发布于: Apr 8, 2021
AWS Control Tower 即将发布四个新的、限制性较低的强制预防性 S3 日志归档护栏,并将先前四个限制性更高的预防性 S3 日志归档护栏的指引从强制改为选用。借助这些护栏更改,现在可以分开治理 AWS Control Tower 所创建资源的 S3 日志归档与您所创建的 S3 资源。
在设置新的登录区或更新 AWS Control Tower 登录区版本之后,就可使用这些新护栏以及现有护栏的指引调整。目前的 AWS Control Tower 会自动默认启用选用的护栏以实现环境一致性,然而由于这些护栏现在具备选用性,因此可以禁用它们。在完成其登录区的更新之前,客户将无法禁用选用的护栏。要了解更多信息,请访问
AWS Control Tower 登录区更新页面。
新的强制预防性护栏:
- 在日志归档中不允许对 AWS Control Tower 创建的 S3 存储桶的加密配置进行更改
- 在日志归档中不允许对 AWS Control Tower 创建的 S3 存储桶的日志记录配置进行更改
- 在日志归档中不允许对 AWS Control Tower 创建的 S3 存储桶的存储桶策略进行更改
- 在日志归档中不允许对 AWS Control Tower 创建的 S3 存储桶的生命周期配置进行更改
其指引从“强制”改为“选用”的现有护栏:
- 禁止对所有 Amazon S3 存储桶的加密配置进行更改 [之前:为日志归档启用静态加密]
- 禁止对所有 Amazon S3 存储桶的日志记录配置进行更改 [之前:为日志归档启用访问日志记录]
- 禁止对所有 Amazon S3 存储桶的存储桶策略进行更改 [之前:禁止对日志归档进行策略更改]
- 禁止对所有 Amazon S3 存储桶的生命周期配置进行更改 [之前:为日志归档设置保留策略]
AWS Control Tower 还发布了要求 S3 存储桶请求使用 SSL 的蓝图更新,并且在默认情况下,AWS Control Tower 将为所有 AWS Control Tower 环境存储桶启用“阻止公有访问”设置。这些更改可使 AWS Control Tower 与 AWS 基础安全最佳实践中面向这些主题的最新指引保持一致。如果目前未将 SSL 用于 S3 存储桶请求,则应将协议更改为使用 TLS/SSL 以防止通信中断。
如需完整护栏列表,请参阅“指引参考” - AWS Control Tower。要了解更多信息,请访问 AWS Control Tower 主页或参阅 Control Tower 用户指南。
您还可访问 AWS Control Tower 产品网页或访问 YouTube 观看此有关将 AWS Control Tower 用于 AWS Organizations 的入门的视频。