发布于: May 20, 2022
AWS Control Tower 现在支持所有类型防护机制(预防性或检测性)的并行操作。新功能发布之后,您现在可以启用或禁用多个预防性防护机制,而无需等待各个防护机制操作完成。AWS Control Tower 为客户提供开箱即用的预防性和检测性防护机制,方便您部署这些防护机制,以提升安全性、操作性和合规性。
您现在可以在同一个组织单位(OU)上启用不同的预防性防护机制(例如,禁止为根用户创建访问密钥和禁止在没有 MFA 的情况下对 Amazon S3 存储桶执行删除操作),或同时在不同的 OU 上启用相同的预防性防护机制。使用嵌套 OU 时,预防性防护机制会影响嵌套在目标 OU 下的所有账户和 OU,即使这些账户和 OU 未注册,也会受到影响。预防性防护机制是使用服务控制策略(SCP)实施的,它是 AWS Organizations 的一部分。检测性防护机制是通过 AWS Config 规则实施的。在您创建新账户或更改现有账户时,防护机制将始终有效。并且,AWS Control Tower 会提供总结各个账户已启用策略合规情况的报告。如需完整的可用防护机制列表,请参阅“防护机制参考 - AWS Control Tower”。
AWS Control Tower 让您能够异常轻松地基于 AWS 最佳实践设置和管理新的安全的多账户 AWS 环境。客户可使用 AWS Control Tower 的 Account Factory 创建新账户,并在支持的 AWS 区域启用各项监管功能,例如防护机制、集中日志记录和监控。要了解详情,请访问 AWS Control Tower 主页或参阅 AWS Control Tower 用户指南。如需查看提供 AWS Control Tower 的 AWS 区域的完整列表,请参阅 AWS 区域列表。