Publicado en: Dec 15, 2023
AWS Control Tower lanzó la versión 3.3 de la zona de aterrizaje, que incluye actualizaciones de los recursos administrados por AWS Control Tower, las políticas basadas en recursos y los controles. AWS Control Tower ahora admite la nueva clave de condición global lanzada por AWS Identity and Access Management (IAM), aws:SourceOrgID, con la que puede permitir de forma escalable que los servicios de AWS accedan a sus recursos solo en su nombre. Con esta nueva capacidad de IAM, puede simplificar la administración de sus políticas basadas en recursos para exigir que los servicios de AWS accedan a sus recursos solo cuando la solicitud provenga de su organización o unidad organizativa (OU). Por ejemplo, puede utilizar la clave de condición aws:SourceOrgID y definir el valor con el ID de su organización en el elemento de condición de su política bucket de S3. Esto garantiza que CloudTrail solo pueda escribir registros en nombre de las cuentas de su organización en su bucket de S3, lo que evita que los registros de CloudTrail ajenos a su organización escriban en su bucket de S3. La versión 3.3 de la zona de aterrizaje también incluye una versión nueva del control Region Deny y una mejora de los informes de desviación de KMS.
Una zona de aterrizaje es un entorno de AWS para múltiples cuentas bien diseñado que se basa en las prácticas recomendadas de seguridad y cumplimiento. AWS Control Tower automatiza la configuración de una nueva zona de aterrizaje mediante esquemas de prácticas recomendadas para la identidad, el acceso federado, el registro y la estructura de la cuenta. Para obtener una lista completa de las regiones de AWS en las que está disponible AWS Control Tower, consulte la tabla de regiones de AWS. Para obtener más información sobre esta versión, consulte las notas de la versión y la documentación de IAM sobre las claves de condición globales.