发布于: Feb 10, 2022
今天,我们宣布了 AWS Control Tower 的新功能,以使 AWS Control Tower 与 AWS Foundational Security 最佳实践的最新更新保持一致。 随着新的最佳实践和控制的确定和开发,AWS Control Tower 有必要定期添加功能,以确保您的 AWS 账户和工作负载保持一致。这个版本中的新功能包括支持生命周期策略和访问日志存储桶的访问日志记录,以及为 Lambda 函数添加死信队列。此外,这个版本更新了 AWS Control Tower,通过使用 AWS 配置的服务链接角色来设置和管理 Config 规则,以匹配 AWS Config 的最佳实践。这一改变将简化 AWS Control Tower KMS 配置过程,以加密配置数据,并提高 CloudTrail 中相关状态的消息收发效能。
该版本还包括 Region deny 防护机制的更新,该防护机制用于拒绝您选择的 AWS 区域在 Control Tower 环境中的服务和操作。此次更新避免了 Amazon Route 53 Application Recovery Controller 遭到拒绝,因为它是一个全局服务。Amazon Route 53 Application Recovery Controller 可以帮助您洞察应用程序和资源是否准备好进行恢复,并帮助您使用就绪检查和路由控制功能管理和协调故障转移。要了解关于 Region deny 的更多信息(包括哪些 AWS 服务除外),请参阅防护机制参考文档。
要实现新的最佳实践或更新 Region Deny 防护机制,您可以通过进入 AWS Control Tower 控制面板的登录区设置页面,选择 2.8 版本并点击 Update(更新)按钮来执行登录区更新。更新登录区之后,您必须更新受 AWS Control Tower 监管的所有账户。
如需查看提供 AWS Control Tower 的区域的完整列表,请参阅 AWS 区域列表。要了解详情,请访问 AWS Control Tower 主页或参阅 AWS Control Tower 用户指南。
附录:我们于 2022 年 2 月 15 日删除了 AWS Lambda 函数的死信队列。