AWS Control Tower introduit des modifications aux barrières de protection S3 préventives et des mises à jour dans les protocoles de chiffrement de compartiment S3

AWS Control Tower publie quatre nouvelles barrières de protection préventives d'archivage des journaux S3, moins restrictives et obligatoires, et modifie les directives des quatre anciennes barrières de protection d'archivage des journaux S3, plus restrictives et préventives obligatoires qui deviennent facultatives. Avec ces modifications de barrières de protection, vous pouvez désormais séparer la gouvernance de l'archivage des journaux S3 des ressources créées par AWS Control Tower de la gouvernance pour les ressources S3 que vous créez.  

Les nouvelles barrières de protection et les ajustements de directives de barrières de protection existantes sont disponibles lorsque vous configurez une nouvelle zone d'atterrissage ou mettez à jour votre version de zone d'atterrissage AWS Control Tower. Dans les environnements AWS Control Tower actuels, les barrières de protection facultatives seront activées automatiquement par défaut pour assurer la cohérence de l'environnement, mais comme les barrières de protection sont désormais facultatives, elles peuvent être désactivés. Les clients qui ne mettent pas à jour leur zone d'atterrissage ne pourront pas désactiver les barrières de protection facultatives tant qu'une mise à jour de la zone d'atterrissage n'est pas terminée. Pour en savoir plus, consultez la page des mises jour Zone d’atterrissage AWS Control Tower.

Nouvelles barrière de protection préventives obligatoires:

• Interdire les modifications de la configuration de chiffrement pour les compartiments S3 créés par AWS Control Tower dans l'archive des journaux
  
• Interdire les modifications de la configuration de la journalisation pour les compartiments S3 créés par AWS Control Tower dans l'archive des journaux
  
• Interdire les modifications de la stratégie de compartiment pour les compartiments S3 créés par AWS Control Tower dans l'archive des journaux
• Interdire les modifications de la configuration du cycle de vie pour les compartiments S3 créés par AWS Control Tower dans l'archive des journaux

Les barrières de protection existantes obligatoire avec directive deviennent facultatives:

• Interdire les modifications de la configuration de chiffrement pour tous les compartiments Amazon S3 [Auparavant: Activer le chiffrement au repos pour l'archivage des journaux]
• Interdire les modifications de la configuration de la journalisation pour tous les compartiments Amazon S3 [Auparavant : Activer la journalisation des accès pour l'archivage des journaux]
• Interdire les modifications de la stratégie de compartiment pour tous les compartiments Amazon S3 [Auparavant: interdire les modifications de stratégie dans l'archive des journaux]
• Interdire les modifications de la configuration du cycle de vie pour tous les compartiments Amazon S3 [Auparavant: définir une politique de conservation pour l'archivage des journaux]

compartimentAWS Control Tower publie également des mises à jour de plans nécessitant des demandes de compartiment S3 pour utiliser SSL. Par défaut, AWS Control Tower activera le paramètre « Bloquer l'accès public » pour tous les compartiments de 'environnement AWS Control Tower. Ces modifications permettent à AWS Control Tower de s'aligner sur les dernières recommandations pour les bonnes pratiques AWS Foundational Security pour ces rubriques. Si vous n'utilisez pas actuellement SSL pour les demandes de compartiment S3, vous devez modifier votre protocole pour utiliser TLS/SSL afin d'éviter toute interruption des communications.

Pour la liste complète des barrières de protection, consultez Guardrail Reference - AWS Control Tower. Pour en savoir plus, accédez à la page d'accueil AWS Control Tower ou le Guide de l'utilisateur de Control Tower.  

Vous pouvez également accédez à la page Web du produit AWS Control Tower ou à YouTube pour regarder cette vidéo sur la façon de démarrer avec AWS Control Tower pour AWS Organizations.