发布于: Feb 9, 2023
今天,AWS Control Tower 发布了登录区 3.1。登录区是一种架构完善的多账户 AWS 环境,您可以从中开始部署工作负载和应用程序。AWS Control Tower 使用 AWS 关于身份、联合访问、日志记录、监控和账户结构的最佳实践蓝图自动设置新的登录区。登录区 3.1 包含针对 Amazon Simple Storage Service (Amazon S3) 访问日志记录的安全性最佳实践更新以及实施区域拒绝控制时出现的异常情况的更新。
登录区版本 3.1 禁用了存储访问日志的 S3 存储桶上不必要的访问日志记录,同时继续对 S3 存储桶启用服务器访问日志记录。此次更新与 AWS Security Hub 对 Amazon S3 存储桶服务器访问日志记录的建议一致。此版本还包括对区域拒绝的更新,允许对 AWS Support 计划和 AWS Artifact 等全球服务执行其他操作。某些全球 AWS 服务和服务功能不受区域拒绝控制的约束。区域拒绝控制通过由 AWS Control Tower 构建和管理的服务控制策略 (SCP) 来限制对 AWS API 的访问,从而防止在不需要的 AWS 区域预置资源。要查看允许操作的完整列表,请参阅区域拒绝控制策略。
这项新功能在推出 AWS Control Tower 的所有 AWS 区域均可使用。如需查看推出 AWS Control Tower 的 AWS 区域的完整列表,请参阅 AWS 区域表。