AWS Control Tower 登录区更新了托管策略和控制措施

今天，AWS Control Tower 发布了登录区版本 3.3，其中包括对 AWS Control Tower 管理的资源、基于资源的策略和控制措施的更新。AWS Control Tower 现在支持新的 AWS Identity and Access Management (IAM) 推出的全球条件键 aws:SourceOrgID，它使您能够以可扩展的方式允许 AWS 服务仅代表您访问您的资源。借助这项新的 IAM 功能，您可以简化对基于资源的策略的管理，从而要求 AWS 服务仅在请求来自您的组织或组织单元 (OU) 时访问您的资源。例如，您可以使用 aws:SourceOrgID 条件键，还可以将该值设为 S3 桶策略条件元素中的组织 ID。这可以确保 CloudTrail 只能代表组织内的账户将日志写入 S3 桶，从而防止组织外部的 CloudTrail 日志写入 S3 桶。登录区版本 3.3 还包括新版本的区域拒绝控制和改进的 KMS 偏差报告。

登录区是基于安全性和合规性最佳实践的架构完善的多账户 AWS 环境。AWS Control Tower 使用关于身份、联合访问、日志记录和账户结构的最佳实践蓝图自动设置新的登录区。有关推出 AWS Control Tower 的 AWS 区域的完整列表，请参阅 AWS 区域表。要了解有关此版本的更多信息，请参阅有关全局条件键的发布说明和 IAM 文档。