Veröffentlicht am: Dec 15, 2023
Heute hat AWS Control Tower die Landing-Zone-Version 3.3 veröffentlicht, die Aktualisierungen der vom AWS Control Tower verwalteten Ressourcen, ressourcenbasierten Richtlinien und Kontrollen enthält. AWS Control Tower unterstützt jetzt den neuen globalen Bedingungsschlüssel aws:SourceOrgID von AWS Identity and Access Management (IAM), mit dem Sie AWS-Services skalierbar nur in Ihrem Namen Zugriff auf Ihre Ressourcen gewähren können. Mit dieser neuen IAM-Funktion können Sie die Verwaltung Ihrer ressourcenbasierten Richtlinien vereinfachen und festlegen, dass AWS-Services nur dann auf Ihre Ressourcen zugreifen dürfen, wenn die Anfrage von Ihrer Organisation oder Organisationseinheit (OU) stammt. Sie können beispielsweise den Bedingungsschlüssel aws:SourceOrgID nutzen und den Wert im Bedingungselement Ihrer S3-Bucket-Richtlinie auf Ihre Organisations-ID setzen. Dadurch wird sichergestellt, dass CloudTrail nur Protokolle im Namen von Konten innerhalb Ihrer Organisation in Ihren S3-Bucket schreiben kann. Dadurch wird verhindert, dass CloudTrail-Protokolle außerhalb Ihrer Organisation in Ihren S3-Bucket geschrieben werden. Die Landing-Zone-Version 3.3 enthält auch eine neue Version der Region-Deny-Steuerung und verbesserte KMS-Drift-Berichte.
Eine Landing Zone ist eine AWS-Umgebung mit einer guten Architektur und mehreren Konten, die auf bewährten Methoden für Sicherheit und Compliance basiert. AWS Control Tower automatisiert die Einrichtung einer neuen Landing Zone mithilfe der bewährten Vorlagen für Identität, Verbundzugriff, Protokollierung und Kontostruktur. Eine vollständige Liste der AWS-Regionen, in denen AWS Control Tower verfügbar ist, finden Sie in der Tabelle der AWS-Regionen. Weitere Informationen zu dieser Version finden Sie in den Versionshinweisen und der IAM-Dokumentation zu Global Condition Keys.