubre de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower detecta y registra ahora desviaciones en la configuración de acceso de confianza. La configuración de acceso confiable permite que AWS Control Tower interactúe con otros AWS servicios en su nombre. Si esta configuración se cambia fuera de AWS Control Tower, AWS Control Tower detectará la desviación y la registrará en la consola de AWS Control Tower. Para obtener más información sobre la desviación de acceso de confianza, consulte [Tipos de desviación de gobernanza](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html).

La detección confiable de desviaciones de acceso está disponible en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower está disponible en cuatro versiones adicionales Regiones de AWS
<a name="four-regions"></a>

**29 de septiembre de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está disponible en cuatro versiones adicionales Regiones de AWS: Asia Pacífico (Hyderabad), Asia Pacífico (Yakarta), Europa (España) y Europa (Zúrich). Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la [Tabla de Región de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## La Torre de Control de AWS está disponible en AWS Israel (Tel Aviv)
<a name="new-tlv-region"></a>

**1 de agosto de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está disponible en Israel (Tel Aviv). Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la [Tabla de Región de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower agrega 28 nuevos controles proactivos
<a name="28-proactive-controls"></a>

**27 de julio de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha agregado 28 nuevos controles proactivos a la biblioteca de controles de AWS Control Tower. Estos controles le ayudan a aplicar las mejores prácticas para sus AWS recursos. Para obtener más información sobre los nuevos controles, consulte [Categorías de control](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html).

Los nuevos controles están disponibles en todos los Regiones de AWS lugares donde esté disponible la Torre de Control de AWS. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower descarta dos controles
<a name="deprecate-2controls"></a>

**27 de julio de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha retirado dos controles: CT.CLOUDFORMATION.PR.2 y CT.CLOUDFORMATION.PR.3. Estos controles ya no están disponibles en la biblioteca de controles de AWS Control Tower. Para obtener más información sobre los controles en desuso, consulte [Categorías de control](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html).

Los controles obsoletos ya no están disponibles en ninguno Región de AWS.

## Zona de aterrizaje de AWS Control Tower, versión 3.2
<a name="lz-3-2"></a>

**16 de junio de 2023**

(Es necesaria una actualización a la versión 3.2 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md)).

La versión 3.2 de la zona de aterrizaje de AWS Control Tower pone a disposición del público general los controles que forman parte del **estándar AWS Security Hub CSPM gestionado por servicios: AWS Control Tower**. Introduce la posibilidad de ver el estado de desviación de los controles que forman parte de este estándar en la consola de AWS Control Tower.

**Esta actualización incluye un nuevo rol vinculado a servicios (SLR), denominado Tower. AWSService RoleFor AWSControl** Esta función ayuda a AWS Control Tower a crear una regla EventBridge gestionada, denominada **AWSControlTowerManagedRule**en la cuenta de cada miembro. Esta regla administrada recopila los eventos de AWS Security Hub CSPM **búsqueda**, ya que con AWS Control Tower se puede determinar la desviación de control.

Esta regla es la primera regla administrada que crea AWS Control Tower. La regla no se implementa mediante una pila, sino que se implementa directamente desde EventBridge APIs. Puede ver la regla en la EventBridge consola o mediante el EventBridge APIs. Si el campo `managed-by` está relleno, se mostrará la entidad principal del servicio de AWS Control Tower.

Anteriormente, AWS Control Tower asumía la **AWSControlTowerExecution**función de realizar operaciones en las cuentas de los miembros. Este nuevo rol y esta nueva regla están mejor alineados con el principio de mejores prácticas de permitir el mínimo de privilegios al realizar operaciones en un AWS entorno de múltiples cuentas. El nuevo rol proporciona permisos de alcance reducido que permiten específicamente: crear la regla administrada en las cuentas de miembros, mantener la regla administrada, publicar notificaciones de seguridad a través de SNS y verificar las desviaciones. Para obtener más información, consulte [AWSServiceRoleForAWSControlTorre](access-control-managing-permissions.md#AWSServiceRoleForAWSControlTower).

La actualización 3.2 de landing zone también incluye un nuevo StackSet recurso en la cuenta de administración`BP_BASELINE_SERVICE_LINKED_ROLE`, que inicialmente despliega la función vinculada al servicio.

Cuando se informa de una desviación de control del CSPM de Security Hub (en la zona de aterrizaje 3.2 y versiones posteriores), AWS Control Tower recibe una actualización de estado diaria del Security Hub CSPM. Aunque los controles están activos en todas las regiones gobernadas, la Torre de Control de AWS envía los eventos AWS Security Hub CSPM **Finding** únicamente a la región de origen de la Torre de Control de AWS. Para obtener más información, consulte [Security Hub control drift reporting](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html#sh-drift).

**Actualización del control de denegación de regiones**

Esta versión de zona de aterrizaje también incluye una actualización del control de denegación de regiones.

**Servicios globales y APIs añadidos**
+ Administración de facturación y costos de AWS (`billing:*`)
+ AWS CloudTrail (`cloudtrail:LookupEvents`) para permitir la visibilidad de los eventos globales en las cuentas de los miembros.
+ AWS Facturación unificada (`consolidatedbilling:*`)
+ AWS Aplicación Mobile Console (`consoleapp:*`)
+ AWS Nivel gratuito (`freetier:*`)
+ Facturación de AWS (`invoicing:*`)
+ AWS IQ (`iq:*`)
+ AWS Notificaciones de usuario (`notifications:*`)
+ AWS Contactos de notificaciones de usuario (`notifications-contacts:*`)
+ Amazon Payments (`payments:*`)
+ AWS Configuración fiscal (`tax:*`)

**Servicios globales y APIs eliminados**
+ Se ha eliminado `s3:GetAccountPublic` porque no es una acción válida.
+ Se ha eliminado `s3:PutAccountPublic` porque no es una acción válida.

## AWS Control Tower agrega email-to-ID mapeo para el centro de identidad de IAM
<a name="email-to-id"></a>

**13 de julio de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite el email-to-ID mapeo para el centro de identidad de IAM. Esta función le permite asignar direcciones de correo electrónico a los usuarios del Centro de Identidad de IAM IDs, lo que facilita la administración del acceso de los usuarios a su entorno de AWS Control Tower. Para obtener más información sobre el email-to-ID mapeo, consulte [Integración con el IAM Identity Center](https://docs.aws.amazon.com//controltower/latest/userguide/sso-integration.html).

Email-to-ID El mapeo está disponible en todos los Regiones de AWS lugares donde esté disponible la Torre de Control de AWS. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower añade más AWS Security Hub CSPM controles
<a name="more-sh-controls"></a>

**29 de junio de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha añadido más AWS Security Hub CSPM controles a la biblioteca de controles de la Torre de Control de AWS. Estos controles le ayudan a aplicar las mejores prácticas para sus AWS recursos. Para obtener más información sobre los nuevos controles, consulte [Categorías de control](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html).

Los nuevos controles están disponibles en todos los Regiones de AWS lugares donde esté disponible la Torre de Control de AWS. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower publica los metadatos de los AWS Security Hub CSPM controles
<a name="publish-metadata"></a>

**22 de junio de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora publica los metadatos de los AWS Security Hub CSPM controles. Estos metadatos incluyen información sobre el control, como ID, título y descripción del control. Para obtener más información sobre los metadatos, consulte [Metadatos de objetos](https://docs.aws.amazon.com//controltower/latest/userguide/control-metadata.html).

Los metadatos de control están disponibles en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower agrega Account Factory Customization (AFC) for Terraform
<a name="afc-terraform"></a>

**15 de junio de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower agrega ahora Account Factory Customization (AFT) for Terraform. Esta característica le permite utilizar Terraform para personalizar las cuentas de AWS Control Tower. Para obtener más información sobre AFC para Terraform, consulte [Account Factory Customization for Terraform](https://docs.aws.amazon.com//controltower/latest/userguide/afc-terraform.html).

AFC for Terraform está disponible en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower agrega un IAM Identity Center autoadministrado
<a name="iam-self-manage"></a>

**8 de junio de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower admite ahora un IAM Identity Center autoadministrado. Esta característica le permite utilizar su propio proveedor de identidades con AWS Control Tower. Para obtener más información sobre el IAM Identity Center autoadministrado, consulte [IAM Identity Center](https://docs.aws.amazon.com//controltower/latest/userguide/iam-identity-center.html).

El centro de identidades de IAM autogestionado está disponible en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower agrega nota de gobernanza mixta
<a name="mixed-governance-note"></a>

**1 de junio de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower incluye ahora una nota sobre gobernanza mixta. En esta nota se explica cómo AWS Control Tower trabaja con otros AWS servicios para gestionar sus AWS recursos. Para obtener más información sobre la gobernanza mixta, consulte [Gobernanza mixta](https://docs.aws.amazon.com//controltower/latest/userguide/mixed-governance.html).

La nota de gobernanza mixta está disponible en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower agrega nuevos controles proactivos
<a name="new-proactive-controls"></a>

**25 de mayo de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha agregado nuevos controles proactivos a la biblioteca de controles de AWS Control Tower. Estos controles le ayudan a aplicar las mejores prácticas para sus AWS recursos. Para obtener más información sobre los nuevos controles, consulte [Categorías de control](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html).

Los nuevos controles están disponibles en todos los Regiones de AWS lugares donde esté disponible la Torre de Control de AWS. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower actualiza controles de Amazon EC2
<a name="updated-ec2-controls"></a>

**18 de mayo de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ha actualizado los controles de Amazon EC2 en la biblioteca de controles de AWS Control Tower. Estas actualizaciones mejoran la seguridad y la fiabilidad del entorno de AWS Control Tower. Para obtener más información sobre los controles actualizados, consulte [Categorías de control](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html).

Los controles actualizados están disponibles en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## AWS Control Tower, disponible en siete versiones adicionales Regiones de AWS
<a name="seven-regions"></a>

**11 de mayo de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está disponible en otros siete países Regiones de AWS: Asia Pacífico (Osaka), Canadá (Central), Europa (Milán), Europa (Estocolmo), Oriente Medio (Baréin), Oriente Medio (Emiratos Árabes Unidos) y Sudamérica (São Paulo). Para obtener una lista de las regiones en las que AWS Control Tower está disponible, consulte la [Tabla de Región de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## Account Factory Customization (AFC) y rastreo de solicitudes de AWS Control Tower disponibles con carácter general
<a name="account-customization-request-tracing-ga"></a>

**27 de abril de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Account Factory Customization (AFC) y el rastreo de solicitudes de AWS Control Tower están ahora disponibles con carácter general. AFC le permite personalizar sus cuentas de AWS Control Tower y el rastreo de solicitudes le permite realizar un seguimiento del estado de las solicitudes de AWS Control Tower. Para obtener más información sobre la AFC y el rastreo de solicitudes, consulte [Account Factory Customization](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-customization.html) y [Rastreo de solicitudes](https://docs.aws.amazon.com//controltower/latest/userguide/request-tracing.html).

El AFC y el rastreo de solicitudes están disponibles en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

## Zona de aterrizaje de AWS Control Tower, versión 3.1
<a name="lz-3-1"></a>

9 de febrero de 2023

(Es necesaria una actualización a la versión 3.1 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md)).

La versión 3.1 de la zona de aterrizaje de AWS Control Tower incluye las siguientes actualizaciones:
+ Con esta versión, AWS Control Tower desactiva el registro de acceso innecesario para su *bucket de registro de acceso*, que es el bucket de Amazon S3 en el que se almacenan los registros de acceso en la cuenta de archivo de registro, al tiempo que sigue habilitando el registro de acceso al servidor para los buckets de S3. Esta versión también incluye actualizaciones del control Region Deny, que permiten realizar acciones adicionales en el caso de los servicios globales, como Soporte los planes y AWS Artifact. 
+ La desactivación del registro de acceso al servidor para el depósito de registro de acceso de la Torre de Control de AWS hace que Security Hub CSPM busque el depósito de registro de *acceso* de la cuenta de Log Archive. Debido a una AWS Security Hub CSPM regla, [[S3.9] El registro de acceso al servidor del bucket S3](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-9) debe estar habilitado. De acuerdo con el CSPM de Security Hub, le recomendamos que suprima este hallazgo concreto, tal y como se indica en la descripción de CSPM de Security Hub de esta regla. Para obtener más información, consulte la [información sobre los resultados suprimidos](https://docs.aws.amazon.com//securityhub/latest/userguide/finding-workflow-status.html).
+ El registro de acceso al bucket de registro (normal) de la cuenta de archivo de registro no ha cambiado en la versión 3.1. En consonancia con las prácticas recomendadas, los eventos de acceso a ese bucket se registran como entradas de registro en el *bucket de registro de acceso*. Para obtener más información sobre el registro de acceso, consulte [Registro de solicitudes con registro de acceso al servidor](https://docs.aws.amazon.com//AmazonS3/latest/userguide/ServerLogs.html) en la documentación de Amazon S3.
+ Hemos actualizado el control de denegación de regiones. Esta actualización permite que más servicios globales realicen acciones. Para obtener más información sobre este SCP, consulte [Denegar el acceso a en AWS función de lo solicitado Región de AWS y [Controles que](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html) mejoran la protección](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html) de la residencia de los datos.

  **Servicios globales añadidos:**
  + AWS Account Management (`account:*`)
  + AWS Activar () `activate:*`
  + AWS Artifact (`artifact:*`)
  + AWS Billing Conductor (`billingconductor:*`)
  + AWS Compute Optimizer (`compute-optimizer:*`)
  + AWS Data Pipeline (`datapipeline:GetAccountLimits`)
  + AWS Device Farm(`devicefarm:*`)
  + AWS Marketplace (`discovery-marketplace:*`)
  + Amazon ECR (`ecr-public:*`)
  + AWS License Manager (`license-manager:ListReceivedLicenses`)
  + AWS `lightsail:Get*`Lightsail ()
  + Explorador de recursos de AWS (`resource-explorer-2:*`)
  + Amazon S3 (`s3:CreateMultiRegionAccessPoint`, `s3:GetBucketPolicyStatus`, `s3:PutMultiRegionAccessPointPolicy`)
  + AWS Savings Plans (`savingsplans:*`)
  + IAM Identity Center (`sso:*`)
  + AWS Support App (`supportapp:*`)
  + Soporte Planes (`supportplans:*`)
  + AWS Sostenibilidad (`sustainability:*`)
  + AWS Resource Groups Tagging API (`tag:GetResources`)
  + AWS Marketplace Información sobre los proveedores (`vendor-insights:ListEntitledSecurityProfiles`)

## Controles proactivos de AWS Control Tower disponibles con carácter general
<a name="proactive-control-ga"></a>

**13 de abril de 2023**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Los controles proactivos de AWS Control Tower están ahora disponibles con carácter general. Los controles proactivos le ayudan a aplicar las mejores prácticas para sus AWS recursos. Para obtener más información sobre los controles proactivos, consulte [Proactive controls](https://docs.aws.amazon.com//controltower/latest/userguide/proactive-controls.html).

Los controles proactivos están disponibles en todos los Regiones de AWS lugares donde AWS Control Tower esté disponible. Para ver una lista de los Regiones de AWS lugares donde está disponible AWS Control Tower, consulte la [Región de AWS tabla](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

# De enero a diciembre de 2022
<a name="2022-all"></a>

En 2022, AWS Control Tower publicó las siguientes actualizaciones:
+ [Operaciones de cuentas simultáneas](#concurrent-account-operations)
+ [Personalización del generador de cuentas (AFC)](#af-customization)
+ [Los controles integrales ayudan en el aprovisionamiento y la AWS administración de los recursos](#proactive-controls-notes)
+ [Se puede ver el estado de conformidad de todas las reglas AWS Config](#config-compliance-status)
+ [API para controles y un nuevo recurso CloudFormation](#control-control-api)
+ [CfCT admite la eliminación de conjuntos de pilas](#stack-set-deletion-cfct)
+ [Retención de registros personalizada](#log-retention)
+ [Reparación de desviaciones en los roles disponible](#role-drift-repair)
+ [Zona de aterrizaje de AWS Control Tower, versión 3.0](#version-3.0)
+ [La página de la organización combina vistas OUs y cuentas](#ou-hierarchy-page)
+ [Creación e inscripción de cuentas simplificadas](#simple-create-and-enroll)
+ [AFT admite la personalización automatizada de las cuentas compartidas de AWS Control Tower](#aft-supports-shared-accounts)
+ [Operaciones simultáneas para todos los controles opcionales](#concurrent-preventive-controls)
+ [Cuentas de seguridad y registro existentes](#existing-security-and-logging-accounts)
+ [Zona de aterrizaje de AWS Control Tower, versión 2.9](#version-2.9)
+ [Zona de aterrizaje de AWS Control Tower, versión 2.8](#version-2.8)

## Operaciones de cuentas simultáneas
<a name="concurrent-account-operations"></a>

**16 de diciembre de 2022**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite acciones simultáneas en el generador de cuentas. Puede crear, actualizar o inscribir hasta cinco (5) cuentas a la vez. Envíe hasta cinco acciones consecutivas y visualice el estado de realización de cada solicitud mientras las cuentas terminan de crearse en segundo plano. Por ejemplo, ya no tiene que esperar a que se complete cada proceso para actualizar otra cuenta o para volver a registrar una unidad organizativa (OU) completa.

## Personalización del generador de cuentas (AFC)
<a name="af-customization"></a>

**28 de noviembre de 2022**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

La personalización del generador de cuentas le permite personalizar cuentas nuevas y existentes desde la consola de AWS Control Tower. Estas nuevas capacidades de personalización le ofrecen la flexibilidad de definir los planos de cuentas, que son CloudFormation plantillas incluidas en un producto especializado de Service Catalog. Los esquemas aprovisionan recursos y configuraciones totalmente personalizados. También puede optar por utilizar esquemas predefinidos, creados y administrados por socios de AWS , que le ayuden a personalizar las cuentas para casos de uso específicos.

Anteriormente, el generador de cuentas de AWS Control Tower no permitía la personalización de cuentas en la consola. Con esta actualización del generador de cuentas, puede predefinir los requisitos de la cuenta e implementarlos como parte de un flujo de trabajo bien definido. Puede aplicar planos para crear nuevas cuentas, inscribir otras AWS cuentas en la Torre de Control de AWS y actualizar las cuentas de la Torre de Control de AWS existentes.

Cuando aprovisione, inscriba o actualice una cuenta en el generador de cuentas, seleccionará el esquema que desee implementar. Los recursos especificados en el esquema se aprovisionan en su cuenta. Cuando haya terminado de crearse la cuenta, todas las configuraciones personalizadas estarán disponibles para su uso inmediato.

Para empezar a personalizar las cuentas, puede definir los recursos para el caso de uso previsto en un producto de Service Catalog. También puede seleccionar soluciones administradas por socios de la biblioteca de AWS introducción. Para obtener más información, consulte [Personalización de cuentas con la personalización del generador de cuentas (AFC)](af-customization-page.md).

## Los controles integrales ayudan en el aprovisionamiento y la AWS administración de los recursos
<a name="proactive-controls-notes"></a>

**28 de noviembre de 2022**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite una gestión integral de los controles, que incluye nuevos controles proactivos opcionales, que se implementan mediante CloudFormation enlaces. Estos controles se denominan proactivos porque comprueban sus recursos (antes de implementarlos) para determinar si los nuevos recursos cumplirán con los controles que están activados en su entorno.

Más de 130 nuevos controles proactivos le ayudan a cumplir objetivos políticos específicos para su entorno de AWS Control Tower, a cumplir los requisitos de los marcos de conformidad estándar del sector y a regular las interacciones de la Torre de Control de AWS en más de veinte AWS servicios más.

La biblioteca de controles de la Torre de Control de AWS clasifica estos controles según los AWS servicios y recursos asociados. Para obtener más información, consulte [Proactive controls](https://docs.aws.amazon.com//controltower/latest/controlreference/proactive-controls.html).

Con esta versión, AWS Control Tower también se integra AWS Security Hub CSPM, mediante el nuevo **estándar gestionado por servicios CSPM de Security Hub: AWS Control Tower, que es compatible con el estándar** AWS Foundational Security Best Practices (FSBP). Puede ver más de 160 controles CSPM de Security Hub junto con los controles de la Torre de Control de AWS en la consola, y puede obtener una puntuación de seguridad CSPM de Security Hub para su entorno de Torre de Control de AWS. Para obtener más información, consulte [Security Hub controls](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html).

## Se puede ver el estado de conformidad de todas las reglas AWS Config
<a name="config-compliance-status"></a>

**18 de noviembre de 2022**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

La Torre de Control de AWS ahora muestra el estado de conformidad de todas AWS Config las reglas implementadas en las unidades organizativas registradas en la Torre de Control de AWS. Puede ver el estado de conformidad de todas AWS Config las normas que afectan a sus cuentas en la Torre de Control de AWS, estén inscritas o canceladas, sin tener que salir de la consola de la Torre de Control de AWS. Los clientes pueden elegir configurar las reglas de Config, denominadas controles de detección, en AWS Control Tower o configurarlas directamente a través del AWS Config servicio. AWS Config Se muestran las reglas implementadas por, junto con las reglas implementadas por AWS Control Tower.

Anteriormente, AWS Config las reglas implementadas a través del AWS Config servicio no estaban visibles en la consola de AWS Control Tower. Los clientes tenían que ir al AWS Config servicio para identificar las reglas que no cumplían con AWS Config las normas. Ahora puede identificar cualquier AWS Config regla no conforme en la consola de AWS Control Tower. Para ver el estado de conformidad de todas sus reglas de Config, vaya a la página **Detalles de la cuenta** en la consola de AWS Control Tower. Verá una lista que muestra el estado de conformidad de los controles administrados por AWS Control Tower y las reglas de configuración implementadas fuera de AWS Control Tower.

## API para controles y un nuevo recurso CloudFormation
<a name="control-control-api"></a>

**1 de septiembre de 2022**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite la administración programática de los controles, también conocidos como *barreras de protección*, mediante un conjunto de llamadas a la API. Un nuevo recurso de CloudFormation es compatible con la funcionalidad de la API para los controles. Para obtener más información, consulta[Automatización de tareas en AWS Control Tower](automating-tasks.md) y [Cree AWS Control Tower recursos con AWS CloudFormation](creating-resources-with-cloudformation.md).

Le APIs permiten habilitar, deshabilitar y ver el estado de las aplicaciones de los controles en la biblioteca de la Torre de Control de AWS. APIs Incluyen soporte para CloudFormation que pueda administrar AWS los recursos como infrastructure-as-code (IaC). AWS Control Tower proporciona controles preventivos y de detección opcionales que expresan las intenciones de su política con respecto a toda una unidad organizativa (OU) y a todas las AWS cuentas de la OU. Estas reglas se mantienen en vigor a medida que crea cuentas nuevas o realiza cambios en las cuentas existentes.

**APIs incluido en esta versión**
+ **EnableControl**— Esta llamada a la API activa un control. Inicia una operación asíncrona que crea recursos de AWS en la unidad organizativa especificada y las cuentas que contiene.
+ **DisableControl**— Esta llamada a la API desactiva un control. Especifica una operación asíncrona que elimina recursos de AWS en la unidad organizativa especificada y las cuentas que contiene. 
+ **GetControlOperation**— Devuelve el estado de una **DisableControl**operación **EnableControl**u operación en particular.
+ **ListEnabledControls**— Muestra los controles habilitados por AWS Control Tower en la unidad organizativa especificada y las cuentas que contiene.

Para ver una lista de los nombres de los controles opcionales, consulte [Identificadores de recursos APIs y controles](https://docs.aws.amazon.com//controltower/latest/userguide/control-identifiers.html) en la *Guía del usuario de AWS Control Tower*.

## CfCT admite la eliminación de conjuntos de pilas
<a name="stack-set-deletion-cfct"></a>

**26 de agosto de 2022**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Las personalizaciones de AWS Control Tower (CfCT) ahora admiten la eliminación de conjuntos de pilas mediante la configuración de un parámetro en el archivo `manifest.yaml`. Para obtener más información, consulte [Eliminación de un conjunto de pilas](cfct-delete-stack.md).

**importante**  
Al establecer inicialmente el valor de `enable_stack_set_deletion` en `true`, la próxima vez que invoque CfCT, se prepararán para eliminarse **TODOS** los recursos que comiencen por el prefijo `CustomControlTower-`, que tengan la etiqueta de clave `Key:AWS_Solutions, Value: CustomControlTowerStackSet` asociada y que no estén declarados en el archivo de manifiesto.

## Retención de registros personalizada
<a name="log-retention"></a>

**15 de agosto de 2022**

(Es necesaria una actualización de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md)).

AWS Control Tower ahora ofrece la posibilidad de personalizar la política de retención de los buckets de Amazon S3 que almacenan los CloudTrail registros de la Torre de Control de AWS. Puede personalizar la política de retención de registros de Amazon S3, en incrementos de días o años, hasta un máximo de 15 años. 

Si decide no personalizar la retención de registros, la configuración predeterminada es de un año para el registro de cuenta estándar y de 10 años para el registro de acceso.

Esta característica está disponible para los clientes actuales a través de AWS Control Tower cuando actualiza o repara su zona de aterrizaje, y para los nuevos clientes a través de la configuración de AWS Control Tower.

## Reparación de desviaciones en los roles disponible
<a name="role-drift-repair"></a>

**11 de agosto de 2022**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite la reparación para la desviación de roles. Puede restaurar un rol obligatorio sin reparar por completo la zona de aterrizaje. Si es necesario este tipo de reparación de desviación, la página de error de la consola ofrece los pasos para restaurar el rol, de modo que la zona de aterrizaje vuelva a estar disponible.

## Zona de aterrizaje de AWS Control Tower, versión 3.0
<a name="version-3.0"></a>

**29 de julio de 2022**

(Es necesaria una actualización a la versión 3.0 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md)).

La versión 3.0 de la zona de aterrizaje de AWS Control Tower incluye las siguientes actualizaciones:
+ La opción de elegir AWS CloudTrail rutas a nivel de organización o de excluirse de las CloudTrail rutas gestionadas por AWS Control Tower.
+ Dos nuevos controles de detección para determinar si AWS CloudTrail se está registrando actividad en sus cuentas.
+ La opción de agregar AWS Config información sobre los recursos globales solo en su región de origen.
+ Una actualización del control de denegación de regiones.
+ Una actualización de la política gestionada, **AWSControlTowerServiceRolePolicy**.
+ Ya no creamos el rol `aws-controltower-CloudWatchLogsRole` de IAM ni el grupo de CloudWatch registros `aws-controltower/CloudTrailLogs` en cada cuenta inscrita. Anteriormente, los creábamos en cada cuenta para su registro de seguimiento de cuentas. Con los registros de la organización, solo creamos uno en la cuenta de administración.

En las secciones siguientes se proporcionan más detalles sobre cada nueva capacidad.

** CloudTrail Rutas a nivel de organización en la Torre de Control de AWS**

 Con la versión 3.0 de la zona de aterrizaje, AWS Control Tower ahora admite registros de seguimiento de AWS CloudTrail por organización.

Al actualizar la zona de aterrizaje de AWS Control Tower a la versión 3.0, tiene la opción de seleccionar AWS CloudTrail rutas a nivel de organización como su preferencia de registro o de excluirse de las CloudTrail rutas gestionadas por AWS Control Tower. Al actualizar a la versión 3.0, AWS Control Tower elimina *los registros de seguimiento de cuenta existentes de las cuentas inscritas* tras un período de espera de 24 horas. AWS Control Tower no elimina los registros de seguimiento por cuenta de las cuentas no inscritas. En el improbable caso de que la actualización de la zona de aterrizaje no se realice correctamente, pero el error se produzca después de que AWS Control Tower ya haya creado el registro de seguimiento por organización, es posible que se le cobren cargos duplicados por los registros de seguimiento por organización y por cuenta, hasta que la operación de actualización se complete correctamente.

A partir de la versión 3.0 de landing zone, AWS Control Tower ya no admite rastreos a nivel de cuenta que AWS administre. En su lugar, AWS Control Tower crea un registro por organización, que está activo o inactivo, de acuerdo con su selección.

**nota**  
Tras actualizar a la versión 3.0 o posterior, no tendrá la opción de continuar con las CloudTrail rutas a nivel de cuenta gestionadas por AWS Control Tower.

No se pierde ningún dato de registro de los registros agregados de su cuenta, ya que los registros permanecen en el bucket de Amazon S3 existente donde están almacenados. Solo se eliminan los registros de seguimiento, no los registros existentes. Si selecciona la opción de añadir registros de seguimiento por organización, AWS Control Tower abrirá una nueva ruta a una nueva carpeta dentro de su bucket de Amazon S3 y seguirá enviando información de registro a esa ubicación. Si opta por excluir los registros de seguimiento administrados por AWS Control Tower, sus registros existentes permanecerán en el bucket sin cambios.

**Convenciones de nomenclatura de rutas para el almacenamiento de registros**
+ Los registros de seguimiento de las cuentas se almacenan con una ruta de este formato: `/org id/AWSLogs/… `
+ Los registros de seguimiento de las organizaciones se almacenan con una ruta de este formato: `/org id/AWSLogs/org id/… `

 La ruta que AWS Control Tower crea para las CloudTrail rutas a nivel de la organización es diferente de la ruta predeterminada para una ruta a nivel de la organización creada manualmente, que tendría el siguiente formato:
+  `/AWSLogs/org id/… `

[Para obtener más información sobre la denominación de las CloudTrail rutas, consulte Cómo encontrar los archivos de registro. CloudTrail ](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-find-log-files.html )

**sugerencia**  
Si tiene pensado crear y administrar sus propios registros de seguimiento por cuenta, le recomendamos que cree los nuevos registros de seguimiento antes de completar la actualización a la versión 3.0 de la zona de aterrizaje de AWS Control Tower para empezar a registrarlas de inmediato.

En cualquier momento, puedes optar por crear nuevas CloudTrail rutas a nivel de cuenta o de organización y gestionarlas por tu cuenta. La opción de elegir CloudTrail rutas a nivel de organización gestionadas por AWS Control Tower está disponible durante cualquier actualización de landing zone a la versión 3.0 o posterior. Puede *activar* y *desactivar* los registros de seguimiento por organización siempre que actualice la zona de aterrizaje. 

Si los registros los administra un servicio de terceros, asegúrese de asignar el nombre de la nueva ruta a su servicio.

**nota**  
En el caso de las zonas de aterrizaje de la versión 3.0 o posterior, AWS Control Tower no admite las AWS CloudTrail rutas a nivel de cuenta. Puede crear y mantener sus propios registros de seguimiento de cuenta en cualquier momento, o bien optar por registros de seguimiento por organización administrados por AWS Control Tower.

**Registre AWS Config los recursos únicamente en la región de origen**

En la versión 3.0 de la zona de aterrizaje, AWS Control Tower ha actualizado la configuración de línea de base para que AWS Config registre los recursos globales únicamente en la región de origen. Después de actualizar a la versión 3.0, el registro de recursos para recursos globales solo está habilitado en su región de origen.

Esta configuración se considera una práctica recomendada. Lo recomienda AWS Security Hub CSPM y AWS Config, además, permite ahorrar costes al reducir la cantidad de elementos de configuración que se crean al crear, modificar o eliminar los recursos globales. Anteriormente, cada vez que un cliente o un servicio de AWS creaba, actualizaba o eliminaba un recurso global, se creaba un elemento de configuración para cada elemento de cada región gobernada.

**Dos nuevos controles de detección para el registro de AWS CloudTrail **

Como parte del cambio en los registros a nivel de organización AWS CloudTrail , AWS Control Tower presenta dos nuevos controles de detección que comprueban si están habilitados CloudTrail . El primer control tiene una directriz **obligatoria** y se habilita en la OU de seguridad durante la configuración o las actualizaciones de la zona de aterrizaje de la versión 3.0 y posteriores. El segundo control tiene una orientación **muy recomendable** y, de forma opcional, se puede aplicar a cualquier OUs otro control que no sea la unidad organizativa de seguridad, que ya cuenta con la protección de control obligatoria.

**Control obligatorio:** [detecta si las cuentas compartidas de la unidad organizativa de Seguridad tienen AWS CloudTrail o están habilitadas para CloudTrail Lake](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#ensure-cloudtrail-enabled-mandatory)

**Control muy recomendable:** [detecta si una cuenta tiene AWS CloudTrail o CloudTrail Lake está activado](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#ensure-cloudtrail-enabled-recommended)

Para obtener más información sobre los nuevos controles, consulte [The AWS Control Tower controls library](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html).

**Una actualización del control de denegación de regiones**

Hemos actualizado la **NotAction**lista de denegaciones de control de la región para incluir las acciones de algunos servicios adicionales, que se enumeran a continuación:

```
            "chatbot:*",
            "s3:GetAccountPublic",
            "s3:DeleteMultiRegionAccessPoint", 
            "s3:DescribeMultiRegionAccessPointOperation", 
            "s3:GetMultiRegionAccessPoint", 
            "s3:GetMultiRegionAccessPointPolicy", 
            "s3:GetMultiRegionAccessPointPolicyStatus",
            "s3:ListMultiRegionAccessPoints",
            "s3:GetStorageLensConfiguration", 
            "s3:GetStorageLensDashboard", 
            "s3:ListStorageLensConfigurations"
            "s3:GetAccountPublicAccessBlock",
            "s3:PutAccountPublic", 
            "s3:PutAccountPublicAccessBlock",
```

### Tutorial en vídeo
<a name="update-to-3.0-video"></a>

En este vídeo (3:07) se describe cómo actualizar la zona de aterrizaje de AWS Control Tower existente a la versión 3. Para una mejor visualización, seleccione el icono situado en la esquina inferior derecha del vídeo para agrandarlo a pantalla completa. Hay subtítulos disponibles.

[![AWS Videos](http://img.youtube.com/vi/zf-dJ6_joTw/0.jpg)](http://www.youtube.com/watch?v=zf-dJ6_joTw)


## La página de la organización combina vistas OUs y cuentas
<a name="ou-hierarchy-page"></a>

**18 de julio de 2022 **

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

La nueva página de **organización** de la Torre de Control de AWS muestra una vista jerárquica (en árbol) de todas las unidades organizativas (OUs) y las cuentas. Combina la información de las páginas **OUs**y **Cuentas**, que existían anteriormente.

En la nueva página, puedes ver las relaciones entre el padre OUs y sus cuentas anidadas OUs. Puedes tomar medidas en relación con las agrupaciones de recursos. Puede configurar la vista de página. Por ejemplo, puede ampliar o contraer la vista jerárquica, filtrar la vista para ver solo las cuentas o OUs solo, elegir ver solo las cuentas inscritas y registradas OUs, o puede ver grupos de recursos relacionados. Resulta más sencillo asegurarse de que toda la organización esté actualizada correctamente.

## Creación e inscripción de cuentas simplificadas
<a name="simple-create-and-enroll"></a>

**30 de junio de 2022**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ofrece ahora un flujo de trabajo simplificado para crear e inscribir cuentas. Puede crear una cuenta nueva o inscribir una cuenta existente en un único flujo de trabajo sin necesidad de ir a la consola de Service Catalog. Para obtener más información, consulte [Inscripción de una cuenta existente desde la consola de AWS Control Tower](quick-account-provisioning.md).

## AFT admite la personalización automatizada de las cuentas compartidas de AWS Control Tower
<a name="aft-supports-shared-accounts"></a>

**27 de mayo de 2022**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

El generador de cuentas para Terraform (AFT) ahora puede personalizar y actualizar mediante programación cualquiera de las cuentas administradas por AWS Control Tower, incluidas la cuenta de administración, la cuenta de auditoría y la cuenta de archivo de registro, junto con las cuentas inscritas. Puede centralizar la personalización de su cuenta y la administración de actualizaciones y, al mismo tiempo, proteger la seguridad de las configuraciones de la cuenta, ya que delimita el rol que realiza el trabajo.

El **AWSAFTExecution**rol actual ahora implementa las personalizaciones en todas las cuentas. Puede configurar los permisos de IAM con límites que limiten el acceso al **AWSAFTExecution**rol en función de sus requisitos empresariales y de seguridad. También puede delegar mediante programación los permisos de personalización aprobados en ese rol para usuarios de confianza. Como práctica recomendada, le sugerimos que restrinja los permisos a los necesarios para implementar las personalizaciones requeridas.

AFT ahora crea la nueva **AWSAFTService**función para implementar los recursos de AFT en todas las cuentas administradas, incluidas las cuentas compartidas y la cuenta de administración. Anteriormente, los recursos los desplegaba el **AWSAFTExecution**rol.

Las cuentas compartidas y de administración de AWS Control Tower no se aprovisionan a través de la fábrica de cuentas, por lo que no incluyen los productos aprovisionados correspondientes. AWS Service Catalog Por lo tanto, no puede actualizar las cuentas compartidas y de administración en Service Catalog.

## Operaciones simultáneas para todos los controles opcionales
<a name="concurrent-preventive-controls"></a>

**18 de mayo de 2022**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite operaciones simultáneas para controles preventivos y controles de detección.

Con esta nueva característica, ahora es posible aplicar o eliminar simultáneamente cualquier control opcional, lo que mejora la facilidad de uso y el rendimiento de todos los controles opcionales. Puede habilitar varios controles opcionales sin tener que esperar a que se completen las operaciones de control individuales. Los únicos momentos restringidos son cuando AWS Control Tower está configurando una zona de aterrizaje o cuando amplía la gobernanza a una nueva organización.

**Funcionalidad compatible para los controles preventivos:**
+ Aplicar y eliminar diferentes controles preventivos en la misma OU.
+ Aplique y elimine diferentes controles preventivos en diferentes OUs áreas de forma simultánea. 
+ Aplique y retire el mismo control preventivo en varios OUs casos al mismo tiempo. 
+ Puede aplicar y eliminar todos los controles preventivos y de detección de forma simultánea.

Puede disfrutar de estas mejoras de simultaneidad de control en todas las versiones publicadas de AWS Control Tower.

Al aplicar controles preventivos a las cuentas anidadas OUs, los controles preventivos afectan a todas las cuentas OUs anidadas en la unidad organizativa objetivo, incluso si esas cuentas no OUs están registradas en AWS Control Tower. Los controles preventivos se implementan mediante políticas de control de servicios (SCPs), que forman parte de ellas. AWS Organizations Los controles de Detective se implementan mediante AWS Config reglas. Las barreras de protección permanecen en vigor a medida que crea nuevas cuentas o realiza cambios en las cuentas existentes, y AWS Control Tower proporciona un informe resumido sobre cómo se ajusta cada cuenta a las políticas habilitadas. Para obtener una lista completa de los controles disponibles, consulte [The AWS Control Tower controls library](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html). 

## Cuentas de seguridad y registro existentes
<a name="existing-security-and-logging-accounts"></a>

**16 de mayo de 2022**

(Disponible durante la configuración inicial.)

AWS Control Tower ahora ofrece la opción de especificar una AWS cuenta existente como cuenta de seguridad o de registro de AWS Control Tower durante el proceso de configuración inicial de la landing zone. Esta opción elimina la necesidad de que AWS Control Tower cree nuevas cuentas compartidas. La cuenta de seguridad, que se denomina de forma predeterminada cuenta de **auditoría**, es una cuenta restringida que otorga acceso a los equipos de seguridad y cumplimiento a todas las cuentas de la zona de aterrizaje. La cuenta de registro, que se denomina de forma predeterminada cuenta de **archivo de registro**, funciona como repositorio. Almacena los registros de las actividades de la API y las configuraciones de recursos de todas las cuentas de la zona de aterrizaje.

Al incorporar las cuentas de seguridad y registro existentes, resulta más sencillo ampliar la gobernanza de AWS Control Tower a las organizaciones actuales o migrar a AWS Control Tower desde una zona de aterrizaje alternativa. La opción de utilizar cuentas existentes aparece durante la configuración inicial de la zona de aterrizaje. Incluye comprobaciones durante el proceso de configuración, que garantizan el éxito de la implementación. AWS Control Tower implementa los roles y los controles necesarios en las cuentas existentes. No elimina ni fusiona ningún recurso o dato existente que exista en estas cuentas.

Limitación: si planea incorporar AWS las cuentas existentes a AWS Control Tower como cuentas de auditoría y archivo de registros, y si esas cuentas tienen AWS Config recursos existentes, debe eliminar los AWS Config recursos existentes antes de poder inscribir las cuentas en AWS Control Tower.

## Zona de aterrizaje de AWS Control Tower, versión 2.9
<a name="version-2.9"></a>

**22 de abril de 2022**

(Es necesaria una actualización a la versión 2.9 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md)).

La versión 2.9 de la zona de aterrizaje de AWS Control Tower actualiza el reenviador de notificaciones Lambda para que utilice el tiempo de ejecución de la versión 3.9 de Python. Esta actualización corrige la obsolescencia de la versión 3.6 de Python, prevista para julio de 2022. Para obtener la información más reciente, consulte [la página de obsolescencia de Python](https://docs.aws.amazon.com//lambda/latest/dg/runtime-support-policy.html).

## Zona de aterrizaje de AWS Control Tower, versión 2.8
<a name="version-2.8"></a>

**10 de febrero de 2022**

(Es necesaria una actualización a la versión 2.8 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md)).

La versión 2.8 de la zona de aterrizaje de AWS Control Tower añade una funcionalidad que se ajusta a las actualizaciones recientes de las [prácticas recomendadas de seguridad básica de AWS](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp.html).

**En esta versión:**
+ El registro de acceso está configurado para el bucket de registro de acceso en la cuenta de archivo de registro, a fin de realizar un seguimiento del acceso al bucket de registro de acceso de S3 existente. 
+ Se ha añadido compatibilidad para la política de ciclo de vida. El registro de acceso del bucket de registro de acceso de S3 existente tiene un tiempo de retención predeterminado de 10 años.
+ Además, en esta versión se actualiza AWS Control Tower para que utilice el rol vinculado a AWS servicios (SLR) proporcionado por AWS Config todas las cuentas administradas (excepto la cuenta de administración), de modo que pueda configurar y administrar las reglas de Config para que se ajusten a las prácticas AWS Config recomendadas. Los clientes que no se actualicen seguirán utilizando su rol actual.
+ Esta versión optimiza el proceso de configuración de AWS Control Tower KMS para cifrar AWS Config datos y mejora los mensajes de estado relacionados. CloudTrail 
+ La versión incluye una actualización del control de denegación de regiones para permitir la característica `route53-application-recovery` en `us-west-2`.
+ Actualización: El 15 de febrero de 2022 eliminamos la cola de mensajes fallidos para las funciones de AWS Lambda.

**Detalles adicionales:**
+ Si desmantela la zona de aterrizaje, AWS Control Tower no elimina el rol vinculado al servicio de AWS Config .
+ Si anula el aprovisionamiento de una cuenta del generador de cuentas, AWS Control Tower no elimina el rol vinculado al servicio de AWS Config .

Para actualizar la zona de aterrizaje a la versión 2.8, vaya a la página **Configuración de la zona de almacenamiento**, seleccione la versión 2.8 y, a continuación, **Actualizar**. Después de actualizar la zona de aterrizaje, debe actualizar todas las cuentas que estén gobernadas por AWS Control Tower, tal y como se indica en [Administración de actualizaciones de configuración en AWS Control Tower](configuration-updates.md).

# De enero a diciembre de 2021
<a name="2021-all"></a>

En 2021, AWS Control Tower publicó las siguientes actualizaciones:
+ [Capacidades de denegación de regiones](#region-deny-control)
+ [Características de la residencia de datos](#data-residency-feature)
+ [AWS Control Tower presenta el aprovisionamiento y la personalización de cuentas de Terraform](#aft-available)
+ [Nuevo evento de ciclo de vida disponible](#precheck-organizational-unit-event)
+ [AWS Control Tower permite anidar OUs](#nested-ou)
+ [Simultaneidad de controles de detección](#detective-control-concurrency)
+ [Dos nuevas regiones disponibles](#paris-and-sao-paulo)
+ [Anulación de la selección de región](#region-deselect)
+ [AWS Control Tower funciona con los sistemas de administración de AWS claves](#kms-keys)
+ [Cambio de nombre de controles, funcionalidad sin cambios](#control-renaming)
+ [AWS Control Tower escanea a SCPs diario para comprobar si hay desviaciones](#daily-scp-scans)
+ [Nombres OUs y cuentas personalizados](#rename-core-ous-and-accounts)
+ [Zona de aterrizaje de AWS Control Tower, versión 2.7](#version-2.7)
+ [Tres nuevas AWS regiones disponibles](#three-new-regions)
+ [Gobernanza únicamente de las regiones seleccionadas](#region-select)
+ [AWS Control Tower ahora amplía la gobernanza a la existente OUs en sus AWS organizaciones](#extended-governance)
+ [AWS Control Tower ofrece actualizaciones masivas de cuentas](#bulk-update)

## Capacidades de denegación de regiones
<a name="region-deny-control"></a>

**30 de noviembre de 2021**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora ofrece funciones de denegación por región, que le ayudan a limitar el acceso a AWS los servicios y las operaciones de las cuentas inscritas en su entorno de AWS Control Tower. La característica de denegación de regiones complementa las características de selección y deselección de regiones existentes en AWS Control Tower. En conjunto, estas características le permiten abordar los problemas de conformidad y reglamentario, al mismo tiempo que equilibra los costes asociados a la expansión a otras regiones.

Por ejemplo, AWS los clientes de Alemania pueden denegar el acceso AWS a los servicios en regiones fuera de la región de Fráncfort. Puede seleccionar regiones restringidas durante el proceso de configuración de AWS Control Tower o en la página **Configuración de la zona de almacenamiento**. La característica de denegación de regiones está disponible al actualizar la versión de la zona de aterrizaje de AWS Control Tower. Algunos AWS servicios están exentos de las capacidades de denegación regional. Para obtener más información, consulte [Configure the Region deny control](https://docs.aws.amazon.com//controltower/latest/userguide/region-deny.html).

## Características de la residencia de datos
<a name="data-residency-feature"></a>

**30 de noviembre de 2021**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora ofrece controles diseñados específicamente para garantizar que los datos de los clientes que suba a AWS los servicios se encuentren únicamente en las AWS regiones que especifique. Puede seleccionar la AWS región o las regiones en las que se almacenan y procesan los datos de sus clientes. Para obtener una lista completa de AWS las regiones en las que AWS Control Tower está disponible, consulte la [tabla de AWS regiones](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services/).

Para un control detallado, puede aplicar controles adicionales, como **Prohibición de las conexiones de la red privada virtual (VPN) de Amazon** o **Prohibición del acceso a Internet para una instancia de Amazon VPC**. Puede ver el estado de conformidad de los controles en la consola de AWS Control Tower. Para obtener una lista completa de los controles disponibles, consulte [The AWS Control Tower controls library](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html). 

## AWS Control Tower presenta el aprovisionamiento y la personalización de cuentas de Terraform
<a name="aft-available"></a>

**29 de noviembre de 2021**

(Actualización opcional para la zona de aterrizaje de AWS Control Tower)

Ahora puede utilizar Terraform para aprovisionar y actualizar cuentas personalizadas a través de AWS Control Tower, con el *generador de cuentas para Terraform (AFT) de AWS Control Tower*.

AFT proporciona una única canalización de infraestructura como código (IaC) de Terraform, que aprovisiona las cuentas administradas por AWS Control Tower. Las personalizaciones durante el aprovisionamiento ayudan a cumplir sus políticas empresariales y de seguridad antes de entregar las cuentas a los usuarios finales.

La canalización de la creación automática de cuentas de AFT supervisa hasta que se completa el aprovisionamiento de cuentas y luego continúa, activando módulos de Terraform adicionales que mejoran la cuenta con las personalizaciones necesarias. Como parte adicional del proceso de personalización, puede configurar la canalización para instalar sus propios módulos personalizados de Terraform y puede optar por añadir cualquiera de las opciones de características de AFT, que se proporcionan AWS para las personalizaciones más comunes.

Comience a utilizar el generador de cuentas para Terraform de AWS Control Tower siguiendo los pasos que se indican en la *Guía del usuario de AWS Control Tower*, [Implementación del generador de cuentas para Terraform (AFT) de AWS Control Tower](aft-getting-started.md), y descargando AFT para su instancia de Terraform. AFT es compatible con las distribuciones de Terraform Cloud, Terraform Enterprise y Terraform Open Source

## Nuevo evento de ciclo de vida disponible
<a name="precheck-organizational-unit-event"></a>

**18 de noviembre de 2021**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

El `PrecheckOrganizationalUnit` evento registra si algún recurso impide que la tarea de **gobierno de Extend se** lleve a cabo correctamente, incluidos los recursos anidados. OUs Para obtener más información, consulte [`PrecheckOrganizationalUnit`](lifecycle-events.md#precheck-organizational-unit).

## AWS Control Tower permite anidar OUs
<a name="nested-ou"></a>

**16 de noviembre de 2021**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora le permite incluir Nested OUs como parte de su landing zone.

AWS Control Tower admite unidades organizativas anidadas (OUs), lo que le permite organizar las cuentas en varios niveles jerárquicos y aplicar controles preventivos de forma jerárquica. Puede registrar las unidades OUs organizativas anidadas OUs, crearlas y registrarlas OUs bajo el nombre de matriz OUs y habilitar los controles en cualquier unidad organizativa registrada, independientemente de su profundidad. Para admitir esta funcionalidad, la consola muestra el número de cuentas gobernadas y OUs.

Con Nested OUs, puede alinear su Torre de Control Tower OUs de AWS con la estrategia de AWS múltiples cuentas y reducir el tiempo necesario para habilitar los controles en varias OUs, al aplicar los controles a nivel de la unidad organizativa principal.

**Consideraciones clave**

1. Puede registrar las unidades organizativas existentes de varios niveles OUs en AWS Control Tower, una unidad organizativa a la vez, empezando por la unidad organizativa de nivel superior y, a continuación, siguiendo por el árbol. Para obtener más información, consulte [Ampliación de una estructura de OU plana a una estructura de OU anidada](nested-ous.md#flat-to-nested).

1. Las cuentas que se encuentren directamente debajo de una OU registrada se inscriben automáticamente. Las cuentas que se encuentran más abajo en el árbol se pueden inscribir registrando su OU principal inmediata.

1. Los controles preventivos (SCPs) se heredan automáticamente en un nivel inferior de la jerarquía; los que SCPs se aplican al principal los heredan todos los anidados. OUs 

1. Los controles de Detective (reglas de AWS Config) NO se heredan automáticamente.

1. Cada OU informa del cumplimiento de los controles de detección.

1. La desviación del SCP en una OU afecta a todas las cuentas y a las que están por OUs debajo de ella.

1. No puede crear una nueva unidad organizativa anidada OUs en la unidad organizativa de seguridad (unidad organizativa principal).

## Simultaneidad de controles de detección
<a name="detective-control-concurrency"></a>

**5 de noviembre de 2021**

(Actualización opcional para la zona de aterrizaje de AWS Control Tower)

Los controles de detección de AWS Control Tower ahora admiten operaciones simultáneas para los controles de detección, lo que mejora la facilidad de uso y el rendimiento. Puede habilitar varios controles de detección sin tener que esperar a que se completen las operaciones de control individuales.

**Funcionalidades compatibles:**
+ Habilite diferentes controles de detección en la misma OU (por ejemplo, **detecte si la MFA para el usuario raíz está habilitada** y **detecte si se permite el acceso de escritura público a los buckets de Amazon S3)**.
+ Active diferentes controles de detección en diferentes controles de detección de OUs forma simultánea. 
+ Se han mejorado los mensajes de error de la barrera de protección para ofrecer directrices adicionales sobre las operaciones de simultaneidad de control compatibles. 

**No se admite en esta versión:**
+ No se admite la activación OUs simultánea del mismo control de detección en varios dispositivos.
+ No se admite la simultaneidad del control *preventivo*.

Puede disfrutar de estas mejoras de simultaneidad de controles de detección en todas las versiones de AWS Control Tower. Se recomienda que los clientes que actualmente no utilicen la versión 2.7 realicen una actualización de la zona de aterrizaje para aprovechar otras características, como la selección y deselección de regiones, que están disponibles en la última versión.

## Dos nuevas regiones disponibles
<a name="paris-and-sao-paulo"></a>

**29 de julio de 2021**

(Es necesaria la actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ya está disponible en dos AWS regiones adicionales: Sudamérica (São Paulo) y Europa (París). Esta actualización amplía la disponibilidad de AWS Control Tower a 15 regiones de AWS . 

Si es la primera vez que utiliza AWS Control Tower, puede lanzarlo de inmediato en cualquiera de las regiones compatibles. Durante el lanzamiento, puede seleccionar las regiones en las que desea que AWS Control Tower cree y gobierne el entorno con varias cuentas.

Si ya dispone de un entorno de AWS Control Tower y desea ampliar o eliminar las características de gobernanza de AWS Control Tower en una o varias regiones compatibles, vaya a la página **Configuración de la zona de almacenamiento** en el panel de control de AWS Control Tower y, a continuación, seleccione las regiones. Tras actualizar la zona de aterrizaje, debe [actualizar todas las cuentas que estén gobernadas por AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/userguide/configuration-updates.html#deploying-to-new-region).

## Anulación de la selección de región
<a name="region-deselect"></a>

**29 de julio de 2021**

(Actualización opcional para la zona de aterrizaje de AWS Control Tower)

La deselección de regiones de AWS Control Tower mejora su capacidad para administrar la huella geográfica de los recursos de AWS Control Tower. Puede anular la selección de regiones que ya no desea que gobierne AWS Control Tower. Esta característica le permite abordar los problemas de conformidad y reglamentario, al mismo tiempo que equilibra los costes asociados a la expansión a otras regiones.

La deselección de regiones está disponible al actualizar la versión de la zona de aterrizaje de AWS Control Tower. 

Cuando utiliza el generador de cuentas para crear una cuenta nueva o inscribir una cuenta de miembro preexistente, o bien cuando selecciona **Ampliar el gobierno** para inscribir cuentas en una unidad organizativa preexistente, AWS Control Tower implementa sus capacidades de gobernanza, que incluyen el registro, la supervisión y los controles centralizados, en las regiones de las cuentas que elija. Si decide deseleccionar una región y eliminar la gobernanza de la Torre de Control de AWS de esa región, se elimina esa funcionalidad de gobierno, pero no inhibe la capacidad de los usuarios de implementar AWS recursos o cargas de trabajo en esas regiones. 

## AWS Control Tower funciona con los sistemas de administración de AWS claves
<a name="kms-keys"></a>

**28 de julio de 2021**

(Actualización opcional para la zona de aterrizaje de AWS Control Tower)

AWS Control Tower le ofrece la opción de usar una AWS clave del Servicio de administración de claves (AWS KMS). Usted proporciona y administra una clave para proteger los servicios que implementa AWS Control Tower AWS CloudTrail AWS Config, incluidos los datos de Amazon S3 asociados. AWS El cifrado KMS es un nivel de cifrado mejorado con respecto al cifrado SSE-S3 que AWS Control Tower utiliza de forma predeterminada.

La integración del soporte de AWS KMS en la Torre de Control de AWS se ajusta a **las prácticas recomendadas de seguridad AWS fundamentales**, que recomiendan una capa de seguridad adicional para los archivos de registro confidenciales. Debe usar claves AWS administradas por KMS (SSE-KMS) para el cifrado en reposo. AWS La compatibilidad con el cifrado de KMS está disponible al configurar una nueva zona de aterrizaje o al actualizar la zona de aterrizaje de AWS Control Tower existente.

Para configurar esta funcionalidad, puede seleccionar **Configuración de clave de KMS** durante la configuración inicial de la zona de aterrizaje. Puede elegir una clave de KMS existente o puede seleccionar un botón que le dirija a la consola de AWS KMS para crear una nueva. También tiene la flexibilidad de cambiar del cifrado predeterminado a SSE-KMS o a una clave de SSE-KMS diferente.

En el caso de una zona de aterrizaje existente de AWS Control Tower, puede realizar una actualización para empezar a utilizar las claves de AWS KMS. 

## Cambio de nombre de controles, funcionalidad sin cambios
<a name="control-renaming"></a>

**26 de julio de 2021**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está revisando algunos nombres y descripciones de los controles para reflejar mejor las intenciones en cuanto a políticas de control. Los nombres y las descripciones revisados le ayudan a comprender de forma más intuitiva las formas en que los controles incorporan las políticas de sus cuentas. Por ejemplo, cambiamos parte de los nombres de los controles de detección, de “No permitir” a “Detección”, porque el control de detección en sí mismo no detiene una acción específica, solo detecta las infracciones de las políticas y envía alertas a través del panel de control.

La funcionalidad, las directrices y la implementación del control permanecen sin cambios. Solo se han revisado los nombres y las descripciones de los controles.

## AWS Control Tower escanea a SCPs diario para comprobar si hay desviaciones
<a name="daily-scp-scans"></a>

**11 de mayo de 2021**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora realiza escaneos automatizados diarios de su gestión SCPs para comprobar que los controles correspondientes se aplican correctamente y que no se han desviado. Si se detecta una desviación durante el análisis, recibirá una notificación. AWS Control Tower envía solo una notificación por cada problema de desviación, de modo que si la zona de aterrizaje ya se encuentra en un estado de desviación, no recibirá notificaciones adicionales a menos que encuentre un nuevo elemento de desviación.

## Nombres OUs y cuentas personalizados
<a name="rename-core-ous-and-accounts"></a>

**16 de abril de 2021**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora le permite personalizar la denominación de su zona de aterrizaje. Puede conservar los nombres que AWS Control Tower recomienda para las unidades organizativas (OUs) y las cuentas principales, o puede modificarlos durante el proceso inicial de configuración de la landing zone.

Los nombres predeterminados que AWS Control Tower proporciona para las cuentas principales OUs y las principales coinciden con la guía de prácticas recomendadas para AWS varias cuentas. Sin embargo, si su empresa tiene políticas de nomenclatura específicas, o si ya tiene una OU o cuenta con el mismo nombre recomendado, la nueva funcionalidad de nomenclatura de la OU y de las cuentas le ofrece la flexibilidad necesaria para abordar esas limitaciones.

Aparte del cambio en el flujo de trabajo durante la configuración, la OU anteriormente conocida como OU principal ahora se denomina OU de seguridad, y la OU antes conocida como OU personalizada ahora se denomina OU de espacio aislado. Hicimos este cambio para mejorar nuestra alineación con la guía general de prácticas recomendadas de AWS en materia de nomenclatura.

Los nuevos clientes verán estos nuevos nombres de OU. Los clientes actuales seguirán viendo sus nombres originales OUs. Es posible que encuentre algunas inconsistencias en la nomenclatura de las OU mientras actualizamos nuestra documentación para adaptarla a los nuevos nombres.

Para empezar a usar AWS Control Tower desde la consola de AWS administración, ve a la consola de AWS Control Tower y selecciona **Configurar landing zone** en la parte superior derecha. Puede obtener más información sobre cómo planificar la zona de aterrizaje de AWS Control Tower.

## Zona de aterrizaje de AWS Control Tower, versión 2.7
<a name="version-2.7"></a>

**8 de abril de 2021**

(Es necesaria una actualización a la versión 2.7 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md)).

Con la versión 2.7, AWS Control Tower presenta cuatro nuevos controles preventivos obligatorios de archivo de registros que implementan la política únicamente en recursos de AWS Control Tower. Hemos ajustado las directrices sobre cuatro controles de archivo de registro existentes, pasando de ser obligatorios a opcionales, ya que establecen políticas para los recursos fuera de AWS Control Tower. Este cambio y expansión de control permiten separar la gobernanza del archivo de registro para los recursos de AWS Control Tower de la gobernanza de recursos fuera de AWS Control Tower.

Los cuatro controles modificados se pueden utilizar junto con los nuevos controles obligatorios para gestionar un conjunto más amplio de archivos de AWS registro. Los entornos de AWS Control Tower existentes mantendrán estos cuatro controles modificados habilitados automáticamente para garantizar la coherencia del entorno; no obstante, estos controles opcionales ahora se pueden deshabilitar. Los nuevos entornos de AWS Control Tower deben habilitar todos los controles opcionales. **Los entornos existentes deben deshabilitar los controles anteriormente obligatorios antes de añadir el cifrado a los buckets de Amazon S3 que no implementan AWS Control Tower.**

**Nuevos controles obligatorios:**
+ Prohibición de cambios en la configuración de cifrado para buckets S3 creados por AWS Control Tower en el archivo de registro 
+ Prohibición de cambios en la configuración de registro para buckets S3 creados por AWS Control Tower en el archivo de registro
+ Prohibición de cambios en la política de buckets para buckets S3 creados por AWS Control Tower en el archivo de registro 
+ Prohibición de cambios en la configuración de ciclo de vida para buckets S3 creados por AWS Control Tower en el archivo de registro

**Cambio de la guía de obligatoria a opcional:**
+ Prohibición de cambios en la configuración de cifrado para todos los buckets de Amazon S3 [Anteriormente: Habilitar cifrado en reposo para el archivo de registro]
+ Prohibición de cambios en la configuración de registro para todos los buckets de Amazon S3 [Anteriormente: Habilitar el registro de acceso para el archivo de registro]
+ Prohibición de cambios en la política de buckets para todos los buckets de Amazon S3 [Anteriormente: Prohibir cambios en el archivo de registro relativos a las políticas]
+ Prohibición de cambios en la configuración de ciclo de vida para todos los buckets de Amazon S3 [Anteriormente: Establecer una política de retención para el archivo de registro]

La versión 2.7 de AWS Control Tower incluye cambios en el esquema de la zona de aterrizaje de AWS Control Tower que pueden provocar incompatibilidad con versiones anteriores tras la actualización a la 2.7. 
+ En concreto, la versión 2.7 de AWS Control Tower habilita `BlockPublicAccess` automáticamente en los buckets S3 implementados por AWS Control Tower. Puede desactivar esta opción predeterminada si la carga de trabajo requiere el acceso a todas las cuentas. Para obtener más información sobre lo que sucede con `BlockPublicaccess` habilitado, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-control-block-public-access.html).
+ La versión 2.7 de AWS Control Tower incluye un requisito de HTTPS. Todas las solicitudes enviadas a los buckets de S3 implementados por AWS Control Tower deben utilizar una capa de sockets seguros (SSL). Solo se permite el paso de solicitudes HTTPS. Si utiliza HTTP (sin SSL) como punto de conexión para enviar las solicitudes, este cambio generará un error de acceso denegado, lo que podría interrumpir el flujo de trabajo. **Este cambio no se puede revertir después de la actualización 2.7 de la zona de aterrizaje.**

  *Le recomendamos que cambie sus solicitudes para utilizar TLS en lugar de HTTP.*

## Tres nuevas AWS regiones disponibles
<a name="three-new-regions"></a>

**8 de abril de 2021**

(Es necesaria la actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower está disponible en tres AWS regiones adicionales: la región de Asia Pacífico (Tokio), la región de Asia Pacífico (Seúl) y la región de Asia Pacífico (Mumbai). Se requiere una actualización de la zona de aterrizaje a la versión 2.7 para ampliar la gobernanza a estas regiones.

 La zona de aterrizaje no se amplía automáticamente a estas regiones cuando realiza la actualización a la versión 2.7, debe verlas y seleccionarlas en la tabla de regiones para incluirlas.

## Gobernanza únicamente de las regiones seleccionadas
<a name="region-select"></a>

**19 de febrero de 2021**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

La selección de regiones de AWS Control Tower proporciona una mejor capacidad para administrar la huella geográfica de los recursos de AWS Control Tower. Para ampliar el número de regiones en las que aloja AWS recursos o cargas de trabajo (por motivos de conformidad, normativos, económicos u otros motivos), ahora puede seleccionar las regiones adicionales que desee controlar. 

La selección de regiones está disponible al configurar una nueva zona de aterrizaje o actualizar la versión de la zona de aterrizaje de AWS Control Tower. Cuando utiliza el generador de cuentas para crear una cuenta nueva o inscribir una cuenta de miembro preexistente, o bien cuando utiliza **Ampliar el gobierno** para inscribir cuentas en una unidad organizativa preexistente, AWS Control Tower implementa sus capacidades de gobernanza de registro, supervisión y controles centralizados en las regiones de las cuentas que elija. Para obtener más información acerca de la selección de regiones, consulte [Configuración de las regiones de AWS Control Tower](region-how.md#deploying-to-new-region).

## AWS Control Tower ahora amplía la gobernanza a la existente OUs en sus AWS organizaciones
<a name="extended-governance"></a>

**28 de enero de 2021**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Amplíe la gobernanza a las unidades organizativas existentes (OUs) (las que no están en la Torre de Control de AWS) desde la consola de la Torre de Control de AWS. Con esta función, puede incorporar las cuentas incluidas OUs y de alto nivel al gobierno de la Torre de Control de AWS. Para obtener información sobre cómo ampliar la gobernanza a toda una OU, consulte [Registro de una OU existente en AWS Control Tower](importing-existing.md).

Al registrar una OU, AWS Control Tower realiza una serie de comprobaciones para garantizar la correcta extensión de la gobernanza y la inscripción de las cuentas dentro de la OU. Para obtener más información sobre los problemas habituales asociados al registro inicial de una OU, consulte [Causas frecuentes de error durante el registro o el nuevo registro](common-eg-failures.md).

También puede visitar la [página web del producto](https://aws.amazon.com/controltower/) AWS Control Tower o YouTube visitar este vídeo sobre cómo [empezar a utilizar AWS Control Tower for AWS Organizations](https://www.youtube.com/watch?v=CwRy0t8nfgM).

## AWS Control Tower ofrece actualizaciones masivas de cuentas
<a name="bulk-update"></a>

**28 de enero de 2021**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Con la característica de actualización masiva, ahora puede actualizar todas las cuentas de una unidad organizativa (OU) de AWS Organizations registrada que contenga hasta 300 cuentas, con un solo clic, desde el panel de AWS Control Tower. Esto resulta especialmente útil en los casos en los que actualiza la zona de aterrizaje de AWS Control Tower y también debe actualizar las cuentas inscritas para alinearlas con la versión actual de la zona de aterrizaje. 

Esta característica también le ayuda a mantener las cuentas actualizadas cuando actualiza la zona de aterrizaje de AWS Control Tower para ampliarla a nuevas regiones o cuando desea volver a registrar una OU para asegurarse de que todas las cuentas de esa OU tienen aplicados los controles más recientes. La actualización masiva de cuentas elimina la necesidad de actualizar una cuenta cada vez o de utilizar un script externo para realizar la actualización en varias cuentas.

Para obtener información sobre la actualización de una zona de aterrizaje, consulte [Actualización de la zona de aterrizaje](update-controltower.md).

Para obtener información sobre cómo registrar o volver a registrar una OU, consulte [Registro de una OU existente en AWS Control Tower](importing-existing.md).

# De enero a diciembre de 2020
<a name="2020-all"></a>

En 2020, AWS Control Tower publicó las siguientes actualizaciones:
+ [La consola AWS Control Tower ahora enlaza con reglas de AWS Config externas](#config-aggregator-12-2020)
+ [AWS Control Tower está ahora disponible en regiones adicionales](#region-expansion-11-19-20)
+ [Actualización de la barrera de protección](#control-update)
+ [La consola AWS Control Tower muestra más detalles sobre OUs las cuentas](#OU-account-detail)
+ [Utilice AWS Control Tower para configurar nuevos AWS entornos de cuentas múltiples en AWS Organizations](#multiaccount-environments) 
+ [Personalizaciones de la solución AWS Control Tower](#Customizations)
+ [Disponibilidad general de la versión 2.3 de AWS Control Tower](#Available_in_Sydney)
+ [Aprovisionamiento de cuentas en un solo paso en AWS Control Tower](#Single-step-provisioning)
+ [Herramienta de desmantelamiento de AWS Control Tower](#Decommissioning-tool)
+ [Notificaciones de eventos del ciclo de vida de AWS Control Tower](#Lifecycle-event-notifications)

## La consola AWS Control Tower ahora enlaza con reglas de AWS Config externas
<a name="config-aggregator-12-2020"></a>

 **29 de diciembre de 2020**

(Es necesaria una actualización a la versión 2.6 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md)).

AWS Control Tower ahora incluye un agregador a nivel de organización, que ayuda a detectar reglas de Config AWS externas. Esto le proporciona visibilidad en la consola de la Torre de Control de AWS para ver la existencia de reglas de AWS Config creadas externamente, además de las reglas de AWS configuración creadas por la Torre de Control de AWS. El agregador permite a AWS Control Tower detectar reglas externas y proporcionar un enlace a la consola AWS Config sin necesidad de que AWS Control Tower tenga acceso a cuentas no administradas.

Con esta característica, ahora tiene una vista consolidada de los controles de detección aplicados a sus cuentas para poder realizar un seguimiento del cumplimiento y determinar si necesita controles adicionales para su cuenta. Para obtener más información, consulte [Cómo AWS Control Tower agrega AWS Config reglas en cuentas OUs y cuentas no administradas](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how.html#config-role-for-organizations).

## AWS Control Tower está ahora disponible en regiones adicionales
<a name="region-expansion-11-19-20"></a>

 **18 de noviembre de 2020**

(Es necesaria una actualización a la versión 2.5 de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md)).

AWS Control Tower ya está disponible en 5 AWS regiones adicionales:
+ Región de Asia-Pacífico (Singapur)
+ Región de Europa (Fráncfort)
+ Región de Europa (Londres)
+ Región Europa (Estocolmo)
+ Región de Canadá (centro)

La adición de estas 5 AWS regiones es el único cambio introducido en la versión 2.5 de AWS Control Tower.

AWS Control Tower también está disponible en las regiones Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón), Europa (Irlanda) y Asia-Pacífico (Sídney). Con este lanzamiento, AWS Control Tower ya está disponible en 10 AWS regiones.

Esta actualización de la zona de aterrizaje incluye todas las regiones enumeradas y no se puede deshacer. Tras actualizar tu landing zone a la versión 2.5, debes actualizar manualmente todas las cuentas inscritas en AWS Control Tower para que gobiernen en las 10 AWS regiones compatibles. Para obtener información, consulte [Configuración de las regiones de AWS Control Tower](region-how.md#deploying-to-new-region).

## Actualización de la barrera de protección
<a name="control-update"></a>

**8 de octubre de 2020**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Se ha publicado una versión actualizada del control obligatorio `AWS-GR_IAM_ROLE_CHANGE_PROHIBITED`.

Este cambio en el control es obligatorio porque las cuentas que se inscriban automáticamente en AWS Control Tower deben tener el rol `AWSControlTowerExecution` habilitado. La versión anterior del control impedía la creación de este rol.

Para obtener más información, consulte [No permitir cambios en las funciones de AWS IAM configuradas por AWS Control Tower y CloudFormation](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#iam-disallow-changes) en la Guía de referencia de controles de AWS Control Tower.

## La consola AWS Control Tower muestra más detalles sobre OUs las cuentas
<a name="OU-account-detail"></a>

**22 de julio de 2020**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

Puede ver las organizaciones y cuentas que no están inscritas en AWS Control Tower, junto con las organizaciones y cuentas que están inscritas.

En la consola de AWS Control Tower, puede ver más detalles sobre sus AWS cuentas y unidades organizativas (OUs). La página **Cuentas** ahora muestra todas las cuentas de la organización, independientemente de la OU o del estado de inscripción en AWS Control Tower. Ahora puede buscar, ordenar y filtrar en todas las tablas.

## Utilice AWS Control Tower para configurar nuevos AWS entornos de cuentas múltiples en AWS Organizations
<a name="multiaccount-environments"></a>

**22 de abril de 2020**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Organizations los clientes ahora pueden usar la Torre de Control de AWS para administrar las unidades organizativas (OUs) y las cuentas recién creadas gracias a estas nuevas capacidades: 
+  AWS Organizations Los clientes actuales ahora pueden configurar una nueva landing zone para las nuevas unidades organizativas (OUs) en su cuenta de administración existente. Puede crear cuentas nuevas OUs en la Torre de Control de AWS y crear cuentas nuevas en aquellas OUs con gobierno de la Torre de Control de AWS.
+ AWS Organizations los clientes pueden inscribir las cuentas existentes mediante el proceso de inscripción de cuentas o mediante scripts.

AWS Control Tower proporciona un servicio de organización que utiliza otros AWS servicios. Está diseñado para organizaciones con varias cuentas y equipos que buscan la forma más sencilla de configurar su AWS entorno de múltiples cuentas nuevo o existente y de gobernar a escala. Al ser una organización gobernada por AWS Control Tower, los administradores de la nube saben que las cuentas de la organización cumplen con las políticas establecidas. Los creadores se benefician porque pueden aprovisionar nuevas AWS cuentas rápidamente, sin preocuparse indebidamente por el cumplimiento.

Para obtener más información sobre la configuración de una zona de aterrizaje, consulte [Planificación de su zona de aterrizaje de AWS Control Tower](planning-your-deployment.md). También puede visitar la [página web del producto](https://aws.amazon.com/controltower/) AWS Control Tower o YouTube visitar este vídeo sobre cómo [empezar a utilizar AWS Control Tower for AWS Organizations](https://www.youtube.com/watch?v=-n65I4M8cas). 

Además de este cambio, la capacidad **Aprovisionamiento rápido de cuentas** de AWS Control Tower pasó a llamarse **Inscribir la cuenta**. Ahora permite la inscripción de AWS cuentas existentes, así como la creación de cuentas nuevas. Para obtener más información, consulte [Inscripción de una cuenta existente desde la consola de AWS Control Tower](quick-account-provisioning.md).

## Personalizaciones de la solución AWS Control Tower
<a name="Customizations"></a>

**17 de marzo de 2020**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora incluye una nueva implementación de referencia que le facilita la aplicación de plantillas y políticas personalizadas a la zona de aterrizaje de AWS Control Tower. 

Con las personalizaciones de AWS Control Tower, puede usar CloudFormation plantillas para implementar nuevos recursos en las cuentas nuevas y existentes de su organización. También puede aplicar políticas de control de servicios personalizadas (SCPs) a esas cuentas, además de las que SCPs ya proporciona AWS Control Tower. Las personalizaciones de la canalización de AWS Control Tower se integran con los eventos y las notificaciones del ciclo de vida de AWS Control Tower ([Eventos del ciclo de vida en AWS Control Tower](lifecycle-events.md)) para garantizar que las implementaciones de recursos estén sincronizadas con la zona de aterrizaje.

La documentación de implementación de la arquitectura de esta solución de AWS Control Tower está disponible a través de la [página web de soluciones de AWS](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/). 

## Disponibilidad general de la versión 2.3 de AWS Control Tower
<a name="Available_in_Sydney"></a>

**5 de marzo de 2020** 

(Es necesaria una actualización de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md)).

AWS Control Tower ya está disponible en la AWS región de Asia Pacífico (Sídney), además de en las regiones EE.UU. Este (Ohio), EE.UU. Este (Norte de Virginia), EE.UU. Oeste (Oregón) y Europa (Irlanda). La adición de la región Asia-Pacífico (Sídney) es el único cambio introducido en la versión 2.3 de AWS Control Tower.

Si no ha utilizado AWS Control Tower anteriormente, puede iniciarlo hoy mismo en cualquiera de las regiones compatibles. Si ya utiliza AWS Control Tower y desea ampliar sus características de gobernanza a la región de Asia-Pacífico (Sídney) en sus cuentas, vaya a la página **Configuración** del panel de control de AWS Control Tower. Desde allí, actualice la zona de aterrizaje a la última versión. A continuación, actualice sus cuentas de forma individual. 

**nota**  
La actualización de la zona de aterrizaje no actualiza automáticamente las cuentas. Si tiene más de unas cuantas cuentas, las actualizaciones necesarias pueden llevar mucho tiempo. Por esa razón, le recomendamos que evite ampliar la zona de aterrizaje de AWS Control Tower a regiones en las que no necesite que se ejecuten las cargas de trabajo.

 Para obtener información sobre el comportamiento esperado de los controles de detección como resultado de una implementación en una nueva región, consulte [Configure your AWS Control Tower Regions](https://docs.aws.amazon.com//controltower/latest/userguide/region-how.html#deploying-to-new-region).

## Aprovisionamiento de cuentas en un solo paso en AWS Control Tower
<a name="Single-step-provisioning"></a>

**2 de marzo de 2020**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite el aprovisionamiento de cuentas en un solo paso a través de la consola de AWS Control Tower. Esta característica le permite aprovisionar nuevas cuentas desde la consola de AWS Control Tower.

Para utilizar el formulario simplificado, vaya a **Generador de cuentas** en la consola de AWS Control Tower y, a continuación, seleccione **Aprovisionamiento rápido de cuentas**. AWS Control Tower asigna la misma dirección de correo electrónico a la cuenta aprovisionada y al usuario de inicio de sesión único (IAM Identity Center) que se crea para la cuenta. Si necesita que ambas direcciones de correo electrónico sean diferentes, debe aprovisionar la cuenta mediante Service Catalog.

Actualice las cuentas que se crean mediante el aprovisionamiento rápido de cuentas a través de Service Catalog y el generador de cuentas de AWS Control Tower, tal y como se actualiza cualquier otra cuenta.

**nota**  
En abril de 2020, la capacidad de **Aprovisionamiento rápido de cuentas** pasó a llamarse **Inscribir una cuenta**. En junio de 2022, la posibilidad de crear y actualizar cuentas en la consola de AWS Control Tower se separó de la posibilidad de inscribir AWS cuentas. Para obtener más información, consulte [Inscripción de una cuenta existente desde la consola de AWS Control Tower](quick-account-provisioning.md).

## Herramienta de desmantelamiento de AWS Control Tower
<a name="Decommissioning-tool"></a>

**28 de febrero de 2020**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora admite una herramienta de desmantelamiento automatizada que le ayuda a limpiar los recursos asignados por AWS Control Tower. Si ya no tiene intención de utilizar AWS Control Tower para su empresa o si necesita una redistribución importante de los recursos de la organización, es posible que desee limpiar los recursos creados al configurar inicialmente su zona de aterrizaje. 

Para desmantelar tu landing zone mediante un proceso en su mayoría automatizado, ponte en contacto con nosotros AWS Support para obtener ayuda con los pasos adicionales necesarios. Para obtener más información sobre el desmantelamiento, consulte [Retirada de una zona de aterrizaje de AWS Control Tower](decommission-landing-zone.md).

## Notificaciones de eventos del ciclo de vida de AWS Control Tower
<a name="Lifecycle-event-notifications"></a>

**22 de enero de 2020**

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower anuncia la disponibilidad de las notificaciones de eventos del ciclo de vida. Un [evento del ciclo](lifecycle-events.md) de vida marca la finalización de una acción de la Torre de Control de AWS que puede cambiar el estado de los recursos, como las unidades organizativas (OUs), las cuentas y los controles que la Torre de Control de AWS crea y administra. Los eventos del ciclo de vida se registran como AWS CloudTrail eventos y se envían a Amazon EventBridge como eventos. 

AWS Control Tower registra los eventos del ciclo de vida al completar las siguientes acciones que se pueden realizar con el servicio: crear o actualizar una zona de aterrizaje; crear o eliminar una OU; habilitar o deshabilitar un control en una OU; y utilizar el generador de cuentas para crear una nueva cuenta o mover una cuenta a otra OU.

AWS Control Tower utiliza varios AWS servicios para crear y gestionar un AWS entorno de cuentas múltiples basado en las mejores prácticas. Una acción de AWS Control Tower puede tardar varios minutos en completarse. Puede realizar un seguimiento de los eventos del ciclo de vida en CloudTrail los registros para verificar si la acción originaria de AWS Control Tower se completó correctamente. Puede crear una EventBridge regla para que le notifique cuando CloudTrail registre un evento del ciclo de vida o para activar automáticamente el siguiente paso de su flujo de trabajo de automatización.

# Junio - diciembre de 2019
<a name="2019-all"></a>

Del 24 de junio al 31 de diciembre de 2019, AWS Control Tower publicó las siguientes actualizaciones:
+ [Disponibilidad general de la versión 2.2 de AWS Control Tower](#Version-2-2)
+ [Nuevos controles opcionales en AWS Control Tower](#Elective-gaurdrails)
+ [Nuevos controles de detección en AWS Control Tower](#New-controls)
+ [AWS Control Tower acepta direcciones de correo electrónico para cuentas compartidas con dominios diferentes a los de la cuenta de administración](#Email-address-shared-accounts)
+ [Disponibilidad general de la versión 2.1 de AWS Control Tower](#Version-2-1)

## Disponibilidad general de la versión 2.2 de AWS Control Tower
<a name="Version-2-2"></a>

**13 de noviembre de 2019**

(Es necesaria una actualización de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Actualización de la zona de aterrizaje](update-controltower.md)).

La versión 2.2 de AWS Control Tower ofrece tres nuevos controles preventivos que impiden la desviación en las cuentas:
+ [No permitir cambios en los grupos de CloudWatch registros de Amazon Logs configurados por AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#log-group-deletion-policy) 
+ [No permitir la eliminación de las autorizaciones de AWS Config agregación creadas por AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy) 
+ [Prohibición de eliminar el archivo de registro](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#disallow-audit-bucket-deletion) 

Un control es una regla de alto nivel que proporciona gobernanza continua para su entorno general de AWS . Al crear la zona de aterrizaje de la Torre de Control de AWS, la zona de aterrizaje y todas las unidades organizativas (OUs), las cuentas y los recursos cumplen con las normas de gobierno aplicadas por los controles que haya elegido. A medida que usted y los miembros de su organización utilizan la zona de aterrizaje, pueden producirse cambios (accidentales o intencionados) en este estado de cumplimiento. La detección de la desviación le ayuda a identificar recursos que necesitan cambios o actualizaciones de configuración para resolver la desviación. Para obtener más información, consulte [Detección y resolución de desviaciones en AWS Control Tower](drift.md). 

## Nuevos controles opcionales en AWS Control Tower
<a name="Elective-gaurdrails"></a>

**5 de septiembre de 2019** 

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora incluye los siguientes cuatro nuevos controles opcionales:
+ [Prohibición de acciones de eliminación en buckets de Amazon S3 sin MFA](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-delete-mfa) 
+ [Prohibición de cambios en la configuración de replicación de los buckets de Amazon S3](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-ccr) 
+ [Prohibición de acciones como usuario raíz](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-auser-actions)
+ [Prohibición de la creación de claves de acceso para el usuario raíz](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-access-keys)

Un control es una regla de alto nivel que proporciona gobernanza continua para su entorno general de AWS . Las medidas de seguridad le permiten expresar sus intenciones en forma de política. Para obtener más información, consulte [About controls in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html).

## Nuevos controles de detección en AWS Control Tower
<a name="New-controls"></a>

**25 de agosto de 2019** 

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

AWS Control Tower ahora incluye los siguientes ocho nuevos controles de detección:
+ [Detección de si el control de versiones para los buckets de Amazon S3 está habilitado](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-no-versioning) 
+ [Detecte si la MFA está habilitada para los usuarios de IAM de la consola AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-console-access-mfa) 
+ [Detección de si la MFA está habilitada para los usuarios de IAM](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-access-mfa) 
+ [Detección de si la optimización de Amazon EBS está habilitada para instancias de Amazon EC2](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-not-ebs-optimized)
+ [Detección de si los volúmenes de Amazon EBS están conectados a las instancias de Amazon EC2](https://docs.aws.amazon.com//controltower/latest/userguide/strongly-recommended-controls.html#disallow-unattached-ebs) 
+ [Detección de si el acceso público a instancias de bases de datos de Amazon RDS está habilitado](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-public-access) 
+ [Detección de si el acceso público a instantáneas de bases de datos de Amazon RDS está habilitado](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-snapshot-public-access)
+ [Detección de si el cifrado de almacenamiento está habilitado para instancias de bases de datos de Amazon RDS](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-storage-unencrypted)

Un control es una regla de alto nivel que proporciona gobernanza continua para su entorno general de AWS . Un control de detección detecta el incumplimiento de los recursos de sus cuentas, como las infracciones de las políticas, y envía alertas a través del panel de control. Para obtener más información, consulte [About controls in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html).

## AWS Control Tower acepta direcciones de correo electrónico para cuentas compartidas con dominios diferentes a los de la cuenta de administración
<a name="Email-address-shared-accounts"></a>

**1 de agosto de 2019** 

(No es necesaria ninguna actualización de la zona de aterrizaje de AWS Control Tower).

En AWS Control Tower, ahora puede enviar direcciones de correo electrónico para cuentas compartidas (archivo de registro y miembro de auditoría) y cuentas secundarias (ofrecidas a través del generador de cuentas) cuyos dominios son diferentes de la dirección de correo electrónico de la cuenta de administración. Esta característica solo está disponible cuando crea una nueva zona de aterrizaje y cuando aprovisiona nuevas cuentas secundarias.

## Disponibilidad general de la versión 2.1 de AWS Control Tower
<a name="Version-2-1"></a>

**24 de junio de 2019**

(Es necesaria una actualización de la zona de aterrizaje de AWS Control Tower. Para obtener más información, consulte [Update Your Landing Zone](https://docs.aws.amazon.com/controltower/latest/userguide/update-controltower.html).)

AWS Control Tower ya está disponible con carácter general y es compatible para uso en producción. AWS Control Tower está pensado para organizaciones con varias cuentas y equipos que buscan la forma más sencilla de configurar su nuevo AWS entorno de múltiples cuentas y gobernar a escala. Con AWS Control Tower, puede ayudar a garantizar que las cuentas de su organización cumplen con las políticas establecidas. Los usuarios finales de los equipos distribuidos pueden aprovisionar nuevas AWS cuentas rápidamente.

Con AWS Control Tower, puede [configurar una zona de aterrizaje](getting-started-with-control-tower.md) que emplee las mejores prácticas, como configurar una [estructura de varias cuentas](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) mediante AWS Organizations, administrar las identidades de los usuarios y el acceso federado con AWS IAM Identity Center, habilitar el aprovisionamiento de cuentas a través de Service Catalog y crear un archivo de registro centralizado mediante y. AWS CloudTrail AWS Config

Para una gobernanza continua, puede habilitar controles preconfigurados, que son reglas claramente definidas en materia de seguridad, operaciones y conformidad. Las barreras de protección ayudan a evitar la implementación de recursos que no se ajustan a las políticas y supervisan continuamente los recursos implementados para detectar incumplimientos. El panel de control de AWS Control Tower proporciona una visibilidad centralizada de un AWS entorno, incluidas las cuentas aprovisionadas, los controles habilitados y el estado de conformidad de las cuentas.

Puede configurar un nuevo entorno con varias cuentas con un solo clic en la consola de AWS Control Tower. El uso de AWS Control Tower no conlleva cargos adicionales ni compromisos por adelantado. Solo pagas por los AWS servicios que habilitaste para configurar una landing zone e implementar controles seleccionados.