Publié le: Apr 8, 2021
AWS Control Tower publie quatre nouvelles barrières de protection préventives d'archivage des journaux S3, moins restrictives et obligatoires, et modifie les directives des quatre anciennes barrières de protection d'archivage des journaux S3, plus restrictives et préventives obligatoires qui deviennent facultatives. Avec ces modifications de barrières de protection, vous pouvez désormais séparer la gouvernance de l'archivage des journaux S3 des ressources créées par AWS Control Tower de la gouvernance pour les ressources S3 que vous créez.
Nouvelles barrière de protection préventives obligatoires:
- Interdire les modifications de la configuration de chiffrement pour les compartiments S3 créés par AWS Control Tower dans l'archive des journaux
- Interdire les modifications de la configuration de la journalisation pour les compartiments S3 créés par AWS Control Tower dans l'archive des journaux
- Interdire les modifications de la stratégie de compartiment pour les compartiments S3 créés par AWS Control Tower dans l'archive des journaux
- Interdire les modifications de la configuration du cycle de vie pour les compartiments S3 créés par AWS Control Tower dans l'archive des journaux
Les barrières de protection existantes obligatoire avec directive deviennent facultatives:
- Interdire les modifications de la configuration de chiffrement pour tous les compartiments Amazon S3 [Auparavant: Activer le chiffrement au repos pour l'archivage des journaux]
- Interdire les modifications de la configuration de la journalisation pour tous les compartiments Amazon S3 [Auparavant : Activer la journalisation des accès pour l'archivage des journaux]
- Interdire les modifications de la stratégie de compartiment pour tous les compartiments Amazon S3 [Auparavant: interdire les modifications de stratégie dans l'archive des journaux]
- Interdire les modifications de la configuration du cycle de vie pour tous les compartiments Amazon S3 [Auparavant: définir une politique de conservation pour l'archivage des journaux]
compartimentAWS Control Tower publie également des mises à jour de plans nécessitant des demandes de compartiment S3 pour utiliser SSL. Par défaut, AWS Control Tower activera le paramètre « Bloquer l'accès public » pour tous les compartiments de 'environnement AWS Control Tower. Ces modifications permettent à AWS Control Tower de s'aligner sur les dernières recommandations pour les bonnes pratiques AWS Foundational Security pour ces rubriques. Si vous n'utilisez pas actuellement SSL pour les demandes de compartiment S3, vous devez modifier votre protocole pour utiliser TLS/SSL afin d'éviter toute interruption des communications.
Pour la liste complète des barrières de protection, consultez Guardrail Reference - AWS Control Tower. Pour en savoir plus, accédez à la page d'accueil AWS Control Tower ou le Guide de l'utilisateur de Control Tower.
Vous pouvez également accédez à la page Web du produit AWS Control Tower ou à YouTube pour regarder cette vidéo sur la façon de démarrer avec AWS Control Tower pour AWS Organizations.