本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Control Tower 版本備註
下列各節顯示自服務啟動以來,AWS Control Tower 版本的詳細資訊。有些版本需要更新 AWS Control Tower 登陸區域,而其他版本會自動併入服務中。
功能和版本會根據正式向公眾宣布的日期,以反向時間順序 (最新先到) 列出。
**Topics**
+ [
# 2026 年 1 月 - 目前
](2026-all.md)
+ [
# 2025 年 1 月 – 2025 年 12 月
](2025-all.md)
+ [
# 2024 年 1 月至 12 月
](2024-all.md)
+ [
# 2023 年 1 月至 12 月
](2023-all.md)
+ [
# 2022 年 1 月至 12 月
](2022-all.md)
+ [
# 2021 年 1 月至 12 月
](2021-all.md)
+ [
# 2020 年 1 月至 12 月
](2020-all.md)
+ [
# 2019 年 6 月至 12 月
](2019-all.md)
# 2026 年 1 月 - 目前
自 2026 年 1 月起,AWS Control Tower 已發佈下列更新:
+ [歐洲主權雲端提供 AWS Control Tower](#eusc-region)
## 歐洲主權雲端提供 AWS Control Tower
**2026 年 1 月 13 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現已在歐洲主權雲端提供。如需歐洲主權雲端中 AWS Control Tower 的詳細資訊,請參閱[歐洲主權雲端的 AWS Control Tower 使用者指南](https://docs.aws.eu/esc/latest/userguide/controltower.html)。
# 2025 年 1 月 – 2025 年 12 月
自 2025 年 1 月起,AWS Control Tower 已發佈下列更新:
+ [AWS Control Tower 登陸區域 4.0 版](#lz-40)
+ [AWS Control Tower 會將其他 279 個 AWS Config 控制項新增至 Control Catalog](#additional-config-controls)
+ [亞太區域 (紐西蘭) 區域提供 AWS Control Tower](#akl-region)
+ [AWS Control Tower 支援自動帳戶註冊](#auto-enroll)
+ [AWS Control Tower 更新 Python 版本](#updated-python)
+ [AWS Control Tower 支援 IPv6 地址](#ct-ipv6)
+ [AWS Control Tower 減少偏離](#no-attached-scp-drift)
[提供適用於 Terraform 的 Account Factory 1.15.0 版](#aft-1-15)
+ [使用 Nitro 執行個體類型更新控制項](#nitro-updates)
+ [亞太區域 (台北) 區域提供 AWS Control Tower](#new-region-tpe)
+ [AWS Control Tower 支援 PrivateLink](#ct-privatelink)
+ [支援其他產業架構、更新的中繼資料](#hg-1-5)
+ [服務連結 AWS Config 控制項](#managed-config-controls)
+ [啟用的控制項主控台檢視可提供集中式可見性](#enabled-controls-page)
+ [Account Factory for Terraform (AFT) 在部署時支援新組態](#aft-configurations)
+ [AWS Control Tower 推出基準 APIs的帳戶層級報告](#enabled-baseline-drift)
+ [AWS Control Tower 適用於 AWS 亞太區域 (泰國) 和墨西哥 (中部) 區域](#new-regions-bkk-qro)
+ [其他可用的 AWS Config 控制項](#new-config-controls)
+ [取消註冊和刪除 OUs 的動作](#deregister-and-delete)
+ [Control Catalog 支援 IPv6 地址](#ipv6)
## AWS Control Tower 登陸區域 4.0 版
**2025 年 11 月 17 日**
(AWS Control Tower 登陸區域需要更新至 4.0 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))。
AWS Control Tower 登陸區域 4.0 是一項主要更新,引進了靈活的僅限控制體驗,讓客戶能夠自訂如何實作和管理其 AWS 多帳戶環境。此版本會大幅改變 AWS Control Tower 與 AWS 服務整合和管理組織資源的方式。如需金鑰變更的資訊,請參閱 [登陸區域 v4.0 遷移指南](landing-zone-v4-migration-guide.md)。
**主要變更和功能**
+ 選用的服務整合 - 登陸區域 4.0 可讓您選擇要在環境中啟用的服務整合。停用整合將清除 AWS Control Tower 在受管帳戶和服務整合中央帳戶中針對該整合部署的資源。您現在可以選擇性地啟用或停用服務整合:
+ AWS Config
+ AWS CloudTrail
+ 安全角色
+ AWS Backup
*重要:如果您想要停用 AWS Config 整合,您還必須停用安全角色、IAM Identity Center 和 AWS Backup 整合。*
+ 專用資源,而不是使用共用資源 - 登陸區域 4.0 現在會為金鑰服務建立專用資源。此區隔可提供更好的資源隔離,並更精細地控制服務特定的資源:
+ AWS Config 的個別 S3 儲存貯體
+ AWS CloudTrail 的個別 S3 儲存貯體
+ 每個服務的個別 SNS 主題
+ 彈性組織結構 - 登陸區域 4.0 會移除先前的組織結構需求:
+ 您不再需要使用安全 OU
+ 您可以定義自己的組織結構
+ 唯一的要求是所有中樞帳戶都必須位於相同的 OU
+ 專用控制項體驗 - 您現在可以建立最小的登陸區域設定,其中包含:
+ 基本 AWS Organizations 整合
+ 能夠在不啟用`AWSControlTowerBaseline`基準的情況下啟用控制項
+ 根據您的需求自訂控管組態
+ AWS Config 變更 - 登陸區域 4.0 引入了 AWS Config 整合實作的多項改進:
+ 專門用於偵測控制項的新 Config 輻條基準
+ Config 中樞帳戶中的服務連結 Config 彙總工具 (SLCA)
+ 取代傳統組織和帳戶彙總工具
+ 選用資訊清單:
+ 資訊清單欄位現在為選用,可讓您:
+ 建立無需任何服務整合的登陸區域
+ 初始設定時更具彈性
+ 自訂部署選項
## AWS Control Tower 會將其他 279 個 AWS Config 控制項新增至 Control Catalog
**2025 年 11 月 14 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在包含額外的 279 個 AWS Config 控制項做為 Control Catalog 的一部分。您可以在 AWS Control Tower 主控台中或透過 APIs 檢視控制項。
某些控制項與其他控制項有關係。這些關係也會在 AWS Control Tower 主控台和 APIs中表示。關係類型包括**補充**、**互斥**和**替代**。
## 亞太區域 (紐西蘭) 區域提供 AWS Control Tower
**2025 年 10 月 28 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現已在亞太區域 (紐西蘭) 區域提供。
如需 AWS Control Tower 可用區域的完整清單,請參閱[AWS 區域表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 支援自動帳戶註冊
**2025 年 10 月 15 日**
(AWS Control Tower 登陸區域不需要更新。)
對於操作 AWS Control Tower 登陸區域 3.1 版或更新版本的客戶,AWS Control Tower 現在允許在 OUs 中自動註冊帳戶。如果您選擇自動註冊帳戶,AWS Control Tower 會在您將帳戶移至新的 OU 時,將 OU 啟用的基準資源和控制項套用至帳戶。會移除先前 OU 的控制項和基準。在大多數情況下,此動作不會建立偏離。
**若要啟用自動註冊:**您可以在 AWS Control Tower 主控台的登陸區域**設定**頁面上選取帳戶自動註冊,或呼叫 AWS Control Tower `CreateLandingZone`或 `UpdateLandingZone` APIs,並將 `RemediationType` 參數的值設定為**繼承偏離**。
**若要套用自動註冊:**在**設定**頁面中選取此選項後,您可以透過 AWS Organizations 主控台、API AWS Organizations `MoveAccount`或 AWS Control Tower 主控台來移動帳戶。
**若要透過自動註冊取消註冊帳戶:**如果您將帳戶移出已註冊的 OU,AWS Control Tower 會自動移除所有部署的基準資源和控制項。
如需自動註冊的詳細資訊,請參閱 [選擇性地設定帳戶的自動註冊](configure-auto-enroll.md)。
此版本也包含受管政策和新受管政策的更新。我們更新了 [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//controltower/latest/userguide/managed-policies-table.html),並新增了新的 [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com//controltower/latest/userguide/managed-policies-table.html)。
我們更新了 AWS Control Tower `CreateLandingZone`和 `UpdateLandingZone` API,以新增`RemediationType`名為 的新 `Inheritance Drift`。 APIs
## AWS Control Tower 更新 Python 版本
**2025 年 9 月 3 日**
(AWS Control Tower 登陸區域不需要更新。)
Python 3.9 版已棄用。AWS Control Tower 已更新 AWS Control Tower 環境中的 Python 版本。不需要任何動作,而且此更新不會影響您現有的工作負載。
## AWS Control Tower 減少偏離
**2025 年 8 月 20 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已更新服務控制政策 (SCP) 偏離的功能。在此版本中,AWS Control Tower 會直接處理兩種類型的控管偏離,不會再在您的環境中造成偏離。
**已移除兩種類型的控管偏離**
+ **連接到受管 OU 的 SCP** – 當控制項的 SCP 連接到任何其他 OU 時,會發生這種偏離。當您從 AWS Control Tower 主控台外部更新 OUs時,這種情況特別常見。
+ **連接至成員帳戶的 SCP** – 當控制項的 SCP 從 AWS Control Tower 主控台外部連接至帳戶時,通常會發生這種偏離。
如需偏離的詳細資訊,請參閱在 [AWS Control Tower 中偵測和解決偏離](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html)。
## AWS Control Tower 支援 IPv6 地址
**2025 年 8 月 18 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower API 現在透過新的雙堆疊端點支援網際網路通訊協定第 6 版 (IPv6) 地址。支援 IPv4 的現有端點仍可回溯相容。新的雙堆疊網域可從[網際網路](https://docs.aws.amazon.com/general/latest/gr/controlcatalog.html)或使用 [AWS PrivateLink](https://aws.amazon.com/privatelink/) [從 Amazon Virtual Private Cloud (VPC) 中](https://docs.aws.amazon.com/controlcatalog/latest/userguide/vpc-interface-endpoints.html)取得*。*
## 提供適用於 Terraform 的 Account Factory 1.15.0 版
**2025 年 7 月 28 日**
(AWS Control Tower 登陸區域不需要更新。)
1.15.0 版的 AWS Control Tower Account Factory for Terraform (AFT) 已推出。如需詳細資訊,請參閱 [AFT GitHub 儲存庫](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases/tag/1.15.0)。
## 使用 Nitro 執行個體類型更新控制項
**2025 年 7 月 24 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已更新 Control Catalog (先前稱為 Control Library) 中的八個主動控制,以強制執行 Amazon EC2 初始化類型。此更新可讓您執行個體化一些新的 Nitro 執行個體類型,並移除一些已取代的 *u 系列*執行個體類型。
**已更新控制項**
+ [https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-10-description](https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-10-description)
+ [https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-11-description](https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-11-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-15-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-15-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-16-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-16-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-17-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-17-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-18-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-18-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-19-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-19-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-20-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-20-description)
**可用的新執行個體類型**
+ `c8gd`
+ `c8gn`
+ `i7i`
+ `m8gd`
+ `p6-b200`
+ `r8gd`
**已移除執行個體類型**
+ `u-12tb1`
+ `u-18tb1`
+ `u-24tb1`
+ `u-9tb1`
更新後的控制項可在 AWS Control Tower 可用的所有 AWS 區域 中使用。如需可使用 AWS Control Tower 的區域清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## 亞太區域 (台北) 區域提供 AWS Control Tower
**2025 年 7 月 23 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現已在亞太區域 (台北) 區域提供:
如需 AWS Control Tower 可用區域的完整清單,請參閱[AWS 區域表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 支援 PrivateLink
**2025 年 6 月 30 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援 [AWS PrivateLink](https://aws.amazon.com/privatelink/)**。您可以從 Amazon Virtual Private Cloud (VPC) 內叫用 AWS Control Tower 和 Control Catalog APIs,而無需周遊公有網際網路。 可在虛擬私有雲端 (VPCs)、支援的服務和資源,以及內部部署網路之間 AWS PrivateLink 提供私有連線。AWS Control Tower 的 AWS PrivateLink 支援可在 AWS Control Tower 提供的所有 AWS 區域 中使用。
## 支援其他產業架構、更新的中繼資料
**2025 年 6 月 12 日**
(AWS Control Tower 登陸區域不需要更新。)
在此版本中,AWS Control Tower 擴展以包含 10 個產業架構的支援。如需架構清單,請參閱[支援的架構](https://docs.aws.amazon.com//controltower/latest/controlreference/frameworks-supported.html)。
例如,您可以開始導覽至 AWS Control Tower 主控台的 Control Catalog 頁面,並搜尋 **PCI-DSS-v4.0 等架構**,以檢視與該架構相關的所有控制項。或者,您可以透過呼叫新的 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControlMappings.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControlMappings.html) API,以程式設計方式檢查控制項和架構。
與控制項相關聯的中繼資料定義正在變更,以更好地支援這些額外的產業影格。中繼資料的變更可能會影響您評估啟用控制項的方式。例如,NIST、PCI 和 CIS 中繼資料的值可能已變更。建議您在 主控台的**控制詳細資訊**頁面上*,檢視已啟用控制項的映射*。
在 主控台和 API 中,我們推出了 3 個新的中繼資料欄位。這些欄位整體描述了一個階層,協助您了解如何分類和啟用控制項。欄位為:**網域**、**目標**和[https://docs.aws.amazon.com//controltower/latest/controlreference/common-controls-list.html](https://docs.aws.amazon.com//controltower/latest/controlreference/common-controls-list.html)。我們已重新定義[控制目標](https://docs.aws.amazon.com/controltower/latest/controlreference/control-catalog-objectives.html),以更符合更廣泛的產業架構可用範圍。如需此階層的詳細資訊,請參閱[腫瘤學概觀](https://docs.aws.amazon.com/controlcatalog/latest/userguide/ontology-overview.html)。
+ 這些中繼資料變更會反映在 AWS Control Tower 主控台中,而且主控台體驗在 AWS Control Tower 和 AWS Config 主控台之間是一致的。
+ 若要在 AWS Control Tower 主控台中檢視控制項資訊,您必須將其他`controlcatalog`許可新增至 IAM 政策。如需詳細資訊,請參閱[使用 AWS Control Tower 主控台所需的許可](https://docs.aws.amazon.com/controltower/latest/userguide/additional-console-required-permissions.html)。
+ 每個控制項現在都有一個名為 的新欄位`GovernedResources`,顯示控制項管理的資源類型。在某些情況下,此欄位會顯示資源的服務字首,在其他執行個體中,可以是空白的。如需詳細資訊,請參閱[https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)及[https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html)。
在此版本中,我們已將 *Controls Library* 重新命名為 *Control Catalog*,以與其他術語保持一致。
## 服務連結 AWS Config 控制項
**2025 年 6 月 12 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 宣布支援將 AWS Control Tower 偵測控制部署為服務連結 AWS Config 規則。
在此版本中,AWS Control Tower 現在會直接在您的註冊帳戶中部署服務連結 Config 規則,以 AWS CloudFormation 堆疊集取代先前的部署方法。此變更可大幅改善部署速度。此外,這些服務連結 Config 規則有助於確保資源的一致控管,因為它們可防止可能因手動變更 CloudFormation 堆疊集或 Config 規則而導致的意外組態偏離。
**接下來,所有由 AWS Config 規則實作的 AWS Control Tower 控制項都會使用此機制部署,此機制會直接呼叫 AWS Config APIs。**
**重要**
在您採用服務連結 Config 規則之前,請檢閱您在 AWS Control Tower 外部對 Config 規則所做的現有自訂,例如修復,因為這些自訂會在轉換期間移除。 AWS Config APIs 不支援為服務連結 AWS Config 規則新增修復組態。請參閱 [https://docs.aws.amazon.com/config/latest/APIReference/API_PutRemediationConfigurations.html](https://docs.aws.amazon.com/config/latest/APIReference/API_PutRemediationConfigurations.html)。
**所需的詳細資訊和動作**
+ 當您**更新**或**重設**登陸區域時,AWS Control Tower 會**更新管理安全 OU 的強制性**控制。若要完成升級,您也必須**重設**以 AWS Config 規則內嵌的每個偵測性控制項,或**重新註冊** OU。
+ 如果您的 AWS Control Tower 登陸區域版本為 3.2 或更新版本,則此升級的完整範圍適用於您。當您套用此更新時,現有的 AWS Config 規則會變更為服務管理的 Config 規則,以及新的部署方法。
+ 如果您的登陸區域是 3.1 版或以下版本,則會使用新方法部署任何新的 Config 規則,而不再使用堆疊集。您現有的 Config 規則不會更新為服務管理的 Config 規則。它們將保留為標準類型。
+ 您可以依其資源 ARN 來識別服務連結組態規則,其格式為:
```
arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*
```
由服務連結 AWS Config 規則實作時,控制項的預期功能並未變更。AWS Control Tower 中的偵測性服務連結 Config 規則可以識別您帳戶中的不合規資源,例如政策違規,並透過儀表板提供提醒。為了保持一致性、防止組態偏離並簡化您的整體使用者體驗,現在只能透過 AWS Control Tower 修改這些規則。
在此版本中,我們為服務連結角色 (SLR) 的政策新增了四個新許可[https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSServiceRoleForAWSControlTower](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSServiceRoleForAWSControlTower),以便您可以啟用和停用已註冊帳戶的服務連結 AWS Config 規則。
```
config:DescribeConfigRules
config:TagResource
config:PutConfigRule
config:DeleteConfigRule
```
## 啟用的控制項主控台檢視可提供集中式可見性
**2025 年 5 月 21 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 在主控台中新增了新頁面,可在單一集中式檢視中顯示所有已啟用的控制項。先前,只有啟用控制項的帳戶或 OU 才能檢視控制項。合併檢視可讓您更輕鬆地大規模識別控制控管中的差距。
在**已啟用控制項**頁面上,您可以根據行為篩選控制項:Deventive、Detective 或 Proactive。您也可以根據控制實作進行篩選,例如 SCP。對於每個控制項,您可以查看啟用此控制項OUs 數量。
若要查看**已啟用控制項**頁面,請導覽至 AWS Control Tower 主控台中的**控制項**區段。
## Account Factory for Terraform (AFT) 在部署時支援新組態
**2025 年 5 月 13 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 帳戶自訂架構 Account Factory for Terraform (AFT) 現在在部署時支援三個額外的選用組態。您可以將 AFT 部署到自訂虛擬私有雲端 (VPC),指定 AFT 部署的 Terraform 專案名稱,並標記 AFT 建立的資源。
如需詳細資訊,請參閱[部署適用於 Terraform (AFT) 的 AWS Control Tower 帳戶工廠](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html)。
## AWS Control Tower 推出基準 APIs的帳戶層級報告
**2025 年 5 月 12 日**
(AWS Control Tower 登陸區域不需要更新。)
您現在可以透過呼叫基準 APIs,以程式設計方式檢視受管帳戶的*偏離*和*帳戶註冊*狀態。透過此功能,您可以識別帳戶和 OU 基準組態何時*漂移*或不同步。若要以程式設計方式檢視偏離狀態,您可以針對已啟用的基準呼叫 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) API。若要使用 `ListEnabledBaselines` API 以程式設計方式檢視個別帳戶的狀態,請使用 `includeChildren`旗標。您可以依這些狀態進行篩選,並只查看需要您注意的帳戶和 OUs。
[https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types) 會設定控管所需的最佳實務組態、控制項和資源。當您在組織單位 (OU) 上啟用此基準時,OU 內的成員帳戶會自動註冊到 AWS Control Tower。AWS Control Tower 基準 APIs 包含 CloudFormation 支援,可讓您建置自動化,以使用基礎設施即程式碼 (IaC) 來管理 OUs 和帳戶。
若要進一步了解這些 APIs,請參閱《*AWS Control Tower 使用者指南*》中的[基準](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html)。AWS Control Tower 提供的所有 都提供*偏離*和*帳戶註冊*狀態的基準 APIs AWS 區域 和新啟動的報告功能。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 適用於 AWS 亞太區域 (泰國) 和墨西哥 (中部) 區域
**2025 年 5 月 9 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現已在下列 AWS 區域提供:
+ 亞太區域 (泰國)
+ 墨西哥 (中部)
如需 AWS Control Tower 可用區域的完整清單,請參閱[AWS 區域表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## 其他可用的 AWS Config 控制項
**2025 年 4 月 11 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援適用於各種使用案例的額外 223 個受管 AWS Config 規則,例如安全性、成本、耐用性和操作。透過此啟動,您現在可以使用 AWS Control Tower 來搜尋和探索管理多帳戶環境所需的 AWS Config 規則;然後直接從 AWS Control Tower 啟用和管理控制項。
若要從 AWS Control Tower 主控台開始使用,請前往 Control Catalog,並使用實作篩選條件搜尋控制項 AWS Config。您可以直接從 AWS Control Tower 主控台啟用控制項。
如需詳細資訊,請參閱 [AWS Control Tower 中可用的整合式 AWS Config 控制項](https://docs.aws.amazon.com/controltower/latest/controlreference/config-controls.html)。
此次啟動後,我們更新了 `ListControls`和 `GetControl` APIs,以支援三個新欄位:**CreateTime**、**嚴重性**和**實作**,您可以在 Control Catalog 中搜尋控制項時使用。例如,您現在可以以程式設計方式找到上次評估後建立的高嚴重性 AWS Config 規則。
您可以在可使用 AWS Control Tower 的所有 AWS 區域 中搜尋新 AWS Config 規則。若要部署規則,請參閱該規則 AWS 區域 支援的 清單,以查看可啟用該規則的位置。
## 取消註冊和刪除 OUs 的動作
**2025 年 4 月 8 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援個別主控台動作來取消註冊 OU 和刪除 OU。您必須先取消註冊 OU,才能將其刪除。您可以取消註冊 OU,從 AWS Control Tower 移除 OU。
如需詳細資訊,請參閱[移除 OU](remove-ou.md)。
## Control Catalog 支援 IPv6 地址
**2025 年 4 月 2 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower Control Catalog API 現在透過新的雙堆疊端點支援網際網路通訊協定第 6 版 (IPv6) 地址。支援 IPv4 的現有 Control Catalog 端點仍可回溯相容。新的雙堆疊網域可從[網際網路](https://docs.aws.amazon.com/general/latest/gr/controlcatalog.html)或使用 [AWS PrivateLink](https://aws.amazon.com/privatelink/) [從 Amazon Virtual Private Cloud (VPC) 中](https://docs.aws.amazon.com/controlcatalog/latest/userguide/vpc-interface-endpoints.html)取得*。*
# 2024 年 1 月至 12 月
2024 年,AWS Control Tower 發佈了下列更新:
+ [AWS Control Tower CfCT 支援 GitHub 和 RCPs](#cfct-github-support)
+ [AWS Control Tower 使用宣告式政策新增預防性控制](#declarative-policies)
+ [AWS Control Tower 新增規範備份計劃選項](#aws-backup)
+ [AWS Control Tower 整合 AWS Config 控制項](#config-controls)
+ [AWS Control Tower 改善勾點管理並新增主動控制區域](#hook-management)
+ [AWS Control Tower 啟動受管資源控制政策](#rcp-controls)
+ [AWS Control Tower 報告控制政策偏離](#policy-drift)
+ [新的 `ResetEnabledControl` API](#reset-enabled-control-api)
+ [控制目錄更新 `GetControl` API](#getcontrol-api-update)
+ [AWS Control Tower AFT 支援 GitLab](#aft-gitlab-support)
+ [AWS 亞太區域 (馬來西亞) 區域提供 AWS Control Tower](#kul-region)
+ [AWS Control Tower 每個 OU 最多支援 1000 個帳戶](#1000-accounts)
+ [AWS Control Tower 新增登陸區域版本選擇](#lz-version-select)
+ [可用的描述性控制 API,擴展對區域和控制項的存取](#get-and-list-controls)
+ [AWS Control Tower 在選擇加入區域中支援 AFT 和 CfCT](#aft-cfct-regions)
+ [AWS Control Tower 新增 `ListLandingZoneOperations` API](#lz-operations-api)
+ [AWS Control Tower 最多支援 100 個並行控制操作](#multiple-controls)
+ [AWS Control Tower 可在 AWS 加拿大西部 (卡加利) 使用](#yyc-available)
+ [AWS Control Tower 支援自助式配額調整](#service-quotas)
+ [AWS Control Tower 發佈*控制項參考指南*](#controls-reference-guide)
+ [AWS Control Tower 會更新和重新命名兩個主動控制](#update-2-proactive-controls)
+ [已棄用的控制項不再可用](#deprecated-controls)
+ [AWS Control Tower 支援在 中標記`EnabledControl`資源 CloudFormation](#cfn-tagging)
+ [AWS Control Tower 支援具有基準的 OU 註冊和組態 APIs](#baseline-apis)
## AWS Control Tower CfCT 支援 GitHub 和 RCPs
**2024 年 12 月 9 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援 GitHub TM作為第三方版本控制系統 (VCS) 和 AWS Control Tower 自訂組態來源 (CFCT) 的選項。如需詳細資訊,請參閱 [將 GitHub 設定為組態來源](cfct-github-configuration-source.md)。
AWS Control Tower 現在支援 AWS Control Tower (CFCT) 自訂的資源控制政策 (RCPs)。如需詳細資訊,請參閱[CfCT 自訂指南](cfct-customizations-dev-guide.md)。
## AWS Control Tower 使用宣告式政策新增預防性控制
**2024 年 12 月 1 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援宣告政策從中實作的預防性控制 AWS Organizations。宣告政策會直接套用在服務層級。此方法可確保強制執行指定的組態,即使服務引入了新功能或 APIs。如需詳細資訊,請參閱[使用宣告政策實作的控制項](https://docs.aws.amazon.com//controltower/latest/controlreference/declarative-controls.html)。
## AWS Control Tower 新增規範備份計劃選項
**2024 年 11 月 25 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援方案 AWS Backup ,可讓您將資料備份和復原工作流程直接整合到您的登陸區域。備份計畫包含預先定義的規則,例如保留天數、備份頻率,以及進行備份的時段。這些規則定義如何在所有受管成員帳戶中備份 AWS 資源。當您將備份計劃套用至登陸區域時,AWS Control Tower 會確保所有成員帳戶的計劃一致,並符合 AWS Backup 的最佳實務建議。
如需詳細資訊,請參閱 [AWS Backup and AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/backup.html)。
## AWS Control Tower 整合 AWS Config 控制項
**2024 年 11 月 21 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已整合選取的 AWS Config 控制項,因此可以由 AWS Control Tower 檢視和管理。
如需詳細資訊,請參閱 [AWS Control Tower 中可用的整合式 AWS Config 控制項](https://docs.aws.amazon.com//controltower/latest/controlreference/config-controls.html)
## AWS Control Tower 改善勾點管理並新增主動控制區域
**2024 年 11 月 20 日**
(AWS Control Tower 登陸區域不需要更新。)
在此版本中,您可以利用 CloudFormation 勾點的完整容量,不受 AWS Control Tower 限制。此外,加拿大西部 (卡加利) 區域和亞太區域 (馬來西亞) 區域也提供主動控制。
先前,您環境中的所有 CloudFormation 勾點都需要受到 **CT.CLOUDFORMATION.PR.1 **控制項的保護,因此只有 AWS Control Tower 可以修改它們。在此版本中,您可以部署 CloudFormation 掛鉤並修改這些掛鉤,而不需要 AWS Control Tower 服務先前所需的限制。
如果您目前部署主動控制,您可以移至此改進的勾點功能。若要重設 OU 上的所有主動控制,請重設該 OU 上作用中的任何單一主動控制。您可以透過呼叫 `ResetEnabledControl` API,或從主控台使用重設功能更新控制項來執行**重設**。當您針對任何主動控制完成此重設任務時,AWS Control Tower 會將 OU 上的所有主動控制勾點移至新功能。針對部署主動控制的每個 OU 重複此程序。
重設任何主動控制後,請移除 AWS Control Tower OUs上的 **CT.CLOUDFORMATION.PR.1** 控制,除非您針對其他用途啟用該控制。如果您不關閉 **CT.CLOUDFORMATION.PR.1** 控制項,您將無法建立和修改其他勾 CloudFormation 點。
如需詳細資訊,請參閱[更新主動控制勾點](https://docs.aws.amazon.com//controltower/latest/controlreference/get-new-hooks.html)。
## AWS Control Tower 啟動受管資源控制政策
**2024 年 11 月 15 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 提供新類型的預防性控制,以資源控制政策 (RCPs實作。這些控制項可協助您在 AWS Control Tower 環境中建立資料周邊,保護您的資源免於意外存取。
例如,您可以為 Amazon S3、 AWS Security Token Service、Amazon SQS AWS Secrets Manager 和服務啟用 RCP AWS Key Management Service型控制。以 RCP 為基礎的控制項可以強制執行需求,例如「要求組織的 Amazon S3 資源只能由屬於組織的 IAM 主體或 AWS 服務存取」,無論個別儲存貯體政策授予的許可為何。
您可以設定新的 RCP 型控制項和某些現有的 SCP 型預防性控制項,以指定主體和資源的 AWS IAM 豁免。如果您不希望委託人或資源受控制項管理,您可以設定 豁免。
透過在 AWS Control Tower 中結合預防性、主動性和偵測性控制,您可以根據最佳實務監控多帳戶 AWS 環境是否安全和管理,例如[AWS 基礎安全最佳實務標準](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp.html)。
這些新的 RCP 型預防性控制可在提供 AWS Control Tower AWS 區域 的 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的完整清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 報告控制政策偏離
**2024 年 11 月 15 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在會報告控制政策偏離,適用於使用資源控制政策 (RCPs) 實作的控制,以及屬於 **Security Hub CSPM 服務受管標準 AWS Control Tower **的控制。這種類型的偏離可以透過新的 `ResetEnabledControl` API 修復。如需詳細資訊,請參閱[控管偏離的類型](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html)。
## 新的 `ResetEnabledControl` API
**2024 年 11 月 14 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 推出新的 API,協助您以程式設計方式管理控制偏離。您可以修復控制項偏離,並將控制項重設為其預期的組態。`ResetEnabledControl` API 可與選用的 AWS Control Tower 控制項搭配使用,包括**強烈建議**和**選擇性**控制項。
**控制例外狀況**
+ 使用此 API 無法重設使用服務控制政策 (SCPs) 實作的控制項。如需詳細資訊,請參閱[https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html)。
+ 無法重設強制性控制,因為它們會保護 AWS Control Tower 資源。
+ 登陸區域的**區域拒絕**控制必須透過 主控台重設。
控制偏離會在 AWS Control Tower 外部修改 AWS Control Tower 控制時發生,例如從 AWS Organizations 主控台。解決偏離有助於確保您符合控管要求。
## 控制目錄更新 `GetControl` API
**2024 年 11 月 8 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援更新的 `GetControl` API,其中包含兩個新欄位:所有控制項`Parameters`的`Implementation`類型,以及可設定的特定控制項。
`GetControl` API 是 AWS Control Tower `controlcatalog`命名空間的一部分。
如需詳細資訊,請參閱 Control Catalog [`GetControl` API](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) 參考中的 API。 **
**此版本包含 AWS Control Tower 主控台中顯示的相關變更。**
+ 所有現有的 AWS Security Hub CSPM 控制項都會將其`Implementation`參數值從 AWS Config 規則變更為 AWS Security Hub CSPM。修改對應的主控台說明面板以反映此變更。
+ 所有現有的勾點控制項都會將其`Implementation`參數值從 CloudFormation 防護規則變更為 CloudFormation 勾點。修改對應的主控台說明面板以反映此變更。
## AWS Control Tower AFT 支援 GitLab
**2024 年 10 月 23 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援 GitLab TM和 GitLab 自我管理作為第三方版本控制系統 (VCS) 的選項,以及 Account Factory for Terraform (AFT) 的組態來源。
## AWS 亞太區域 (馬來西亞) 區域提供 AWS Control Tower
**2024 年 10 月 21 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 可在 AWS 亞太區域 (馬來西亞) 區域使用。
如需 AWS Control Tower 可用區域的完整清單,請參閱[AWS 區域表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 每個 OU 最多支援 1000 個帳戶
**2024 年 8 月 30 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已將每個組織單位 (OU) 允許的帳戶數目上限從 300 個增加到 1000 個。現在,您可以一次註冊最多 1000 AWS 帳戶 個 AWS Control Tower 控管,而無需變更您的 OU 結構。OU 註冊和重新註冊程序也更有效率,因此將 AWS Control Tower 基準資源部署到您的帳戶所需的時間會明顯減少。
由於可用堆疊集數量 CloudFormation 的限制,某些帳戶限制仍然適用。具體而言,您可以註冊到 OU 的帳戶數量上限可能會有所不同,具體取決於您在控管下擁有的區域數量。若要進一步了解,請參閱《[https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html](https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html)》中的[以基礎 AWS 服務為基礎的限制](https://docs.aws.amazon.com//controltower/latest/userguide/region-stackset-limitations.html)。如需 AWS Control Tower 可用 AWS 區域 位置的完整清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增登陸區域版本選擇
**2024 年 8 月 15 日**
(AWS Control Tower 登陸區域不需要更新。)
如果您執行的是 AWS Control Tower 登陸區域 3.1 版及更高版本,則可以更新或修復目前版本上的登陸區域,也可以升級至您選擇的版本。先前,任何登陸區域更新或修復都需要升級至最新的登陸區域版本。
透過選擇登陸區域版本,您可以在評估環境的潛在變更時,更靈活地規劃版本升級。您不需要選擇修復偏離以保持合規、更新您的登陸區域組態,或升級至最新的登陸區域版本。如果您執行的是登陸區域 3.1 版或更新版本,您可以選擇在更新或重設登陸區域組態時保持目前版本,或升級至較新版本。
## 可用的描述性控制 API,擴展對區域和控制項的存取
**2024 年 8 月 6 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 新增了兩項新的 API 操作,可協助您以程式設計方式找到可用控制項的詳細資訊。此功能可讓您更輕鬆地透過自動化部署控制項。
+ [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) API 會傳回已啟用控制項的詳細資訊,包括目標識別符、控制項資訊摘要、目標區域清單,以及偏離狀態。
+ [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html) API 會傳回 AWS Control Tower 控制庫中所有可用控制項的分頁清單。
這些 APIs 可透過 [AWS Control Catalog 命名空間](https://docs.aws.amazon.com//controlcatalog/latest/userguide/what-is-controlcatalog.html)來存取。 AWS Control Catalog 是 AWS Control Tower 的一部分,其中包含可協助您管理其他服務的控制項 AWS ,而不只是 AWS Control Tower。此擴展的目錄會合併來自數個 AWS 服務的控制項,讓您可以根據一些常見的使用案例來檢視 AWS 控制項,例如:安全性、成本、耐用性和操作。如需詳細資訊,請參閱 [Control Catalog API 參考](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/Welcome.html)。
**擴充區域可用性**
從此版本開始,您可以將 AWS Control Tower 控管 AWS 區域 延伸至某些已啟用 (已) 的控制項無法使用的地方。此外,您現在可以在更多區域中啟用特定控制項,即使並非所有受管區域都支援該控制項。
先前,當 AWS Control Tower 未在所有已啟用的控制項和受管區域中提供一致性時,AWS Control Tower 會阻止您將管控擴展到 區域或啟用控制。在此版本中,您擁有更多彈性,以及更多責任來確保您的組態適用於所有已啟用的控制項和所有受管區域。[AWS Control Tower 控制項 APIs](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html) 和[控制項目錄 APIs](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/Welcome.html) 可協助您取得受已啟用控制項保護 AWS 之區域的相關資訊,以及可能部署其他控制項的區域。區域和控制資訊也可在 AWS Control Tower 主控台中取得。
## AWS Control Tower 在選擇加入區域中支援 AFT 和 CfCT
**2024 年 7 月 18 日**
(AWS Control Tower 登陸區域不需要更新。)
今天,AWS Control Tower 自訂架構 Account Factory for Terraform (AFT) 和 Customizations for AWS Control Tower (CfCT) 提供五個額外服務 AWS 區域:亞太區域 (海德拉巴、雅加達和大阪)、以色列 (特拉維夫) 和中東 (阿拉伯聯合大公國)。
Account Factory for Terraform (AFT) 會設定 Terraform 管道,協助您在 AWS Control Tower 中佈建和自訂帳戶。AWS Control Tower (CfCT) 的自訂功能可協助您使用 CloudFormation 範本和服務控制政策 (SCPs) 自訂 AWS Control Tower 登陸區域和帳戶。
若要進一步了解,請造訪 AWS Control Tower 使用者指南中的 Account Factory for Terraform and Customizations for AWS Control Tower 頁面。您也可以檢閱 AFT Github 頁面和 CfCT Github 頁面上的版本備註。所有 AWS 區域都支援 AFT 和 CfCT,但有一些例外狀況。如需詳細資訊,請參閱[區域限制](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html)。
## AWS Control Tower 新增 `ListLandingZoneOperations` API
**2024 年 6 月 26 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已新增 API,可讓您擷取最近套用至登陸區域的操作清單,以及目前進行中的操作。API 最多可以傳回登陸區域操作的歷史記錄及其識別符 90 天。如需使用範例,請參閱[檢視登陸區域操作的狀態](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html)。
如需 `ListLandingZoneOperations` API 的詳細資訊,請參閱《*AWS Control Tower API 參考*[https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html)》中的 。
## AWS Control Tower 最多支援 100 個並行控制操作
**2024 年 5 月 20 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援具有較高並行的多個控制操作。您可以同時從主控台或使用 APIs 跨多個組織單位 (OUs) 提交最多 100 個 AWS Control Tower 控制操作。最多可同時執行十 (10) 個操作,其他操作則會排入佇列。透過這種方式,您可以跨多個 設定更標準化的組態 AWS 帳戶,而不需要重複控制操作的操作負擔。
若要監控進行中和佇列控制操作的狀態,您可以導覽至 AWS Control Tower 主控台中的新**最近操作**頁面,也可以呼叫新的 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListControlOperations.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListControlOperations.html) API。
AWS Control Tower 程式庫包含超過 500 個控制項,對應至不同的控制目標、架構和服務。對於特定控制目標,例如**靜態加密資料**,您可以使用單一控制操作啟用多個控制項,以協助您實現目標。此功能有助於加速開發、更快速採用最佳實務控制,並減輕操作複雜性。
## AWS Control Tower 可在 AWS 加拿大西部 (卡加利) 使用
**2024 年 5 月 3 日**
(AWS Control Tower 登陸區域不需要更新。)
從今天開始,您可以在加拿大西部 (卡加利) 區域啟用 AWS Control Tower。如果您已部署 AWS Control Tower,並且想要將其控管功能擴展到此區域,您可以使用 AWS Control Tower [登陸區域 APIs](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html) 來執行此操作。或者,從主控台前往 AWS Control Tower 儀表板的設定****頁面,選取您的區域,然後更新您的登陸區域。
加拿大西部 (卡加利) 區域不支援 AWS Service Catalog。因此,AWS Control Tower 的某些功能不同。最值得注意的功能變更是 Account Factory 無法使用。如果您選擇加拿大西部 (卡加利) 做為您的主要區域,則更新帳戶、設定帳戶自動化以及任何其他涉及 Service Catalog 的程序,都會與其他 區域中的程序不同。
**佈建帳戶**
若要在加拿大西部 (卡加利) 區域建立和佈建新帳戶,建議您在 AWS Control Tower 外部建立帳戶,然後將其註冊到已註冊的 OU。如需詳細資訊,請參閱[註冊現有帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html)和[註冊帳戶的步驟](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html#enrollment-steps)。
Service Catalog APIs 不適用於加拿大西部 (卡加利) 區域。在 [AWS Control Tower by Service Catalog APIs中自動化帳戶佈建](https://docs.aws.amazon.com//controltower/latest/userguide/automated-provisioning-walkthrough.html)中顯示的範例指令碼無法運作。
由於缺少 AWS Control Tower 的其他基礎相依性,Account Factory Customizations (AFC)、Account Factory for Terraform (AFT) 和 Customizations for AWS Control Tower (CfCT) 不適用於加拿大西部 (卡加利)。如果您將控管延伸至加拿大西部 (卡加利) 區域,只要您的所在區域可使用 Service Catalog,您就可以繼續管理 AWS Control Tower 支援的所有區域中的 AFC 藍圖。
**控制項**
**AWS Security Hub CSPM 服務受管標準的主動控制和控制:AWS Control Tower** 不適用於加拿大西部 (卡加利) 區域。加拿大西部 (卡加利) `CT.CLOUDFORMATION.PR.1` 無法使用預防性控制,因為只有在啟用以勾點為基礎的主動控制時才需要預防性控制。無法使用以 為基礎的某些偵測性控制項 AWS Config 。如需詳細資訊,請參閱[控制限制](control-limitations.md)。
**身分提供者**
IAM Identity Center 不適用於加拿大西部 (卡加利)。最佳實務建議是在可使用 IAM Identity Center 的區域中設定登陸區域。或者,如果您在加拿大西部 (卡加利) 使用外部身分提供者,您可以選擇自行管理帳戶存取組態。
在加拿大西部 (卡加利) 區域無法使用 Service Catalog 不會影響 AWS Control Tower 支援的其他區域。這些差異僅適用於您的主要區域是加拿大西部 (卡加利)。
如需 AWS Control Tower 可用區域的完整清單,請參閱[AWS 區域表]( https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 支援自助式配額調整
**2024 年 4 月 25 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援透過 Service Quotas 主控台進行自助式配額調整。如需詳細資訊,請參閱[請求提高配額](request-an-increase.md)。
## AWS Control Tower 發佈*控制項參考指南*
**2024 年 4 月 21 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 發佈了*控制項參考指南*,這是一份新文件,您可以在其中找到 AWS Control Tower 環境特定控制項的詳細資訊。先前,此資料包含在 *AWS Control Tower 使用者指南*中。*控制項參考指南*涵蓋擴展格式的控制項。如需詳細資訊,請參閱 [AWS Control Tower 控制項參考指南](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html)。
## AWS Control Tower 會更新和重新命名兩個主動控制
**2024 年 3 月 26 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已重新命名兩個主動控制,以符合 Amazon OpenSearch Service 的更新。
+ [**【CT.OPENSEARCH.PR.8】** 需要 Elasticsearch Service 網域才能使用 TLSv1.2](https://docs.aws.amazon.com//controltower/latest/controlreference/opensearch-rules.html#ct-opensearch-pr-8-description)
+ [**【CT.OPENSEARCH.PR.16 】** 要求 Amazon OpenSearch Service 網域使用 TLSv1.2](https://docs.aws.amazon.com//controltower/latest/controlreference/opensearch-rules.html#ct-opensearch-pr-16-description)
我們更新了這兩個控制項的控制項名稱和成品,以符合 Amazon OpenSearch Service 的最新版本,[現在支援 Transport Layer Security (TLS) 1.3 版](https://aws.amazon.com/about-aws/whats-new/2024/01/amazon-opensearch-service-tls-1-3-perfect-forward-secrecy)的網域端點安全性傳輸安全選項。
為了新增對這些控制項的 TLSv1.3 支援,我們已更新控制項的成品和名稱,以反映控制項的意圖。他們現在會評估服務網域的最低 TLS 版本。若要在您的環境中進行此更新,您必須**停用**並**啟用**控制項以部署最新的成品。
此變更不會影響其他主動控制。我們建議您檢閱這些控制項,以確保它們符合您的控制目標。
如有問題或疑慮,請聯絡 [AWS Support](https://aws.amazon.com/support)。
## 已棄用的控制項不再可用
**2024 年 3 月 12 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已棄用一些控制項。這些控制項不再可用。
+ CT.ATHENA.PR.1
+ CT.CODEBUILD.PR.4
+ CT.AUTOSCALING.PR.3
+ SH.Athena.1
+ SH.Codebuild.5
+ SH.AutoScaling.4
+ SH.SNS.1
+ SH.SNS.2
## AWS Control Tower 支援在 中標記`EnabledControl`資源 CloudFormation
**2024 年 2 月 22 日**
(AWS Control Tower 登陸區域不需要更新。)
此 AWS Control Tower 版本會更新`EnabledControl`資源的行為,以更符合可設定的控制項,並改善透過自動化管理 AWS Control Tower 環境的能力。在此版本中,您可以透過 範本將標籤新增至可設定`EnabledControl`的資源 CloudFormation 。先前,您只能透過 AWS Control Tower 主控台和 APIs 新增標籤。
AWS Control Tower `GetEnabledControl`、 `EnableControl`和 `ListTagsforResource` API 操作會隨著此版本更新,因為它們依賴 `EnabledControl` 資源功能。
如需詳細資訊,請參閱*CloudFormation 《 使用者指南*》[中的在 AWS Control Tower 中標記`EnabledControl`資源](https://docs.aws.amazon.com/controltower/latest/controlreference/tagging.html)。 [https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/aws-resource-controltower-enabledcontrol.html](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/aws-resource-controltower-enabledcontrol.html)
## AWS Control Tower 支援具有基準的 OU 註冊和組態 APIs
**2024 年 2 月 14 日**
(AWS Control Tower 登陸區域不需要更新。)
這些 APIs 支援使用 `EnableBaseline`呼叫進行程式設計 OU 註冊。當您在 OU 上啟用基準時,OU 中的成員帳戶會註冊到 AWS Control Tower 管控。某些注意事項可能適用。例如,透過 AWS Control Tower 主控台的 OU 註冊可啟用選用控制項以及強制性控制項。呼叫 APIs 時,您可能需要完成額外的步驟,才能啟用選用控制項。
AWS Control Tower *基準*體現了 OU 和成員帳戶的 AWS Control Tower 控管最佳實務。例如,當您在 OU 上啟用基準時,OU 中的成員帳戶會收到定義的資源群組,包括 AWS CloudTrail、 AWS Config、IAM Identity Center 和必要的 AWS IAM 角色。
特定基準與特定 AWS Control Tower 登陸區域版本相容。當您變更登陸區域設定時,AWS Control Tower 可以將最新的相容基準套用至您的登陸區域。如需詳細資訊,請參閱[OU 基準和登陸區域版本的相容性](table-of-baselines.md)。
**此版本包含四個必要的 [基準類型](types-of-baselines.md)**
+ `AWSControlTowerBaseline`
+ `AuditBaseline`
+ `LogArchiveBaseline`
+ `IdentityCenterBaseline`
使用新的 APIs和定義的基準,您可以註冊 OUs並自動化 OU 佈建工作流程。APIs 也可以管理已在 AWS Control Tower 控管下的 OUs,因此您可以在登陸區域更新後重新註冊 OUs。APIs 包含 資源 CloudFormation `EnabledBaseline`的支援,可讓您使用基礎設施即程式碼 (IaC) 來管理 OUs。
**基準 APIs**
+ **EnableBaseline**、**UpdateEnabledBaseline**、**DisableBaseline**:對 OU 的基準採取動作。
+ **GetEnabledBaseline**、**ListEnabledBaselines**:探索已啟用基準的組態。
+ **GetBaselineOperation**:檢視特定基準操作的狀態。
+ **ResetEnabledBaseline**:修復已啟用基準之 OU 上的資源偏離 (包括巢狀 OUs和強制控制偏離)。也修復landing-zone-level區域拒絕控制的偏離
+ **GetBaseline**、**ListBaselines**:探索 AWS Control Tower 基準的內容。
若要進一步了解這些 APIs,請檢閱 AWS Control Tower 使用者指南中的[基準](https://docs.aws.amazon.com//controltower/latest/userguide/table-of-baselines.html),以及 [API 參考](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)。新的 APIs 可在提供 AWS Control Tower AWS 區域 的 中使用,但 GovCloud (US) 區域除外。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 AWS 區域 表格。
# 2023 年 1 月至 12 月
2023 年,AWS Control Tower 發佈了下列更新:
+ [轉換為新的 AWS Service Catalog 外部產品類型 (階段 3)](#phase-3-tos-external)
+ [AWS Control Tower 登陸區域 3.3 版](#lz-3-3)
+ [轉換為新的 AWS Service Catalog 外部產品類型 (階段 2)](#phase-2-tos-external)
+ [AWS Control Tower 宣布控制以協助數位主權](#digital-sovereignty)
+ [AWS Control Tower 登陸區域 APIs](#landing-zone-apis)
+ [AWS Control Tower 控制標記 APIs](#control-tagging-apis)
+ [AWS 亞太區域 (墨爾本) 提供 AWS Control Tower](#mel-region)
+ [轉換為新的 AWS Service Catalog 外部產品類型 (階段 1)](#transition-sc-tos-external)
+ [AWS Control Tower 新增新的控制 API](#new-control-api)
+ [AWS Control Tower 新增控制項](#q3-new-controls)
+ [AWS Control Tower 偵測受信任的存取偏離](#trust-access-drift)
+ [AWS Control Tower 提供四個額外的 AWS 區域](#four-regions)
+ [AWS 以色列 (特拉維夫) 提供 AWS Control Tower](#new-tlv-region)
+ [AWS Control Tower 新增了 28 個新的主動控制](#28-proactive-controls)
+ [AWS Control Tower 取代了兩個控制項](#deprecate-2controls)
+ [AWS Control Tower 登陸區域 3.2 版](#lz-3-2)
+ [AWS Control Tower 新增 IAM Identity Center email-to-ID 映射](#email-to-id)
+ [AWS Control Tower 新增更多 AWS Security Hub CSPM 控制項](#more-sh-controls)
+ [AWS Control Tower 發佈 AWS Security Hub CSPM 控制項的中繼資料](#publish-metadata)
+ [AWS Control Tower 新增 Terraform 的帳戶工廠自訂 (AFC)](#afc-terraform)
+ [AWS Control Tower 新增自我管理的 IAM 身分中心](#iam-self-manage)
+ [AWS Control Tower 新增混合控管備註](#mixed-governance-note)
+ [AWS Control Tower 新增了新的主動控制](#new-proactive-controls)
+ [AWS Control Tower 會更新 Amazon EC2 控制項](#updated-ec2-controls)
+ [AWS Control Tower 提供七種額外功能 AWS 區域](#seven-regions)
+ [AWS Control Tower 帳戶工廠自訂 (AFC) 和請求追蹤已全面推出](#account-customization-request-tracing-ga)
+ [AWS Control Tower 登陸區域 3.1 版](#lz-3-1)
+ [AWS Control Tower 主動控制已全面推出](#proactive-control-ga)
## 轉換為新的 AWS Service Catalog 外部產品類型 (階段 3)
**2023 年 12 月 14 日**
(AWS Control Tower 登陸區域不需要更新。)
在建立新的 時,AWS Control Tower 不再支援 *Terraform Open Source* 做為產品類型 (藍圖) AWS 帳戶。如需更新帳戶藍圖的詳細資訊和指示,請參閱[轉換為 AWS Service Catalog 外部產品類型](https://docs.aws.amazon.com//controltower/latest/userguide/service-catalog.html)。
如果您未更新帳戶藍圖以使用*外部*產品類型,您只能更新或終止使用 Terraform 開放原始碼藍圖佈建的帳戶。
## AWS Control Tower 登陸區域 3.3 版
**2023 年 12 月 14 日**
(AWS Control Tower 登陸區域需要更新至 3.3 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))。
**AWS Control Tower 稽核帳戶中 S3 儲存貯體政策的更新**
我們已修改 AWS Control Tower 部署在帳戶中的 Amazon S3 稽核儲存貯體政策,因此任何寫入許可都必須符合 `aws:SourceOrgID`條件。在此版本中,只有在請求來自您的組織或組織單位 (OU) 時, AWS 服務才能存取您的 資源。
您可以使用 `aws:SourceOrgID` 條件金鑰,並在 S3 儲存貯體政策的條件元素中將 值設定為您的**組織 ID**。此條件可確保 CloudTrail 只能代表您組織內的帳戶將日誌寫入 S3 儲存貯體;可防止組織外的 CloudTrail 日誌寫入 AWS Control Tower S3 儲存貯體。
我們進行了這項變更,以修復潛在的安全漏洞,而不會影響您現有工作負載的功能。若要檢視更新的政策,請參閱 [稽核帳戶中的 Amazon S3 儲存貯體政策](logging-s3-audit-bucket.md)。
如需新條件索引鍵的詳細資訊,請參閱 IAM 文件和名為「*使用可擴展控制項存取 資源 AWS 的服務*」的 IAM 部落格文章。
** AWS Config SNS 主題中的政策更新**
我們已將新`aws:SourceOrgID`條件金鑰新增至 AWS Config SNS https://topic.To 檢視更新政策的政策,請參閱 [AWS Config SNS 主題政策](https://docs.aws.amazon.com//controltower/latest/userguide/receive-notifications.html#config-sns-policy)。
**對登陸區域區域拒絕控制的更新**
+ 已移除 `discovery-marketplace:`。此動作由`aws-marketplace:*`豁免涵蓋。
+ 已新增 `quicksight:DescribeAccountSubscription`
**更新 CloudFormation 範本**
我們已更新名為 之堆疊的 CloudFormation 範本,`BASELINE-CLOUDTRAIL-MASTER`因此未使用 AWS KMS 加密時, 不會顯示偏離。
## 轉換為新的 AWS Service Catalog 外部產品類型 (階段 2)
**2023 年 12 月 7 日**
(AWS Control Tower 登陸區域不需要更新。)
HashiCorp 已更新其 Terraform 授權。因此,將*對 Terraform Open Source* 產品和佈建產品的支援 AWS Service Catalog 變更為新的產品類型,稱為*外部*。
若要避免中斷帳戶中的現有工作負載 AWS 和資源,請遵循 2023 年 12 月 14 日之前[轉換為 AWS Service Catalog 外部產品類型的](af-customization-page.md#service-catalog-external-product-type) AWS Control Tower 轉換步驟。
## AWS Control Tower 宣布控制以協助數位主權
**2023 年 11 月 27 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 宣布推出 65 項新 AWS受管控制項,協助您滿足數位主權需求。在此版本中,您可以在 AWS Control Tower 主控台的新*數位主權群組*下探索這些控制項。您可以使用這些控制項來協助防止動作,並偵測有關*資料駐留、**精細存取限制*、*加密*和*彈性*功能的資源變更。這些控制項旨在讓您更輕鬆地大規模處理需求。如需數位主權控制的詳細資訊,請參閱[增強數位主權保護的控制項](https://docs.aws.amazon.com//controltower/latest/controlreference/digital-sovereignty-controls.html)。
例如,您可以選擇啟用有助於強制執行加密和彈性策略的控制項,例如**需要 an AWS AppSync API 快取才能啟用傳輸中加密**,或**需要 AWS 跨多個可用區域部署 Network Firewall**。您也可以自訂 AWS Control Tower 區域拒絕控制,以套用最符合您獨特業務需求的區域限制。
此版本帶來增強良好的 AWS Control Tower 區域拒絕功能。您可以在 OU 層級套用新的參數化區域拒絕控制,以提高控管的精細程度,同時在登陸區域層級維持額外的區域控管。此可自訂的區域拒絕控制可協助您套用最符合您獨特業務需求的區域限制。如需新的可設定區域拒絕控制的詳細資訊,請參閱[套用至 OU 的區域拒絕控制](https://docs.aws.amazon.com//controltower/latest/controlreference/ou-region-deny.html)。
作為新區域拒絕增強功能的新工具,此版本包含新的 API`UpdateEnabledControl`,可讓您將啟用的控制項重設為預設設定。此 API 在您需要快速解決偏離的使用案例中特別有用,或以程式設計方式保證控制項未處於偏離狀態。如需新 API 的詳細資訊,請參閱 [AWS Control Tower API 參考](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)
**新的主動控制**
+ CT.APIGATEWAY.PR.6:要求 Amazon API Gateway REST 網域使用指定最低 TLS 通訊協定版本 TLSv1.2 的安全政策
+ CT.APPSYNC.PR.2:要求以私有可見性設定 AWS AppSync GraphQL API
+ CT.APPSYNC.PR.3:要求使用 API 金鑰來驗證 AWS AppSync GraphQL API
+ CT.APPSYNC.PR.4:需要 AWS AppSync GraphQL API 快取才能啟用傳輸中加密。
+ CT.APPSYNC.PR.5:需要 AWS AppSync GraphQL API 快取才能啟用靜態加密。
+ CT.AUTOSCALING.PR.9:需要透過 Amazon EC2 Auto Scaling 啟動組態設定的 Amazon EBS 磁碟區,才能加密靜態資料 Auto Scaling
+ CT.AUTOSCALING.PR.10:需要 Amazon EC2 Auto Scaling 群組在覆寫啟動範本時僅使用 AWS Nitro 執行個體類型
+ CT.AUTOSCALING.PR.11:在覆寫啟動範本時,只需要支援執行個體之間網路流量加密的 AWS Nitro 執行個體類型,即可新增至 Amazon EC2 Auto Scaling 群組
+ CT.DAX.PR.3:要求 DynamoDB Accelerator 叢集使用 Transport Layer Security (TLS) 加密傳輸中的資料
+ CT.DMS.PR.2:需要 AWS Database Migration Service (DMS) 端點來加密來源和目標端點的連線
+ CT.EC2.PR.15:從`AWS::EC2::LaunchTemplate`資源類型建立時,需要 Amazon EC2 執行個體使用 AWS Nitro 執行個體類型
+ CT.EC2.PR.16:使用 AWS `AWS::EC2::Instance` 資源類型建立時,需要 Amazon EC2 執行個體使用 Nitro 執行個體類型
+ CT.EC2.PR.17:需要 Amazon EC2 專用主機才能使用 AWS Nitro 執行個體類型
+ CT.EC2.PR.18:要求 Amazon EC2 機群僅使用 AWS Nitro 執行個體類型覆寫這些啟動範本
+ CT.EC2.PR.19:要求 Amazon EC2 執行個體使用 nitro 執行個體類型,以便在使用 `AWS::EC2::Instance` 資源類型建立時支援執行個體之間的傳輸中加密
+ CT.EC2.PR.20:要求 Amazon EC2 機群僅使用支援執行個體之間傳輸中加密的 AWS Nitro 執行個體類型來覆寫這些啟動範本
+ CT.ELASTICACHE.PR.8:需要較新 Redis 版本的 Amazon ElastiCache 複寫群組,才能啟用 RBAC 身分驗證
+ CT.MQ.PR.1:要求 Amazon MQ ActiveMQ 代理程式使用作用中/待命部署模式以獲得高可用性
+ CT.MQ.PR.2:需要 Amazon MQ Rabbit MQ 代理程式使用多可用區域叢集模式以獲得高可用性
+ CT.MSK.PR.1:需要 Amazon Managed Streaming for Apache Kafka (MSK) 叢集,才能強制執行叢集代理程式節點之間的傳輸中加密
+ CT.MSK.PR.2:需要將 Amazon Managed Streaming for Apache Kafka (MSK) 叢集設定為已停用 PublicAccess
+ CT.NETWORK-FIREWALL.PR.5:需要跨多個可用區域部署 AWS Network Firewall 防火牆
+ CT.RDS.PR.26:需要 Amazon RDS 資料庫代理才能要求 Transport Layer Security (TLS) 連線
+ CT.RDS.PR.27:要求 Amazon RDS 資料庫叢集參數群組針對支援的引擎類型要求 Transport Layer Security (TLS) 連線
+ CT.RDS.PR.28:要求 Amazon RDS 資料庫參數群組針對支援的引擎類型要求 Transport Layer Security (TLS) 連線
+ CT.RDS.PR.29:需要未將 Amazon RDS 叢集設定為可透過 'PubliclyAccessible' 屬性公開存取
+ CT.RDS.PR.30:要求 Amazon RDS 資料庫執行個體已將靜態加密設定為使用您為支援的引擎類型指定的 KMS 金鑰
+ CT.S3.PR.12:要求 Amazon S3 存取點具有封鎖公開存取 (BPA) 組態,且所有選項都設為 true
**新的預防性控制**
+ CT.APPSYNC.PV.1 需要以私有可見性設定 AWS AppSync GraphQL API
+ CT.EC2.PV.1 需要從加密的 EC2 磁碟區建立 Amazon EBS 快照
+ CT.EC2.PV.2 需要將連接的 Amazon EBS 磁碟區設定為加密靜態資料
+ CT.EC2.PV.3 要求 Amazon EBS 快照無法公開還原
+ CT.EC2.PV.4 要求不呼叫 Amazon EBS APIs
+ CT.EC2.PV.5 不允許使用 Amazon EC2 VM 匯入和匯出
+ CT.EC2.PV.6 不允許使用已棄用的 Amazon EC2 RequestSpotFleet 和 RequestSpotInstances API 動作
+ CT.KMS.PV.1 需要 AWS KMS 金鑰政策,才能擁有將 AWS KMS 授予建立限制為 AWS 服務的陳述式
+ CT.KMS.PV.2 要求具有用於加密之 RSA 金鑰材料 AWS KMS 的非對稱金鑰的金鑰長度不為 2048 位元
+ CT.KMS.PV.3 要求在啟用略過政策鎖定安全檢查的情況下設定 AWS KMS 金鑰
+ CT.KMS.PV.4 要求使用源自 AWS CloudHSM 的金鑰材料來設定 AWS KMS 客戶受管金鑰 (CMK)
+ CT.KMS.PV.5 要求使用匯入的金鑰材料設定 AWS KMS 客戶受管金鑰 (CMK)
+ CT.KMS.PV.6 要求使用源自外部金鑰存放區 (XKS) 的金鑰材料來設定 AWS KMS 客戶受管金鑰 (CMK)
+ CT.LAMBDA.PV.1 需要 AWS Lambda 函數 URL 才能使用 AWS IAM 型身分驗證
+ CT.LAMBDA.PV.2 需要將 AWS Lambda 函數 URL 設定為僅供 中的主體存取 AWS 帳戶
## AWS Control Tower 登陸區域 APIs
**2023 年 11 月 26 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在提供 APIs,可協助您以程式設計方式管理登陸區域。這些 APIs 可讓您建立、更新和重設登陸區域,以及擷取登陸區域組態和操作的相關資訊。如需詳細資訊,請參閱[登陸區域 API 範例](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html)。
登陸區域 APIs 可在 AWS Control Tower 提供的所有 AWS 區域 中使用,但 GovCloud (US) 區域除外。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 控制標記 APIs
**2023 年 11 月 10 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在提供 APIs,可協助您以程式設計方式標記已啟用的控制項。這些 APIs 可讓您新增、移除和列出已啟用控制項的標籤。如需詳細資訊,請參閱[標記 AWS Control Tower 資源](https://docs.aws.amazon.com//controltower/latest/userguide/tagging-resources.html)。
除了 GovCloud (US) 區域外,控制項標記 APIs 可在 AWS Control Tower AWS 區域 提供的所有 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS 亞太區域 (墨爾本) 提供 AWS Control Tower
**2023 年 11 月 3 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 可在亞太區域 (墨爾本) 使用。如需 AWS Control Tower 可用區域的完整清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## 轉換為新的 AWS Service Catalog 外部產品類型 (階段 1)
**2023 年 10 月 31 日**
(AWS Control Tower 登陸區域不需要更新。)
HashiCorp 已更新其 Terraform 授權。因此,將*對 Terraform Open Source* 產品和佈建產品的支援 AWS Service Catalog 變更為新的產品類型,稱為*外部*。
為避免中斷您帳戶中的現有工作負載 AWS 和資源,請遵循 2023 年 12 月 14 日之前[轉移至 AWS Service Catalog 外部產品類型的](af-customization-page.md#service-catalog-external-product-type) AWS Control Tower 轉換步驟。
## AWS Control Tower 新增新的控制 API
**2023 年 10 月 27 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在提供新的 API `UpdateEnabledControl`,可讓您更新已啟用的控制項。此 API 在您需要快速解決偏離的使用案例中特別有用,或以程式設計方式保證控制項未處於偏離狀態。如需新 API 的詳細資訊,請參閱 [AWS Control Tower API 參考](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)。
除了 GovCloud (US) 區域外,`UpdateEnabledControl`API 可在 AWS Control Tower AWS 區域 提供的所有 中使用。如需 AWS Control Tower 可用位置的 AWS 區域 清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增控制項
**2023 年 10 月 20 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已將 22 個新控制項新增至 AWS Control Tower 控制項程式庫。這些控制項可協助您強制執行 AWS 資源的最佳實務。如需新控制項的詳細資訊,請參閱[控制類別](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
新的控制項可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 偵測受信任的存取偏離
**2023 年 10 月 13 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在可偵測並報告受信任存取設定的偏離。信任的存取設定可讓 AWS Control Tower 代表您與其他 AWS 服務互動。如果在 AWS Control Tower 之外變更這些設定,AWS Control Tower 會偵測偏離,並在 AWS Control Tower 主控台中回報。如需受信任存取偏離的詳細資訊,請參閱[控管偏離的類型](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html)。
信任的存取偏離偵測可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 提供四個額外的 AWS 區域
**2023 年 9 月 29 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 提供四個額外服務 AWS 區域:亞太區域 (海德拉巴)、亞太區域 (雅加達)、歐洲 (西班牙) 和歐洲 (蘇黎世)。如需 AWS Control Tower 可用區域的完整清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS 以色列 (特拉維夫) 提供 AWS Control Tower
**2023 年 8 月 1 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 可在以色列 (特拉維夫) 使用。如需 AWS Control Tower 可用區域的完整清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增了 28 個新的主動控制
**2023 年 7 月 27 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已將 28 個新的主動控制新增至 AWS Control Tower 控制庫。這些控制項可協助您強制執行 AWS 資源的最佳實務。如需新控制項的詳細資訊,請參閱[控制項類別](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
新的控制項可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 取代了兩個控制項
**2023 年 7 月 27 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已棄用兩個控制項: CT.CLOUDFORMATION.PR.2和 CT.CLOUDFORMATION.PR.3。這些控制項不再可在 AWS Control Tower 控制項程式庫中使用。如需已棄用控制項的詳細資訊,請參閱[控制項類別](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
已棄用的控制項不再可用於任何 AWS 區域。
## AWS Control Tower 登陸區域 3.2 版
**2023 年 6 月 16 日**
(AWS Control Tower 登陸區域需要更新至 3.2 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))。
AWS Control Tower 登陸區域 3.2 版將屬於 AWS Security Hub CSPM **服務受管標準:AWS Control Tower** 的控制項帶入一般可用性。它引入了在 AWS Control Tower 主控台中檢視屬於此標準一部分之控制項偏離狀態的功能。
此更新包含新的服務連結角色 (SLR),稱為 **AWSServiceRoleForAWSControlTower**。此角色透過在每個成員帳戶中建立名為 AWSControlTowerManagedRule 的 EventBridge 受管規則來協助 AWS Control Tower。 **AWSControlTowerManagedRule** 此受管規則會從 使用 AWS Control Tower 收集 AWS Security Hub CSPM **尋找**事件,以判斷控制偏離。
此規則是 AWS Control Tower 建立的第一個受管規則。規則不是由堆疊部署,而是直接從 EventBridge APIs 部署。您可以在 EventBridge 主控台中或透過 EventBridge APIs來檢視規則。如果已填入 `managed-by` 欄位,則會顯示 AWS Control Tower 服務主體。
先前,AWS Control Tower 擔任 **AWSControlTowerExecution** 角色,以在成員帳戶中執行操作。這個新角色和規則更符合在多帳戶 AWS 環境中執行操作時允許最低權限的最佳實務原則。新角色提供明確允許的縮小範圍許可:在成員帳戶中建立受管規則、維護受管規則、透過 SNS 發佈安全通知,以及驗證偏離。如需詳細資訊,請參閱[AWSServiceRoleForAWSControlTower](access-control-managing-permissions.md#AWSServiceRoleForAWSControlTower)。
登陸區域 3.2 更新也包含管理帳戶中的新 StackSet 資源,`BP_BASELINE_SERVICE_LINKED_ROLE`最初會部署服務連結角色。
報告 Security Hub CSPM 控制偏離時 (在登陸區域 3.2 和更新版本中),AWS Control Tower 會收到 Security Hub CSPM 的每日狀態更新。雖然控制在每個受管區域中都是作用中的,但 AWS Control Tower 只會將 AWS Security Hub CSPM **尋找**事件傳送至 AWS Control Tower 主區域。如需詳細資訊,請參閱 [Security Hub 控制偏離報告](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html#sh-drift)。
**區域拒絕控制項的更新**
此登陸區域版本也包含區域拒絕控制的更新。
**已新增全域服務和 APIs**
+ AWS 帳單與成本管理 (`billing:*`)
+ AWS CloudTrail (`cloudtrail:LookupEvents`) 以允許成員帳戶中全域事件的可見性。
+ AWS 合併帳單 (`consolidatedbilling:*`)
+ AWS 管理主控台行動應用程式 (`consoleapp:*`)
+ AWS 免費方案 (`freetier:*`)
+ AWS Invoicing (`invoicing:*`)
+ AWS IQ (`iq:*`)
+ AWS 使用者通知 (`notifications:*`)
+ AWS 使用者通知聯絡人 (`notifications-contacts:*`)
+ Amazon Payments (`payments:*`)
+ AWS 稅務設定 (`tax:*`)
**已移除全域服務和 APIs**
+ 已移除,`s3:GetAccountPublic`因為它不是有效的動作。
+ 已移除,`s3:PutAccountPublic`因為它不是有效的動作。
## AWS Control Tower 新增 IAM Identity Center email-to-ID 映射
**2023 年 7 月 13 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援 IAM Identity Center email-to-ID 映射。此功能可讓您將電子郵件地址映射至 IAM Identity Center 使用者 IDs,讓您更輕鬆地管理使用者存取您的 AWS Control Tower 環境。如需email-to-ID映射的詳細資訊,請參閱[與 IAM Identity Center 整合](https://docs.aws.amazon.com//controltower/latest/userguide/sso-integration.html)。
Email-to-ID映射可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增更多 AWS Security Hub CSPM 控制項
**2023 年 6 月 29 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已將更多 AWS Security Hub CSPM 控制項新增至 AWS Control Tower 控制項程式庫。這些控制項可協助您強制執行 AWS 資源的最佳實務。如需新控制項的詳細資訊,請參閱[控制項類別](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
新的控制項可在 AWS Control Tower 可用的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 發佈 AWS Security Hub CSPM 控制項的中繼資料
**2023 年 6 月 22 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在會發佈 AWS Security Hub CSPM 控制項的中繼資料。此中繼資料包含控制項的相關資訊,例如控制項 ID、控制項標題和控制項描述。如需中繼資料的詳細資訊,請參閱[控制中繼資料](https://docs.aws.amazon.com//controltower/latest/userguide/control-metadata.html)。
控制中繼資料可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增 Terraform 的帳戶工廠自訂 (AFC)
**2023 年 6 月 15 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援 Terraform 的帳戶工廠自訂 (AFC)。此功能可讓您使用 Terraform 來自訂 AWS Control Tower 帳戶。如需適用於 Terraform 的 AFC 的詳細資訊,請參閱[適用於 Terraform 的帳戶工廠自訂](https://docs.aws.amazon.com//controltower/latest/userguide/afc-terraform.html)。
AWS Control Tower 提供的所有 都提供適用於 Terraform 的 AWS 區域 AFC。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增自我管理的 IAM 身分中心
**2023 年 6 月 8 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援自我管理的 IAM 身分中心。此功能可讓您將自己的身分提供者與 AWS Control Tower 搭配使用。如需自我管理 IAM 身分中心的詳細資訊,請參閱 [IAM 身分中心](https://docs.aws.amazon.com//controltower/latest/userguide/iam-identity-center.html)。
自我管理的 IAM 身分中心可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增混合控管備註
**2023 年 6 月 1 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在包含混合控管的注意事項。此備註說明 AWS Control Tower 如何與其他 AWS 服務搭配使用,為您的 AWS 資源提供控管。如需混合控管的詳細資訊,請參閱[混合控管](https://docs.aws.amazon.com//controltower/latest/userguide/mixed-governance.html)。
混合控管備註可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 新增了新的主動控制
**2023 年 5 月 25 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已將新的主動控制新增至 AWS Control Tower 控制庫。這些控制項可協助您強制執行 AWS 資源的最佳實務。如需新控制項的詳細資訊,請參閱[控制項類別](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
新的控制項可在 AWS Control Tower 可用的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 會更新 Amazon EC2 控制項
**2023 年 5 月 18 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 已更新 AWS Control Tower 控制庫中的 Amazon EC2 控制。這些更新可改善 AWS Control Tower 環境的安全性和可靠性。如需更新控制項的詳細資訊,請參閱[控制項類別](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)。
更新後的控制項可在 AWS Control Tower 可用的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 提供七種額外功能 AWS 區域
**2023 年 5 月 11 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 提供七種額外服務 AWS 區域:亞太區域 (大阪)、加拿大 (中部)、歐洲 (米蘭)、歐洲 (斯德哥爾摩)、中東 (巴林)、中東 (阿拉伯聯合大公國) 和南美洲 (聖保羅)。如需 AWS Control Tower 可用區域的完整清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 帳戶工廠自訂 (AFC) 和請求追蹤已全面推出
**2023 年 4 月 27 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 帳戶工廠自訂 (AFC) 和請求追蹤現已正式推出。AFC 可讓您自訂 AWS Control Tower 帳戶,而請求追蹤可讓您追蹤 AWS Control Tower 請求的狀態。如需 AFC 和請求追蹤的詳細資訊,請參閱[帳戶工廠自訂](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-customization.html)和[請求追蹤](https://docs.aws.amazon.com//controltower/latest/userguide/request-tracing.html)。
AFC 和請求追蹤可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
## AWS Control Tower 登陸區域 3.1 版
2023 年 2 月 9 日
(AWS Control Tower 登陸區域需要更新至 3.1 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))
AWS Control Tower 登陸區域 3.1 版包含下列更新:
+ 在此版本中,AWS Control Tower 會停用存取記錄*儲存貯體的不必要存取記錄*,這是 Amazon S3 儲存貯體,其中存取日誌存放在日誌封存帳戶中,同時繼續啟用 S3 儲存貯體的伺服器存取記錄。此版本也包含區域拒絕控制項的更新,允許對 全域服務執行其他動作,例如 支援 Plans 和 AWS Artifact。
+ 停用 AWS Control Tower 存取記錄儲存貯體的伺服器存取記錄,會導致 Security Hub CSPM 為日誌封存帳戶的*存取記錄儲存貯體*建立調查結果,因為 AWS Security Hub CSPM 規則,[所以應該啟用 【S3.9】 S3 儲存貯體伺服器存取記錄。](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-9)為了與 Security Hub CSPM 保持一致,我們建議您隱藏此特定調查結果,如此規則的 Security Hub CSPM 描述中所述。如需詳細資訊,請參閱[隱藏問題清單的相關資訊](https://docs.aws.amazon.com//securityhub/latest/userguide/finding-workflow-status.html)。
+ Log Archive 帳戶中 (一般) 記錄儲存貯體的存取記錄在 3.1 版中保持不變。為了符合最佳實務,該儲存貯體的存取事件會記錄為*存取記錄儲存貯*體中的日誌項目。如需存取記錄的詳細資訊,請參閱 Amazon S3 文件中的[使用伺服器存取記錄來記錄請求](https://docs.aws.amazon.com//AmazonS3/latest/userguide/ServerLogs.html)。
+ 我們已更新區域拒絕控制。此更新允許更多全域服務執行動作。如需此 SCP 的詳細資訊,請參閱[AWS 根據請求拒絕存取 AWS 區域](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)和[增強資料駐留保護的控制項](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html)。
**已新增全域服務:**
+ AWS 帳戶管理 (`account:*`)
+ AWS 啟用 (`activate:*`)
+ AWS Artifact (`artifact:*`)
+ AWS Billing Conductor (`billingconductor:*`)
+ AWS Compute Optimizer (`compute-optimizer:*`)
+ AWS Data Pipeline (`datapipeline:GetAccountLimits`)
+ AWS Device Farm(`devicefarm:*`)
+ AWS Marketplace (`discovery-marketplace:*`)
+ Amazon ECR (`ecr-public:*`)
+ AWS License Manager (`license-manager:ListReceivedLicenses`)
+ AWS Lightsail (`lightsail:Get*`)
+ AWS 資源總管 (`resource-explorer-2:*`)
+ Amazon S3 (`s3:CreateMultiRegionAccessPoint`、`s3:GetBucketPolicyStatus`、`s3:PutMultiRegionAccessPointPolicy`)
+ AWS Savings Plans (`savingsplans:*`)
+ IAM Identity Center (`sso:*`)
+ AWS Support App (`supportapp:*`)
+ 支援 計劃 (`supportplans:*`)
+ AWS 永續性 (`sustainability:*`)
+ AWS Resource Groups Tagging API (`tag:GetResources`)
+ AWS Marketplace Vendor Insights (`vendor-insights:ListEntitledSecurityProfiles`)
## AWS Control Tower 主動控制已全面推出
**2023 年 4 月 13 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 主動控制現已全面推出。主動式控制可協助您強制執行 AWS 資源的最佳實務。如需主動控制的詳細資訊,請參閱[主動控制](https://docs.aws.amazon.com//controltower/latest/userguide/proactive-controls.html)。
主動控制可在 AWS Control Tower 提供的所有 AWS 區域 中使用。如需 AWS Control Tower 可用 AWS 區域 位置的清單,請參閱 [AWS 區域 表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。
# 2022 年 1 月至 12 月
在 2022 年,AWS Control Tower 發佈了下列更新:
+ [並行帳戶操作](#concurrent-account-operations)
+ [帳戶工廠自訂 (AFC)](#af-customization)
+ [全方位控制可協助 AWS 資源佈建和管理](#proactive-controls-notes)
+ [所有 AWS Config 規則都可檢視的合規狀態](#config-compliance-status)
+ [用於控制項和新 CloudFormation 資源的 API](#control-control-api)
+ [CfCT 支援堆疊集刪除](#stack-set-deletion-cfct)
+ [自訂日誌保留](#log-retention)
+ [角色偏離修復可用](#role-drift-repair)
+ [AWS Control Tower 登陸區域 3.0 版](#version-3.0)
+ [組織頁面結合 OUs和帳戶的檢視](#ou-hierarchy-page)
+ [簡化帳戶建立和註冊](#simple-create-and-enroll)
+ [AFT 支援共用 AWS Control Tower 帳戶的自動自訂](#aft-supports-shared-accounts)
+ [所有選用控制項的並行操作](#concurrent-preventive-controls)
+ [現有的安全性和記錄帳戶](#existing-security-and-logging-accounts)
+ [AWS Control Tower 登陸區域 2.9 版](#version-2.9)
+ [AWS Control Tower 登陸區域 2.8 版](#version-2.8)
## 並行帳戶操作
**2022 年 12 月 16 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援帳戶工廠中的並行動作。您一次最多可以建立、更新或註冊五 (5) 個帳戶。連續提交最多五個動作,並檢視每個請求的完成狀態,同時您的帳戶在背景完成建置。例如,在更新另一個帳戶之前,或重新註冊整個組織單位 (OU) 之前,您不再需要等待每個程序完成。
## 帳戶工廠自訂 (AFC)
**2022 年 11 月 28 日**
(AWS Control Tower 登陸區域不需要更新。)
帳戶原廠自訂可讓您從 AWS Control Tower 主控台自訂新的和現有的帳戶。這些新的自訂功能可讓您靈活地定義帳戶藍圖,這些藍圖是包含在專業 Service Catalog 產品中的 CloudFormation 範本。藍圖佈建完全自訂的資源和組態。您也可以選擇使用由 AWS 合作夥伴建置和管理的預先定義藍圖,以協助您針對特定使用案例自訂帳戶。
先前,AWS Control Tower 帳戶工廠不支援在 主控台中自訂帳戶。透過此帳戶工廠的更新,您可以預先定義帳戶需求,並將其實作為明確定義工作流程的一部分。您可以套用藍圖來建立新帳戶、將其他 AWS 帳戶註冊到 AWS Control Tower,以及更新現有的 AWS Control Tower 帳戶。
當您在帳戶工廠中佈建、註冊或更新帳戶時,您將選取要部署的藍圖。藍圖中指定的資源會在您的帳戶中佈建。當您的帳戶完成建置時,所有自訂組態都可以立即使用。
若要開始使用自訂帳戶,您可以在 Service Catalog 產品中定義預期使用案例的資源。您也可以從 AWS 入門程式庫中選取合作夥伴管理的解決方案。如需詳細資訊,請參閱[使用帳戶工廠自訂 (AFC) 自訂帳戶](af-customization-page.md)。
## 全方位控制可協助 AWS 資源佈建和管理
**2022 年 11 月 28 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援全面的控制管理,包括透過 CloudFormation 勾點實作的全新選用主動控制。這些控制項稱為主動,因為它們會在部署資源之前檢查您的資源,以判斷新資源是否符合您環境中啟用的控制項。
超過 130 種新的主動控制可協助您達成 AWS Control Tower 環境的特定政策目標、符合業界標準合規架構的要求,以及管理超過 20 種其他 AWS 服務的 AWS Control Tower 互動。
AWS Control Tower 控制程式庫會根據相關聯的 AWS 服務和資源來分類這些控制。如需詳細資訊,請參閱[主動控制](https://docs.aws.amazon.com//controltower/latest/controlreference/proactive-controls.html)。
在此版本中,AWS Control Tower 也 AWS Security Hub CSPM透過支援 AWS 基礎安全最佳實務 (FSBP) 標準的新 Security Hub CSPM **服務受管標準整合:AWS Control Tower**。您可以在主控台中檢視超過 160 個 Security Hub CSPM 控制項以及 AWS Control Tower 控制項,而且您可以取得 AWS Control Tower 環境的 Security Hub CSPM 安全分數。如需詳細資訊,請參閱 [Security Hub 控制項](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html)。
## 所有 AWS Config 規則都可檢視的合規狀態
**2022 年 11 月 18 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在會顯示部署到向 AWS Control Tower 註冊之組織單位的所有 AWS Config 規則的合規狀態。您可以在 AWS Control Tower 中檢視影響您帳戶的所有 AWS Config 規則的合規狀態、已註冊或未註冊,而無需在 AWS Control Tower 主控台外部導覽。客戶可以選擇在 AWS Control Tower 中設定稱為偵測控制項的 Config 規則,或透過 AWS Config 服務直接設定規則。 AWS Config 隨即顯示 所部署的規則,以及 AWS Control Tower 所部署的規則。
先前,透過 AWS Config 服務部署的 AWS Config 規則在 AWS Control Tower 主控台中看不到。客戶必須導覽至 AWS Config 服務,才能識別不合規的 AWS Config 規則。現在,您可以在 AWS Control Tower 主控台中識別任何不合規的 AWS Config 規則。若要檢視所有 Config 規則的合規狀態,請導覽至 AWS Control Tower 主控台中的**帳戶詳細資訊**頁面。您將看到清單,其中顯示 AWS Control Tower 管理的控制項合規狀態,以及部署在 AWS Control Tower 外部的 Config 規則。
## 用於控制項和新 CloudFormation 資源的 API
**2022 年 9 月 1 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援透過一組 API 呼叫對控制項進行程式設計管理,也稱為*護欄*。新 CloudFormation 資源支援 控制項的 API 功能。如需詳細資訊,請參閱[自動化 AWS Control Tower 中的任務](automating-tasks.md)和[使用 建立 AWS Control Tower 資源 AWS CloudFormation](creating-resources-with-cloudformation.md)。
這些 APIs 可讓您在 AWS Control Tower 程式庫中啟用、停用和檢視控制項的應用程式狀態。APIs 包含 的支援 CloudFormation,因此您可以將 AWS 資源管理為infrastructure-as-code(IaC)。AWS Control Tower 提供選用的預防性和偵測性控制,可表達您對整個組織單位 (OU) 和 OU 內每個 AWS 帳戶的政策意圖。當您建立新帳戶或變更現有帳戶時,這些規則仍然有效。
**此版本中包含APIs**
+ **EnableControl** – 此 API 呼叫會啟用控制項。它會啟動非同步操作,在指定的組織單位及其包含的帳戶上建立 AWS 資源。
+ **DisableControl** – 此 API 呼叫會關閉控制項。它會啟動非同步操作,刪除 AWS 指定組織單位及其包含的帳戶上的資源。
+ **GetControlOperation** – 傳回特定 **EnableControl** 或 **DisableControl** 操作的狀態。
+ **ListEnabledControls** – 列出 AWS Control Tower 在指定組織單位及其包含的帳戶上啟用的控制項。
若要檢視選用控制項的控制項名稱清單,請參閱《*AWS Control Tower 使用者指南*》中的 [ APIs 和控制項的資源識別符](https://docs.aws.amazon.com//controltower/latest/userguide/control-identifiers.html)。
## CfCT 支援堆疊集刪除
**2022 年 8 月 26 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower (CfCT) 的自訂現在支援堆疊集刪除,方法是在 `manifest.yaml` 檔案中設定 參數。如需詳細資訊,請參閱[刪除堆疊集](cfct-delete-stack.md)。
**重要**
當您最初將 的值設定為 `enable_stack_set_deletion` `true`時,下次叫用 CfCT 時,**所有**以字首 開頭`CustomControlTower-`、具有關聯索引鍵標籤 `Key:AWS_Solutions, Value: CustomControlTowerStackSet`且未在資訊清單檔案中宣告的資源都會暫存以供刪除。
## 自訂日誌保留
**2022 年 8 月 15 日**
(AWS Control Tower 登陸區域需要更新。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))
AWS Control Tower 現在能夠為存放 AWS Control Tower CloudTrail 日誌的 Amazon S3 儲存貯體自訂保留政策。您可以自訂 Amazon S3 日誌保留政策,以天數或年為單位遞增,最長可達 15 年。
如果您選擇不自訂日誌保留,則標準帳戶記錄的預設設定為 1 年,存取記錄的預設設定為 10 年。
當您更新或修復登陸區域時,此功能可透過 AWS Control Tower 提供給現有客戶,並透過 AWS Control Tower 設定提供給新客戶使用
## 角色偏離修復可用
**2022 年 8 月 11 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在支援角色偏離的修復。您可以還原必要的角色,而無需完全修復您的登陸區域。如果需要這種類型的偏離修復,主控台錯誤頁面會提供還原角色的步驟,讓您的登陸區域再次可用。
## AWS Control Tower 登陸區域 3.0 版
**2022 年 7 月 29 日**
(AWS Control Tower 登陸區域需要更新至 3.0 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))
AWS Control Tower 登陸區域 3.0 版包含下列更新:
+ 選擇組織層級 AWS CloudTrail 追蹤的選項,或選擇退出 AWS Control Tower 管理的 CloudTrail 追蹤。
+ 兩個新的偵測性控制,用於判斷 AWS CloudTrail 是否在帳戶中記錄活動。
+ 僅彙總您主要區域中全域資源 AWS Config 相關資訊的選項。
+ 區域拒絕控制的更新。
+ 受管政策 **AWSControlTowerServiceRolePolicy** 的更新。
+ 我們不再在每個註冊`aws-controltower/CloudTrailLogs`帳戶中建立 IAM 角色`aws-controltower-CloudWatchLogsRole`和 CloudWatch 日誌群組。先前,我們在每個帳戶中為其帳戶追蹤建立這些項目。使用組織追蹤,我們只會在管理帳戶中建立一個。
下列各節提供每個新功能的詳細資訊。
**AWS Control Tower 中的組織層級 CloudTrail 追蹤**
使用登陸區域 3.0 版,AWS Control Tower 現在支援組織層級 AWS CloudTrail 追蹤。
當您將 AWS Control Tower 登陸區域更新至 3.0 版時,您可以選擇組織層級 AWS CloudTrail 追蹤做為您的記錄偏好設定,或選擇退出由 AWS Control Tower 管理的 CloudTrail 追蹤。當您更新至 3.0 版時,AWS Control Tower 會在 * 24 小時等待期間後刪除已註冊帳戶的現有帳戶層級追蹤*。AWS Control Tower 不會刪除未註冊帳戶的帳戶層級追蹤。在極少數情況下,您的登陸區域更新未成功,但失敗發生在 AWS Control Tower 已建立組織層級追蹤之後,您可能需要支付組織層級和帳戶層級追蹤的重複費用,直到更新操作能夠成功完成為止。
從登陸區域 3.0 開始,AWS Control Tower 不再支援 AWS 管理的帳戶層級追蹤。反之,AWS Control Tower 會根據您的選擇,建立處於作用中或非作用中的組織層級追蹤。
**注意**
更新至 3.0 版或更新版本後,您無法選擇繼續使用 AWS Control Tower 管理的帳戶層級 CloudTrail 追蹤。
您的彙總帳戶日誌不會遺失記錄資料,因為日誌會保留在存放它們的現有 Amazon S3 儲存貯體中。只會刪除線索,不會刪除現有的日誌。如果您選擇新增組織層級追蹤的選項,AWS Control Tower 會開啟您 Amazon S3 儲存貯體中新資料夾的新路徑,並繼續將記錄資訊傳送至該位置。如果您選擇退出 AWS Control Tower 管理的線索,您現有的日誌會保留在儲存貯體中,保持不變。
**日誌儲存的路徑命名慣例**
+ 帳戶追蹤日誌的儲存路徑如下: `/org id/AWSLogs/… `
+ 組織追蹤日誌的儲存路徑如下: `/org id/AWSLogs/org id/… `
AWS Control Tower 為您的組織層級 CloudTrail 追蹤建立的路徑與手動建立的組織層級追蹤的預設路徑不同,其格式如下:
+ `/AWSLogs/org id/… `
如需 CloudTrail 路徑命名的詳細資訊,請參閱[尋找您的 CloudTrail 日誌檔案](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-find-log-files.html )。
**提示**
如果您打算建立和管理自己的帳戶層級線索,建議您先建立新的線索,然後再完成 AWS Control Tower 登陸區域 3.0 版的更新,以立即開始記錄。
您可以隨時選擇建立新的帳戶層級或組織層級 CloudTrail 追蹤,並自行管理它們。在 3.0 版或更新版本的任何登陸區域更新期間,可以選擇由 AWS Control Tower 管理的組織層級 CloudTrail 追蹤。每當您更新登陸區域時,您可以選擇*加入*和*退出*組織層級的線索。
如果您的日誌是由第三方服務管理,請務必為您的服務提供新的路徑名稱。
**注意**
對於 3.0 版或更新版本的登陸區域,AWS Control Tower 不支援帳戶層級 AWS CloudTrail 追蹤。您可以隨時建立和維護自己的帳戶層級追蹤,也可以選擇加入由 AWS Control Tower 管理的組織層級追蹤。
**僅記錄主要區域中 AWS Config 的資源**
在登陸區域 3.0 版中,AWS Control Tower 已更新 的基準組態, AWS Config 以便只記錄主要區域中的全域資源。更新至 3.0 版之後,僅在您的主區域中啟用全域資源的資源記錄。
此組態視為最佳實務。它由 AWS Security Hub CSPM 和 建議 AWS Config,並透過減少建立、修改或刪除全域資源時建立的組態項目數量來節省成本。先前,每次建立、更新或刪除全域資源時,無論是由客戶還是由 AWS 服務,都會為每個受管區域中的每個項目建立組態項目。
**記錄的 AWS CloudTrail 兩個新偵測控制項**
作為組織層級 AWS CloudTrail 追蹤變更的一部分,AWS Control Tower 正在引入兩個新的偵測性控制項,以檢查 CloudTrail 是否已啟用。第一個控制項具有**強制性**指導,並在 3.0 和更新版本的設定或登陸區域更新期間,在安全 OU 上啟用。第二個控制項具有**強烈建議**的指導,並且可選擇性地套用到安全 OUs 以外的任何 OU,該安全 OU 已強制執行強制性控制保護。
**強制性控制:**[偵測安全組織單位下的共用帳戶是否已啟用 AWS CloudTrail 或 CloudTrail Lake](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#ensure-cloudtrail-enabled-mandatory)
**強烈建議的控制:**[偵測帳戶是否已啟用 AWS CloudTrail 或 CloudTrail Lake](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#ensure-cloudtrail-enabled-recommended)
如需新控制項的詳細資訊,請參閱 [AWS Control Tower 控制項程式庫](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html)。
**區域拒絕控制的更新**
我們更新了區域拒絕控制中的 **NotAction** 清單,以包含一些其他服務的動作,如下所示:
```
"chatbot:*",
"s3:GetAccountPublic",
"s3:DeleteMultiRegionAccessPoint",
"s3:DescribeMultiRegionAccessPointOperation",
"s3:GetMultiRegionAccessPoint",
"s3:GetMultiRegionAccessPointPolicy",
"s3:GetMultiRegionAccessPointPolicyStatus",
"s3:ListMultiRegionAccessPoints",
"s3:GetStorageLensConfiguration",
"s3:GetStorageLensDashboard",
"s3:ListStorageLensConfigurations"
"s3:GetAccountPublicAccessBlock",
"s3:PutAccountPublic",
"s3:PutAccountPublicAccessBlock",
```
### 影片演練
此影片 (3:07) 說明如何將現有的 AWS Control Tower 登陸區域更新為第 3 版。若要獲得更佳的觀賞效果,請選取影片右下角的圖示,將影片放大至全螢幕。並提供字幕。
[](http://www.youtube.com/watch?v=zf-dJ6_joTw)
## 組織頁面結合 OUs和帳戶的檢視
**2022 年 7 月 18 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 中的新**組織**頁面會顯示所有組織單位 (OUs) 和帳戶的階層 (樹) 檢視。它結合了來自先前存在**OUs** 和**帳戶**頁面的資訊。
在新頁面上,您可以看到父 OUs 與其巢狀 OUs 和帳戶之間的關係,您可以對資源分組採取動作。您可以設定頁面檢視。例如,您可以展開或摺疊階層檢視、篩選檢視以僅查看帳戶或 OUs、選擇僅檢視已註冊帳戶和已註冊OUs,或者您可以檢視相關資源的群組。更容易確保整個組織正確更新。
## 簡化帳戶建立和註冊
**2022 年 6 月 30 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在提供建立和註冊帳戶的簡化工作流程。您可以在單一工作流程中建立新帳戶或註冊現有帳戶,而無需導覽至 Service Catalog 主控台。如需詳細資訊,請參閱[從 AWS Control Tower 主控台註冊現有帳戶](quick-account-provisioning.md)。
## AFT 支援共用 AWS Control Tower 帳戶的自動自訂
**2022 年 5 月 27 日**
(AWS Control Tower 登陸區域不需要更新)
Account Factory for Terraform (AFT) 現在能以程式設計方式自訂和更新由 AWS Control Tower 管理的任何帳戶,包括管理帳戶、稽核帳戶和日誌封存帳戶,以及您註冊的帳戶。您可以集中帳戶自訂和更新管理,同時保護帳戶組態的安全性,因為您限制了執行工作的角色。
現有的 **AWSAFTExecution** 角色現在會在所有帳戶中部署自訂。您可以使用邊界來設定 IAM 許可,以根據您的業務和安全性需求限制 **AWSAFTExecution** 角色的存取。您也可以以程式設計方式委派該角色中已核准的自訂許可給信任的使用者。根據最佳實務,建議您將許可限制為部署所需自訂所需的許可。
AFT 現在會建立新的 **AWSAFTService** 角色,在所有受管帳戶中部署 AFT 資源,包括共用帳戶和管理帳戶。先前由 **AWSAFTExecution** 角色部署的資源。
AWS Control Tower 共用和管理帳戶不是透過帳戶工廠佈建,因此它們沒有對應的佈建產品 AWS Service Catalog。因此,您無法更新 Service Catalog 中的共用和管理帳戶。
## 所有選用控制項的並行操作
**2022 年 5 月 18 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在支援預防性控制以及偵測性控制的並行操作。
使用此新功能,現在可同時套用或移除任何選用控制項,從而改善所有選用控制項的易用性和效能。您可以啟用多個選用控制項,而無需等待個別控制操作完成。唯一的限制時間是 AWS Control Tower 正在登陸區域設定過程中,或將控管延伸至新組織時。
**預防性控制支援的 功能:**
+ 在相同的 OU 上套用和移除不同的預防性控制項。
+ 在不同的 OUs 上同時套用和移除不同的預防性控制。
+ 在多個 OUs 上同時套用和移除相同的預防性控制。
+ 您可以同時套用和移除任何預防性和偵測性控制項。
您可以在所有發行的 AWS Control Tower 版本中體驗這些控制並行改進。
當您將預防性控制套用至巢狀 OUs 時,預防性控制會影響目標 OUs 下的所有帳戶和 OU,即使這些帳戶和 OUs 未向 AWS Control Tower 註冊。預防性控制是使用屬於其中的服務控制政策 SCPs) 實作 AWS Organizations。Detective 控制項是使用 AWS Config 規則實作。當您建立新帳戶或變更現有帳戶時,護欄仍然有效,AWS Control Tower 會提供每個帳戶如何符合已啟用政策的摘要報告。如需可用控制項的完整清單,請參閱 [AWS Control Tower 控制項程式庫](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html)。
## 現有的安全性和記錄帳戶
**2022 年 5 月 16 日**
(在初始設定期間可用。)
AWS Control Tower 現在可讓您在初始登陸區域設定程序期間,將現有 AWS 帳戶指定為 AWS Control Tower 安全或記錄帳戶。此選項不需要 AWS Control Tower 建立新的共用帳戶。根據預設,安全帳戶稱為**稽核**帳戶,是限制帳戶,可讓安全與合規團隊存取登陸區域中的所有帳戶。根據預設,記錄帳戶稱為 **Log Archive** 帳戶,可做為儲存庫運作。它會儲存來自登陸區域中所有帳戶的 API 活動和資源組態日誌。
透過將您現有的安全性和記錄帳戶,您可以更輕鬆地將 AWS Control Tower 管控擴展到現有的組織,或從替代登陸區域移至 AWS Control Tower。在初始登陸區域設定期間,會顯示讓您使用現有帳戶的選項。它包括在設定程序期間的檢查,以確保成功部署。AWS Control Tower 會在您現有的帳戶中實作必要的角色和控制項。它不會移除或合併這些帳戶中存在的任何現有資源或資料。
限制:如果您計劃將現有 AWS 帳戶作為稽核和日誌封存帳戶帶入 AWS Control Tower,而且這些帳戶有現有 AWS Config 資源,您必須先刪除現有 AWS Config 資源,才能將帳戶註冊到 AWS Control Tower。
## AWS Control Tower 登陸區域 2.9 版
**2022 年 4 月 22 日**
(AWS Control Tower 登陸區域需要更新至 2.9 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))
AWS Control Tower 登陸區域 2.9 版會將通知轉寄站 Lambda 更新為使用 Python 3.9 版執行時間。此更新說明 Python 3.6 版的棄用,預計於 2022 年 7 月推出。如需最新資訊,請參閱 [Python 棄用頁面](https://docs.aws.amazon.com//lambda/latest/dg/runtime-support-policy.html)。
## AWS Control Tower 登陸區域 2.8 版
**2022 年 2 月 10 日**
(AWS Control Tower 登陸區域需要更新至 2.8 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))
AWS Control Tower 登陸區域 2.8 版新增的功能符合[AWS 基礎安全最佳實務](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp.html)的最新更新。
**在此版本中:**
+ 存取日誌已針對日誌封存帳戶中的存取日誌儲存貯體設定,以追蹤對現有 S3 存取日誌儲存貯體的存取。
+ 新增生命週期政策的支援。現有 S3 存取日誌儲存貯體的存取日誌設定為預設保留時間為 10 年。
+ 此外,此版本會將 AWS Control Tower 更新為在所有受管帳戶 (不包括 管理帳戶) 中使用 提供的服務 AWS 連結角色 (SLR) AWS Config,以便您可以設定和管理 Config 規則以符合 AWS Config 最佳實務。未升級的客戶將繼續使用其現有角色。
+ 此版本可簡化加密 AWS Config 資料的 AWS Control Tower KMS 組態程序,並改善 CloudTrail 中的相關狀態訊息。
+ 版本包含區域拒絕控制的更新,以允許 中的`route53-application-recovery`功能`us-west-2`。
+ 更新:2022 年 2 月 15 日,我們移除了 Lambda 函數的 AWS 無效字母佇列。
**其他詳細資訊:**
+ 如果您停用登陸區域,AWS Control Tower 不會移除 AWS Config 服務連結角色。
+ 如果您取消佈建 Account Factory 帳戶,AWS Control Tower 不會移除 AWS Config 服務連結角色。
若要將登陸區域更新為 2.8,請導覽至**登陸區域設定**頁面,選取 2.8 版本,然後選擇**更新**。更新登陸區域之後,您必須更新由 AWS Control Tower 管理的所有帳戶,如 中所述[AWS Control Tower 中的組態更新管理](configuration-updates.md)。
# 2021 年 1 月至 12 月
2021 年,AWS Control Tower 發佈了下列更新:
+ [區域拒絕功能](#region-deny-control)
+ [資料駐留功能](#data-residency-feature)
+ [AWS Control Tower 推出 Terraform 帳戶佈建和自訂](#aft-available)
+ [可用的新生命週期事件](#precheck-organizational-unit-event)
+ [AWS Control Tower 啟用巢狀 OUs](#nested-ou)
+ [Detective 控制並行](#detective-control-concurrency)
+ [兩個可用的新區域](#paris-and-sao-paulo)
+ [區域取消選取](#region-deselect)
+ [AWS Control Tower 可與 AWS Key Management Systems 搭配使用](#kms-keys)
+ [控制項已重新命名,功能不變](#control-renaming)
+ [AWS Control Tower 每天掃描 SCPs 以檢查漂移](#daily-scp-scans)
+ [OUs 和帳戶的自訂名稱](#rename-core-ous-and-accounts)
+ [AWS Control Tower 登陸區域 2.7 版](#version-2.7)
+ [三個可用的新 AWS 區域](#three-new-regions)
+ [僅管理選取的區域](#region-select)
+ [AWS Control Tower 現在可將管控擴展到 AWS 組織中現有的 OUs](#extended-governance)
+ [AWS Control Tower 提供大量帳戶更新](#bulk-update)
## 區域拒絕功能
**2021 年 11 月 30 日**
(AWS Control Tower 登陸區域不需要更新。)
AWS Control Tower 現在提供區域拒絕功能,協助您限制存取 AWS Control Tower 環境中已註冊帳戶的 AWS 服務和操作。區域拒絕功能補充了 AWS Control Tower 中現有的區域選擇和區域取消選擇功能。這些功能共同協助您解決合規和法規問題,同時平衡與擴展到其他區域相關的成本。
例如,德國 AWS 的客戶可以拒絕存取法蘭克福區域以外區域中 AWS 的服務。您可以在 AWS Control Tower 設定程序期間或在**登陸區域設定**頁面中選取受限區域。當您更新 AWS Control Tower 登陸區域版本時,可以使用區域拒絕功能。選取 AWS 服務不受區域拒絕功能限制。若要進一步了解,請參閱[設定區域拒絕控制](https://docs.aws.amazon.com//controltower/latest/userguide/region-deny.html)。
## 資料駐留功能
**2021 年 11 月 30 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在提供專門建置的控制項,協助確保您上傳至 AWS 服務的任何客戶資料僅位於您指定的 AWS 區域。您可以選取存放和處理客戶資料的 AWS 區域。如需 AWS Control Tower 可用 AWS 區域的完整清單,請參閱[AWS 區域表](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services/)。
對於精細控制,您可以套用其他控制,例如**不允許 Amazon Virtual Private Network (VPN) 連線**,或**不允許 Amazon VPC 執行個體的網際網路存取**。您可以在 AWS Control Tower 主控台中檢視控制項的合規狀態。如需可用控制項的完整清單,請參閱 [AWS Control Tower 控制項程式庫](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html)。
## AWS Control Tower 推出 Terraform 帳戶佈建和自訂
**2021 年 11 月 29 日**
(AWS Control Tower 登陸區域的選用更新)
您現在可以使用 Terraform 透過 AWS Control Tower 搭配 *AWS Control Tower Account Factory for Terraform (AFT) 來佈建和更新自訂帳戶*。
AFT 提供單一 Terraform 基礎設施即程式碼 (IaC) 管道,可佈建由 AWS Control Tower 管理的帳戶。在您將帳戶提供給最終使用者之前,佈建期間的自訂有助於滿足您的業務和安全性政策。
AFT 自動化帳戶建立管道會持續監控,直到帳戶佈建完成,然後觸發其他 Terraform 模組,以任何必要的自訂來增強帳戶。作為自訂程序的另一個部分,您可以設定管道來安裝自己的自訂 Terraform 模組,也可以選擇新增任何 AFT 功能選項,這些選項由 AWS 為常見自訂提供。
按照 AWS Control Tower *使用者指南、 和下載 Terraform 執行個體的 AFT 中提供的步驟,開始使用適用於 Terraform 的 AWS Control Tower* 帳戶工廠。 [部署適用於 Terraform (AFT) 的 AWS Control Tower 帳戶工廠](aft-getting-started.md)AFT 支援 Terraform Cloud、Terraform Enterprise 和 Terraform Open Source 分佈。
## 可用的新生命週期事件
**2021 年 11 月 18 日**
(AWS Control Tower 登陸區域不需要更新)
`PrecheckOrganizationalUnit` 事件會記錄是否有任何資源阻止**擴展控管**任務成功,包括巢狀 OUs 中的資源。如需詳細資訊,請參閱[`PrecheckOrganizationalUnit`](lifecycle-events.md#precheck-organizational-unit)。
## AWS Control Tower 啟用巢狀 OUs
**2021 年 11 月 16 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在可讓您將巢狀 OUs 包含在登陸區域中。
AWS Control Tower 支援巢狀組織單位 (OUs),可讓您將帳戶組織成多個階層層級,並以階層方式強制執行預防性控制。您可以註冊包含巢狀 OUs 的 OU、在父 OUs 下建立和註冊 OUs,並在任何已註冊的 OU 上啟用控制項,無論深度為何。為了支援此功能,主控台會顯示受管帳戶和 OUs 的數量。
使用巢狀 OUs,您可以將 AWS Control Tower OUs 與 AWS 多帳戶策略保持一致,而且您可以透過在父 OUs 層級強制執行控制項,以減少在多個 OU 上啟用控制項所需的時間。
**關鍵考量**
1. 您可以向 AWS Control Tower 註冊現有的多層級 OUs,一次一個 OU,從最上層 OU 開始,然後向下處理樹狀結構。如需詳細資訊,請參閱[從平面 OU 結構擴展到巢狀 OU 結構](nested-ous.md#flat-to-nested)。
1. 直接在已註冊 OU 下的帳戶會自動註冊。可以透過註冊其直接父系 OU 來進一步註冊樹狀目錄的帳戶。
1. 預防性控制 SCPs) 會自動繼承至階層;套用至父系的 SCPs 會繼承所有巢狀 OUs。
1. Detective 控制項 (AWS Config 規則) 不會自動繼承。
1. 每個 OU 都會報告對偵測性控制的合規性。
1. OU 上的 SCP 偏離會影響其下的所有帳戶和 OUs。
1. 您無法在安全 OUs (核心 OU) 下建立新的巢狀 OU。
## Detective 控制並行
**2021 年 11 月 5 日**
(AWS Control Tower 登陸區域的選用更新)
AWS Control Tower 偵測控制現在支援偵測控制的並行操作,可提高易用性和效能。您可以啟用多個偵測性控制,而無需等待個別控制操作完成。
**支援的功能:**
+ 在相同的 OU 上啟用不同的偵測性控制 (例如,**偵測是否啟用根使用者的 MFA**,以及**偵測是否允許公開寫入存取 Amazon S3 儲存貯體**)。
+ 同時對不同的 OUs 啟用不同的偵測性控制。
+ 已改善護欄錯誤訊息,為支援的控制並行操作提供額外的指引。
**此版本不支援:**
+ 不支援同時在多個 OUs 上啟用相同的偵測控制。
+ 不支援*預防性*控制並行。
您可以在所有版本的 AWS Control Tower 中體驗偵測性控制並行改進。建議目前不在 2.7 版上的客戶執行登陸區域更新,以利用其他功能,例如區域選擇和取消選擇,這些功能可在最新版本中使用。
## 兩個可用的新區域
**2021 年 7 月 29 日**
(AWS Control Tower 登陸區域需要更新)
AWS Control Tower 現已在兩個其他 AWS 區域提供:南美洲 (聖保羅) 和歐洲 (巴黎)。此更新將 AWS Control Tower 可用性擴展至 15 AWS 個區域。
如果您是初次使用 AWS Control Tower,您可以立即在任何支援的區域中啟動它。在啟動期間,您可以選取您希望 AWS Control Tower 在其中建置和管理多帳戶環境的區域。
如果您已有 AWS Control Tower 環境,而且想要在一或多個支援的區域中擴展或移除 AWS Control Tower 控管功能,請前往 AWS Control Tower 儀表板中的**登陸區域設定**頁面,然後選取區域。更新登陸區域之後,您必須[更新由 AWS Control Tower 管理的所有帳戶](https://docs.aws.amazon.com//controltower/latest/userguide/configuration-updates.html#deploying-to-new-region)。
## 區域取消選取
**2021 年 7 月 29 日**
(AWS Control Tower 登陸區域的選用更新)
AWS Control Tower 區域取消選取可增強您管理 AWS Control Tower 資源地理足跡的能力。您可以取消選取您不再希望 AWS Control Tower 管理的區域。此功能可讓您解決合規和法規問題,同時平衡與擴展到其他區域相關的成本。
當您更新 AWS Control Tower 登陸區域版本時,可以使用區域取消選取。
當您使用 Account Factory 建立新帳戶或註冊預先存在的成員帳戶,或選取**擴展控管**以註冊預先存在組織單位的帳戶時,AWS Control Tower 會在帳戶中的所選區域中部署其控管功能,包括集中式記錄、監控和控制。選擇取消選取區域並從該區域移除 AWS Control Tower 控管會移除該控管功能,但不會阻礙使用者將 AWS 資源或工作負載部署到這些區域。
## AWS Control Tower 可與 AWS Key Management Systems 搭配使用
**2021 年 7 月 28 日**
(AWS Control Tower 登陸區域的選用更新)
AWS Control Tower 可讓您選擇使用 AWS Key Management Service (AWS KMS) 金鑰。金鑰由您提供和管理,以保護 AWS Control Tower 部署的服務 AWS CloudTrail AWS Config,包括 和相關聯的 Amazon S3 資料。 AWS KMS 加密是 AWS Control Tower 預設使用的 SSE-S3 加密的增強加密層級。
將 AWS KMS 支援整合至 AWS Control Tower 與**AWS 基礎安全最佳實務保持一致**,該最佳實務建議為您的敏感日誌檔案增加一層安全性。您應該使用 AWS KMS 受管金鑰 (SSE-KMS) 進行靜態加密。當您設定新的登陸區域或更新現有的 AWS Control Tower 登陸區域時,可使用 AWS KMS 加密支援。
若要設定此功能,您可以在初始登陸區域設定期間選取 **KMS 金鑰組態**。您可以選擇現有的 KMS 金鑰,也可以選取按鈕,將您導向 AWS KMS 主控台以建立新的金鑰。您也可以靈活地從預設加密變更為 SSE-KMS,或變更為不同的 SSE-KMS 金鑰。
對於現有的 AWS Control Tower 登陸區域,您可以執行更新以開始使用 AWS KMS 金鑰。
## 控制項已重新命名,功能不變
**2021 年 7 月 26 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 正在修訂特定控制項名稱和描述,以更好地反映控制項的政策意圖。修訂的名稱和描述可協助您更直覺地了解 控制體現您帳戶政策的方式。例如,我們將部分偵測性控制的名稱從「不允許」變更為「偵測」,因為偵測性控制本身不會停止特定動作,只會偵測政策違規,並透過儀表板提供提醒。
控制功能、指引和實作保持不變。只有控制項名稱和描述已修訂。
## AWS Control Tower 每天掃描 SCPs 以檢查漂移
**2021 年 5 月 11 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在會執行受管 SCPs 的每日自動化掃描,以確認對應的控制項已正確套用,且尚未漂移。如果掃描發現偏離,您會收到通知。AWS Control Tower 只會為每個偏離問題傳送一個通知,因此如果您的登陸區域已經處於偏離狀態,除非找到新的偏離項目,否則您不會收到其他通知。
## OUs 和帳戶的自訂名稱
**2021 年 4 月 16 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在可讓您自訂登陸區域命名。您可以保留 AWS Control Tower 為組織單位 (OUs) 和核心帳戶建議的名稱,也可以在初始登陸區域設定程序期間修改這些名稱。
AWS Control Tower 為 OUs 和核心帳戶提供的預設名稱符合 AWS 多帳戶最佳實務指引。 不過,如果您的公司有特定的命名政策,或者您已擁有具有相同建議名稱的現有 OU 或帳戶,則新的 OU 和帳戶命名功能可讓您靈活地解決這些限制。
與設定期間的工作流程變更不同,先前稱為核心 OU 的 OU 現在稱為安全 OU,而先前稱為自訂 OU 的 OU 現在稱為沙盒 OU。我們進行了這項變更,以改善與命名整體 AWS 最佳實務指引的一致性。
新客戶將看到這些新的 OU 名稱。現有客戶將繼續看到這些 OUs 的原始名稱。當我們將文件更新為新名稱時,您可能會在 OU 命名中遇到一些不一致。
若要從 AWS 管理主控台開始使用 AWS Control Tower,請前往 AWS Control Tower 主控台,然後選取右上角**的設定登陸區域**。如需詳細資訊,請參閱如何規劃 AWS Control Tower 登陸區域。
## AWS Control Tower 登陸區域 2.7 版
**2021 年 4 月 8 日**
(AWS Control Tower 登陸區域需要更新至 2.7 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))
使用 AWS Control Tower 2.7 版,AWS Control Tower 推出了四個新的強制性預防性日誌封存控制項,僅對 AWS Control Tower 資源實作政策。我們已將四個現有 Log Archive 控制項的指引從強制性調整為選擇性,因為它們為 AWS Control Tower 外部的資源設定政策。此控制變更和擴展可讓您將 AWS Control Tower 內資源的 Log Archive 控管與 AWS Control Tower 外部資源的控管分開。
四個已變更的控制項可以與新的強制性控制項搭配使用,為更廣泛的 AWS 日誌封存集提供控管。為了環境一致性,現有的 AWS Control Tower 環境會自動啟用這四個變更的控制項;不過,這些選擇性控制項現在可以停用。新的 AWS Control Tower 環境必須啟用所有選擇性控制。**將加密新增至 AWS Control Tower 未部署的 Amazon S3 儲存貯體之前,現有的環境必須停用先前的強制性控制。**
**新的強制性控制項:**
+ 不允許在日誌存檔中變更 AWS Control Tower 建立的 S3 儲存貯體的加密組態
+ 不允許變更日誌存檔中 AWS Control Tower 建立的 S3 儲存貯體的日誌組態
+ 不允許變更日誌存檔中 AWS Control Tower 建立的 S3 儲存貯體的儲存貯體政策
+ 不允許在日誌存檔中變更 AWS Control Tower 建立的 S3 儲存貯體的生命週期組態
**指引從強制性變更為選擇性:**
+ 不允許變更所有 Amazon S3 儲存貯體的加密組態 【先前:為日誌存檔啟用靜態加密】
+ 不允許變更所有 Amazon S3 儲存貯體的日誌組態 【先前:啟用日誌封存的存取日誌】
+ 不允許變更所有 Amazon S3 儲存貯體的儲存貯體政策 【先前:不允許變更日誌存檔的政策】
+ 不允許變更所有 Amazon S3 儲存貯體的生命週期組態 【先前:設定日誌存檔的保留政策】
AWS Control Tower 2.7 版包含對 AWS Control Tower 登陸區域藍圖的變更,這可能會導致您升級至 2.7 之後與舊版不相容。
+ 特別是,AWS Control Tower 2.7 版會在 AWS Control Tower 部署的 S3 儲存貯體上`BlockPublicAccess`自動啟用 。如果您的工作負載需要跨帳戶存取,您可以關閉此預設。如需`BlockPublicaccess`啟用 時會發生哪些情況的詳細資訊,請參閱[封鎖對 Amazon S3 儲存體的公開存取](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-control-block-public-access.html)。
+ AWS Control Tower 2.7 版包含 HTTPS 的需求。傳送至 AWS Control Tower 部署之 S3 儲存貯體的所有請求都必須使用安全通訊端層 (SSL)。僅允許 HTTPS 請求傳遞。如果您使用 HTTP (不含 SSL) 做為端點來傳送請求,此變更會為您提供存取遭拒的錯誤,這可能會破壞您的工作流程。**此變更無法在 2.7 更新至您的登陸區域後還原。**
*建議您將請求變更為使用 TLS 而非 HTTP。*
## 三個可用的新 AWS 區域
**2021 年 4 月 8 日**
(AWS Control Tower 登陸區域需要更新)
AWS Control Tower 可在其他三個 AWS 區域使用:亞太區域 (東京) 區域、亞太區域 (首爾) 區域和亞太區域 (孟買) 區域。需要更新 2.7 版的登陸區域,才能將管控擴展到這些區域。
當您執行 2.7 版的更新時,您的登陸區域不會自動擴展到這些區域,您必須在區域資料表中檢視和選取它們以進行包含。
## 僅管理選取的區域
**2021 年 2 月 19 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 區域選擇可讓您更妥善地管理 AWS Control Tower 資源的地理足跡。若要擴展託管 AWS 資源或工作負載的區域數量,基於合規、法規、成本或其他原因,您現在可以選取要管理的其他區域。
當您設定新的登陸區域或更新 AWS Control Tower 登陸區域版本時,即可選擇區域。當您使用 Account Factory 建立新帳戶或註冊預先存在的成員帳戶,或當您使用**擴展控管**在預先存在的組織單位中註冊帳戶時,AWS Control Tower 會在帳戶中的所選區域中部署集中式記錄、監控和控制的控管功能。如需選取區域的詳細資訊,請參閱 [設定您的 AWS Control Tower 區域](region-how.md#deploying-to-new-region)。
## AWS Control Tower 現在可將管控擴展到 AWS 組織中現有的 OUs
**2021 年 1 月 28 日**
(AWS Control Tower 登陸區域不需要更新)
從 AWS Control Tower 主控台將控管延伸至現有的組織單位 (OUs) (不在 AWS Control Tower 中的單位)。透過此功能,您可以在 AWS Control Tower 控管下提供最上層的 OUs 和包含的帳戶。如需將控管延伸至整個 OU 的資訊,請參閱 [向 AWS Control Tower 註冊現有的組織單位](importing-existing.md)。
當您註冊 OU 時,AWS Control Tower 會執行一系列檢查,以確保在 OU 內成功延伸控管和註冊帳戶。如需 OU 初始註冊相關常見問題的詳細資訊,請參閱 [註冊或重新註冊期間失敗的常見原因](common-eg-failures.md)。
您也可以造訪 AWS Control Tower [產品網頁](https://aws.amazon.com/controltower/)或前往 YouTube 觀看此影片,了解 [AWS Control Tower 的入門 AWS Organizations](https://www.youtube.com/watch?v=CwRy0t8nfgM)。
## AWS Control Tower 提供大量帳戶更新
**2021 年 1 月 28 日**
(AWS Control Tower 登陸區域不需要更新)
使用大量更新功能,您現在可以從 AWS Control Tower 儀表板,一鍵更新最多包含 300 個帳戶的已註冊 AWS Organizations 組織單位 (OU) 中的所有帳戶。當您更新 AWS Control Tower 登陸區域,並且還必須更新已註冊的帳戶,使其與目前的登陸區域版本保持一致時,這特別有用。
當您更新 AWS Control Tower 登陸區域以擴展至新區域,或您想要重新註冊 OU 以確保該 OU 中的所有帳戶都套用了最新的控制項時,此功能也可協助您將帳戶保持在最新狀態。大量帳戶更新不需要一次更新一個帳戶,或使用外部指令碼在多個帳戶上執行更新。
如需更新登陸區域的資訊,請參閱 [更新您的登陸區域](update-controltower.md)。
如需註冊或重新註冊 OU 的資訊,請參閱 [向 AWS Control Tower 註冊現有的組織單位](importing-existing.md)。
# 2020 年 1 月至 12 月
2020 年,AWS Control Tower 發佈了下列更新:
+ [AWS Control Tower 主控台現在連結至外部 Config AWS 規則](#config-aggregator-12-2020)
+ [AWS Control Tower 現已在其他區域提供](#region-expansion-11-19-20)
+ [護欄更新](#control-update)
+ [AWS Control Tower 主控台會顯示有關 OUs和帳戶的詳細資訊](#OU-account-detail)
+ [使用 AWS Control Tower 在 中設定新的多帳戶 AWS 環境 AWS Organizations](#multiaccount-environments)
+ [AWS Control Tower 解決方案的自訂](#Customizations)
+ [AWS Control Tower 2.3 版的一般可用性](#Available_in_Sydney)
+ [AWS Control Tower 中的單一步驟帳戶佈建](#Single-step-provisioning)
+ [AWS Control Tower 停用工具](#Decommissioning-tool)
+ [AWS Control Tower 生命週期事件通知](#Lifecycle-event-notifications)
## AWS Control Tower 主控台現在連結至外部 Config AWS 規則
**2020 年 12 月 29 日**
(AWS Control Tower 登陸區域需要更新至 2.6 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))
AWS Control Tower 現在包含組織層級彙總工具,可協助偵測外部 AWS Config 規則。這可讓您在 AWS Control Tower 主控台中查看外部建立的 AWS Config 規則,以及 AWS Control Tower 建立的 AWS Config 規則。彙整工具可讓 AWS Control Tower 偵測外部規則並提供 Config AWS 主控台的連結,而不需要 AWS Control Tower 存取未受管帳戶。
使用此功能,您現在可以將偵測性控制項的合併檢視套用至您的帳戶,以便您可以追蹤合規性,並判斷您是否需要帳戶的其他控制項。如需詳細資訊,請參閱 [AWS Control Tower 如何彙總未受管 OUs和帳戶中的 AWS Config 規則](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how.html#config-role-for-organizations)。
## AWS Control Tower 現已在其他區域提供
**2020 年 11 月 18 日**
(AWS Control Tower 登陸區域需要更新至 2.5 版。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md))
AWS Control Tower 現已在 5 個其他 AWS 區域提供:
+ 亞太地區 (新加坡) 區域
+ 歐洲 (法蘭克福) 區域
+ 歐洲 (倫敦) 區域
+ 歐洲 (斯德哥爾摩) 區域
+ 加拿大 (中部) 區域
新增這些 5 AWS Regions 是針對 AWS Control Tower 2.5 版推出的唯一變更。
AWS Control Tower 也在美國東部 (維吉尼亞北部) 區域、美國東部 (俄亥俄) 區域、美國西部 (奧勒岡) 區域、歐洲 (愛爾蘭) 區域和亞太區域 (雪梨) 區域提供。透過此啟動,AWS Control Tower 現在可在 10 AWS 區域使用。
此登陸區域更新包含列出的所有區域,且無法復原。將登陸區域更新至 2.5 版之後,您必須手動更新 AWS Control Tower 的所有註冊帳戶,以在 10 個支援的區域中進行管理。 AWS 如需相關資訊,請參閱[設定您的 AWS Control Tower 區域](region-how.md#deploying-to-new-region)。
## 護欄更新
**2020 年 10 月 8 日**
(AWS Control Tower 登陸區域不需要更新)
已針對強制性控制項 發行更新版本`AWS-GR_IAM_ROLE_CHANGE_PROHIBITED`。
需要對控制項進行此變更,因為自動註冊到 AWS Control Tower 的帳戶必須啟用 `AWSControlTowerExecution`角色。舊版控制項可防止建立此角色。
如需詳細資訊,請參閱[《AWS Control Tower AWS 控制項參考指南》中的不允許對 AWS Control Tower 設定的 IAM 角色進行變更 CloudFormation](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#iam-disallow-changes)。
## AWS Control Tower 主控台會顯示有關 OUs和帳戶的詳細資訊
**2020 年 7 月 22 日**
(AWS Control Tower 登陸區域不需要更新)
您可以檢視未在 AWS Control Tower 註冊的組織和帳戶,以及已註冊的組織和帳戶。
在 AWS Control Tower 主控台中,您可以檢視有關 AWS 帳戶和組織單位 (OUs的詳細資訊。**帳戶**頁面現在會列出組織中的所有帳戶,無論 AWS Control Tower 中的 OU 或註冊狀態為何。您現在可以搜尋、排序和篩選所有資料表。
## 使用 AWS Control Tower 在 中設定新的多帳戶 AWS 環境 AWS Organizations
**2020 年 4 月 22 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Organizations 客戶現在可以利用這些新功能,使用 AWS Control Tower 來管理新建立的組織單位 (OUs) 和帳戶:
+ 現有 AWS Organizations 客戶現在可以為其現有管理帳戶中的新組織單位 (OUs) 設定新的登陸區域。您可以在 AWS Control Tower 中建立新的 OUs,並在這些具有 AWS Control Tower 管控OUs 中建立新的帳戶。
+ AWS Organizations 客戶可以使用帳戶註冊程序或透過指令碼註冊現有帳戶。
AWS Control Tower 提供使用其他服務的協同運作 AWS 服務。它專為擁有多個帳戶和團隊的組織而設計,他們正在尋找最簡單的方法來設定新的或現有的多帳戶 AWS 環境,並大規模管理。透過由 AWS Control Tower 管理的組織,雲端管理員知道組織中的帳戶符合已建立的政策。建置器可受益於 ,因為他們可以快速佈建新 AWS 帳戶,而不會過度擔心合規性。
如需設定登陸區域的資訊,請參閱 [規劃您的 AWS Control Tower 登陸區域](planning-your-deployment.md)。您也可以造訪 AWS Control Tower [產品網頁](https://aws.amazon.com/controltower/)或前往 YouTube 觀看此影片,了解 [AWS Control Tower 的入門 AWS Organizations](https://www.youtube.com/watch?v=-n65I4M8cas)。
除了此變更之外,AWS Control Tower 中的**快速帳戶佈建**功能已重新命名為**註冊帳戶**。它現在允許註冊現有 AWS 帳戶以及建立新帳戶。如需詳細資訊,請參閱[從 AWS Control Tower 主控台註冊現有帳戶](quick-account-provisioning.md)。
## AWS Control Tower 解決方案的自訂
**2020 年 3 月 17 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在包含新的參考實作,可讓您輕鬆地將自訂範本和政策套用至 AWS Control Tower 登陸區域。
透過 AWS Control Tower 的自訂功能,您可以使用 CloudFormation 範本,將新資源部署到組織內的現有和新帳戶。除了 AWS Control Tower 提供的 SCP 之外,您也可以將自訂服務控制政策 (SCPs) 套用至這些帳戶。 SCPs AWS Control Tower 管道的自訂與 AWS Control Tower 生命週期事件和通知 ([AWS Control Tower 中的生命週期事件](lifecycle-events.md)) 整合,以確保資源部署與您的登陸區域保持同步。
此 AWS Control Tower 解決方案架構的部署文件可透過 [AWS 解決方案網頁取得](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/)。
## AWS Control Tower 2.3 版的一般可用性
**2020 年 3 月 5 日**
(AWS Control Tower 登陸區域需要更新。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md)。)
除了美國東部 (俄亥俄) AWS 、美國東部 (維吉尼亞北部)、美國西部 (奧勒岡) 和歐洲 (愛爾蘭) 區域外,AWS Control Tower 現已在亞太區域 (雪梨) 區域提供。新增亞太區域 (雪梨) 區域是針對 AWS Control Tower 2.3 版推出的唯一變更。
如果您先前尚未使用 AWS Control Tower,則可以立即在任何支援的區域中啟動它。如果您已經在使用 AWS Control Tower,並想要將其控管功能擴展到帳戶中的亞太區域 (雪梨) 區域,請前往 AWS Control Tower 儀表板的設定****頁面。從那裡,將您的登陸區域更新為最新版本。然後,個別更新您的帳戶。
**注意**
更新登陸區域不會自動更新您的帳戶。如果您有多個帳戶,則所需的更新可能會很耗時。因此,建議您避免將您的 AWS Control Tower 登陸區域擴展到您不需要執行工作負載的區域。
如需因部署到新區域而導致偵測性控制預期行為的資訊,請參閱[設定您的 AWS Control Tower 區域](https://docs.aws.amazon.com//controltower/latest/userguide/region-how.html#deploying-to-new-region)。
## AWS Control Tower 中的單一步驟帳戶佈建
**2020 年 3 月 2 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在支援透過 AWS Control Tower 主控台進行單一步驟帳戶佈建。此功能可讓您從 AWS Control Tower 主控台佈建新帳戶。
若要使用簡化表單,請在 AWS Control Tower 主控台中導覽至 **Account Factory**,然後選擇**快速帳戶佈建**。AWS Control Tower 會將相同的電子郵件地址指派給佈建帳戶,以及為帳戶建立的單一登入 (IAM Identity Center) 使用者。如果您需要這兩個電子郵件地址不同,則必須透過 Service Catalog 佈建您的帳戶。
使用 Service Catalog 和 AWS Control Tower 帳戶工廠,更新您透過快速帳戶佈建建立的帳戶,就像更新任何其他帳戶一樣。
**注意**
2020 年 4 月,**快速帳戶佈建**功能已重新命名為**註冊帳戶**。2022 年 6 月,在 AWS Control Tower 主控台中建立和更新帳戶的能力與註冊 AWS 帳戶的能力不同。如需詳細資訊,請參閱[從 AWS Control Tower 主控台註冊現有帳戶](quick-account-provisioning.md)。
## AWS Control Tower 停用工具
**2020 年 2 月 28 日 **
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在支援自動除役工具,協助您清理 AWS Control Tower 配置的資源。如果您不想再為企業使用 AWS Control Tower,或者需要主要重新部署組織資源,建議您清除最初設定登陸區域時建立的資源。
若要使用大部分自動化的程序來解除委任您的登陸區域,請聯絡 AWS 支援 以取得所需額外步驟的協助。如需停用的詳細資訊,請參閱 [停用 AWS Control Tower 登陸區域](decommission-landing-zone.md)。
## AWS Control Tower 生命週期事件通知
**2020 年 1 月 22 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 宣布生命週期事件通知的可用性。[生命週期事件](lifecycle-events.md)表示 AWS Control Tower 動作已完成,可變更組織單位 (OUs)、帳戶和由 AWS Control Tower 建立和管理之控制項等資源的狀態。生命週期事件會記錄為 AWS CloudTrail 事件,並以事件形式傳送至 Amazon EventBridge。
AWS Control Tower 會在完成下列可使用 服務執行的動作時記錄生命週期事件:建立或更新登陸區域;建立或刪除 OU;啟用或停用 OU 上的控制項;以及使用帳戶工廠建立新帳戶或將帳戶移至另一個 OU。
AWS Control Tower 使用多項 AWS 服務來建置和控管多帳戶 AWS 環境最佳實務。AWS Control Tower 動作可能需要幾分鐘的時間才能完成。您可以在 CloudTrail 日誌中追蹤生命週期事件,以驗證原始 AWS Control Tower 動作是否成功完成。您可以建立 EventBridge 規則,以便在 CloudTrail 記錄生命週期事件時通知您,或自動觸發自動化工作流程中的下一個步驟。
# 2019 年 6 月至 12 月
從 2019 年 6 月 24 日至 12 月 31 日,AWS Control Tower 發佈了下列更新:
+ [AWS Control Tower 2.2 版的一般可用性](#Version-2-2)
+ [AWS Control Tower 中新的選擇性控制](#Elective-gaurdrails)
+ [AWS Control Tower 中的新偵測控制](#New-controls)
+ [AWS Control Tower 接受具有與管理帳戶不同網域之共用帳戶的電子郵件地址](#Email-address-shared-accounts)
+ [AWS Control Tower 2.1 版的一般可用性](#Version-2-1)
## AWS Control Tower 2.2 版的一般可用性
**2019 年 11 月 13 日**
(AWS Control Tower 登陸區域需要更新。 如需詳細資訊,請參閱 [更新您的登陸區域](update-controltower.md)。)
AWS Control Tower 2.2 版提供三種新的預防性控制,可防止帳戶偏離:
+ [不允許變更 AWS Control Tower 設定的 Amazon CloudWatch Logs 日誌群組](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#log-group-deletion-policy)
+ [不允許刪除 AWS Control Tower AWS Config 建立的彙總授權](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy)
+ [不允許刪除日誌存檔](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#disallow-audit-bucket-deletion)
控制項是為整體 AWS 環境提供持續控管的高階規則。當您建立 AWS Control Tower 登陸區域時,登陸區域和所有組織單位 (OUs)、帳戶和資源都符合您選擇的控制項強制執行的控管規則。當您和您的組織成員使用登陸區域時,可能會發生此合規狀態的變更 (意外或有意)。偏離偵測可協助您識別需要變更或組態更新來解決偏離的資源。如需詳細資訊,請參閱[在 AWS Control Tower 中偵測並解決偏離](drift.md)。
## AWS Control Tower 中新的選擇性控制
**2019 年 9 月 5 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在包含以下四個新的選擇性控制:
+ [不允許在沒有 MFA 的情況下對 Amazon S3 儲存貯體執行刪除動作](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-delete-mfa)
+ [不允許變更 Amazon S3 儲存貯體的複寫組態](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-ccr)
+ [不允許以根使用者身分執行動作](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-auser-actions)
+ [不允許為根使用者建立存取金鑰](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-access-keys)
控制項是為整體 AWS 環境提供持續控管的高階規則。護欄可讓您表達政策目的。如需詳細資訊,請參閱[關於 AWS Control Tower 中的控制項](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html)。
## AWS Control Tower 中的新偵測控制
**2019 年 8 月 25 日**
(AWS Control Tower 登陸區域不需要更新)
AWS Control Tower 現在包含以下八個新的偵測控制:
+ [偵測是否啟用 Amazon S3 儲存貯體的版本控制](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-no-versioning)
+ [偵測 AWS 主控台的 IAM 使用者是否啟用 MFA](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-console-access-mfa)
+ [偵測 IAM 使用者是否已啟用 MFA](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-access-mfa)
+ [偵測 Amazon EC2 執行個體是否啟用 Amazon EBS 最佳化](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-not-ebs-optimized)
+ [偵測 Amazon EBS 磁碟區是否連接至 Amazon EC2 執行個體](https://docs.aws.amazon.com//controltower/latest/userguide/strongly-recommended-controls.html#disallow-unattached-ebs)
+ [偵測是否啟用對 Amazon RDS 資料庫執行個體的公開存取](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-public-access)
+ [偵測是否啟用對 Amazon RDS 資料庫快照的公開存取](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-snapshot-public-access)
+ [偵測 Amazon RDS 資料庫執行個體是否已啟用儲存加密](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-storage-unencrypted)
控制項是為整體 AWS 環境提供持續控管的高階規則。偵測性控制可偵測您帳戶中資源的不合規情況,例如政策違規,並透過儀表板提供提醒。如需詳細資訊,請參閱[關於 AWS Control Tower 中的控制項](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html)。
## AWS Control Tower 接受具有與管理帳戶不同網域之共用帳戶的電子郵件地址
**2019 年 8 月 1 日**
(AWS Control Tower 登陸區域不需要更新)
在 AWS Control Tower 中,您現在可以提交共用帳戶 (日誌封存和稽核成員) 和子帳戶 (使用帳戶工廠提供) 的電子郵件地址,其網域與管理帳戶的電子郵件地址不同。只有在建立新的登陸區域以及佈建新的子帳戶時,才能使用此功能。
## AWS Control Tower 2.1 版的一般可用性
**2019 年 6 月 24 日**
(AWS Control Tower 登陸區域需要更新。 如需詳細資訊,請參閱[更新您的登陸區域](https://docs.aws.amazon.com/controltower/latest/userguide/update-controltower.html)。)
AWS Control Tower 現已正式推出並支援生產用途。AWS Control Tower 適用於擁有多個帳戶和團隊的組織,他們正在尋找最簡單的方法來設定其新的多帳戶 AWS 環境並大規模管理。透過 AWS Control Tower,您可以協助確保組織中的帳戶符合已建立的政策。分散式團隊的最終使用者可以快速佈建新 AWS 帳戶。
使用 AWS Control Tower,您可以[設定登陸區域](getting-started-with-control-tower.md),採用最佳實務,例如使用 設定[多帳戶結構](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) AWS Organizations、使用 管理使用者身分和聯合存取 AWS IAM Identity Center、透過 Service Catalog 啟用帳戶佈建,以及使用 AWS CloudTrail 和 建立集中式日誌封存 AWS Config。
為了持續控管,您可以啟用預先設定的控制項,這些控制項是安全、操作和合規的明確定義規則。護欄有助於防止部署不符合政策的資源,並持續監控已部署的資源是否有不一致性。AWS Control Tower 儀表板提供 AWS 環境的集中可見性,包括佈建的帳戶、啟用的控制項,以及帳戶的合規狀態。
您可以在 AWS Control Tower 主控台中按一下來設定新的多帳戶環境。使用 AWS Control Tower 無需額外費用或預付承諾。您只需為您啟用的 AWS 這些服務付費,即可設定登陸區域並實作選取的控制項。