本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 2019 年 6 月 - 12 月
<a name="2019-all"></a>

从 2019 年 6 月 24 日至 12 月 31 日，AWS Control Tower 发布了以下更新：
+ [AWS Control Tower 版本 2.2 正式发布](#Version-2-2)
+ [AWS Control Tower 中新的选择性控件](#Elective-gaurdrails)
+ [AWS Control Tower 中新的检测性控件](#New-controls)
+ [AWS Control Tower 接受与管理账户域名不同的共享账户的电子邮件地址](#Email-address-shared-accounts)
+ [AWS Control Tower 版本 2.1 正式发布](#Version-2-1)

## AWS Control Tower 版本 2.2 正式发布
<a name="Version-2-2"></a>

**2019 年 11 月 13 日**

（AWS Control Tower 登录区需要更新。有关信息，请参阅 [更新您的登录区](update-controltower.md)。）

AWS Control Tower 版本 2.2 提供了三种新的预防性控件，可防止账户偏移：
+ [不允许对 AWS Control Tower 设置的亚马逊 CloudWatch 日志组进行更改](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#log-group-deletion-policy) 
+ [不允许删除由 AWS Control Tower 创建的 AWS Config 聚合授权](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy) 
+ [禁止删除日志存档](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#disallow-audit-bucket-deletion) 

控件是一项高级规则，可为您的整个 AWS 环境提供持续监管。当您创建 AWS Control Tower 着陆区时，着陆区和所有组织单位 (OUs)、账户和资源都将遵守您选择的控制机构强制执行的监管规则。当您和您组织内的成员使用登录区时，此合规性状态可能会发生更改（意外或故意）。偏移检测可帮助您标识需要进行更改或配置更新以解决偏移的资源。有关更多信息，请参阅 [在 AWS Control Tower 中检测并解决偏移问题](drift.md)。

## AWS Control Tower 中新的选择性控件
<a name="Elective-gaurdrails"></a>

**2019 年 9 月 5 日** 

（AWS Control Tower 登录区无需更新）

AWS Control Tower 现在包含以下四个新的选择性控件：
+ [禁止在没有 MFA 的情况下对 Amazon S3 存储桶执行删除操作](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-delete-mfa) 
+ [禁止更改 Amazon S3 存储桶的复制配置](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-ccr) 
+ [禁止以根用户身份执行操作](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-auser-actions)
+ [禁止为根用户创建访问密钥](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-access-keys)

控件是一项高级规则，可为您的整个 AWS 环境提供持续监管。防护机制使您能够表达您的策略意向。有关更多信息，请参阅 [About controls in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html)。

## AWS Control Tower 中新的检测性控件
<a name="New-controls"></a>

**2019 年 8 月 25 日** 

（AWS Control Tower 登录区无需更新）

AWS Control Tower 现在包含以下八个新的检测性控件：
+ [检测是否已启用 Amazon S3 存储桶的版本控制](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-no-versioning) 
+ [检测控制台上的 IAM 用户是否已启用 MFA AWS](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-console-access-mfa) 
+ [检测是否已针对 IAM 用户启用 MFA](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-access-mfa) 
+ [检查是否已针对 Amazon EC2 实例启用 Amazon EBS 优化](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-not-ebs-optimized)
+ [检测 Amazon EBS 卷是否已连接到 Amazon EC2 实例](https://docs.aws.amazon.com//controltower/latest/userguide/strongly-recommended-controls.html#disallow-unattached-ebs) 
+ [检测是否已启用对 Amazon RDS 数据库实例的公共访问权限](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-public-access) 
+ [检测是否已启用对 Amazon RDS 数据库快照的公共访问权限](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-snapshot-public-access)
+ [检测是否已针对 Amazon RDS 数据库实例启用存储加密](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-storage-unencrypted)

控件是一项高级规则，可为您的整个 AWS 环境提供持续监管。检测性控件可检测账户中资源的不合规情况（例如违反策略），并通过控制面板发出提醒。有关更多信息，请参阅 [About controls in AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html)。

## AWS Control Tower 接受与管理账户域名不同的共享账户的电子邮件地址
<a name="Email-address-shared-accounts"></a>

**2019 年 8 月 1 日** 

（AWS Control Tower 登录区无需更新）

在 AWS Control Tower 中，您现在可以为域名与管理账户的电子邮件地址不同的共享账户（日志存档和审计成员）和子账户（使用 Account Factory 出售）提交电子邮件地址。此功能仅在您创建新的登录区和预置新的子账户时可用。

## AWS Control Tower 版本 2.1 正式发布
<a name="Version-2-1"></a>

**2019 年 6 月 24 日**

（AWS Control Tower 登录区需要更新。有关信息，请参阅 [Update Your Landing Zone](https://docs.aws.amazon.com/controltower/latest/userguide/update-controltower.html)。）

AWS Control Tower 现已全面推出并支持用于生产环境。AWS Control Tower 适用于拥有多个账户和团队的组织，他们正在寻找最简单的方法来设置新的多账户 AWS 环境并进行大规模治理。借助 AWS Control Tower，您可以帮助确保组织中的账户符合既定策略。分布式团队的最终用户可以快速配置新 AWS 帐户。

使用 AWS Control Tower，您可以[设置一个采用最佳实践的着陆区](getting-started-with-control-tower.md)，例如使用配置[多账户结构](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) AWS Organizations、使用管理用户身份和联合访问 AWS IAM Identity Center、通过 Service Catalog 启用账户配置，以及使用 AWS CloudTrail 和 AWS Config创建集中式日志档案。

要进行持续监管，您可以启用预先配置的控件，这些控件是针对安全、运营和合规性明确定义的规则。防护机制有助于防止部署不符合策略的资源，并持续监控已部署的资源是否存在不合规情况。AWS Control Tower 控制面板提供对 AWS 环境的集中可见性，包括已配置的账户、启用的控制以及账户的合规状态。

只需在 AWS Control Tower 控制台中单击一下，即可设置新的多账户环境。使用 AWS Control Tower 无需额外付费，也无需做出预付承诺。您只需为为设置着陆区和实施选定控制而启用的 AWS 服务付费。