Publié le: Dec 15, 2023
Aujourd'hui, AWS Control Tower a lancé la version 3.3 de la zone de destination, qui inclut des mises à jour des ressources gérées par AWS Control Tower, des stratégies basées sur les ressources et des contrôles. AWS Control Tower prend désormais en charge la nouvelle clé conditionnelle globale lancée par AWS Identity and Access Management (IAM), aws:SourceOrgID, qui vous permet d'autoriser de manière évolutive les services AWS à accéder à vos ressources uniquement en votre nom. Grâce à cette nouvelle fonctionnalité IAM, vous pouvez simplifier la gestion de vos politiques basées sur appliquées aux ressources. Si vous le souhaitez, les services AWS n'accèderont à vos ressources que si la demande provient de votre organisation ou unité organisationnelle. Par exemple, vous pouvez désormais utiliser la clé conditionnelle aws:SourceOrgID en utilisant comme valeur l'ID de votre organisation dans l'élément condition de la stratégie de votre compartiment S3. De cette manière, CloudTrail ne peut écrire des journaux dans votre compartiment S3 qu'au nom des comptes de votre organisation, empêchant ainsi les journaux CloudTrail extérieurs à votre organisation de faire de même. La version 3.3 de la zone de destination inclut également une nouvelle version du contrôle Region Deny et une amélioration des rapports de dérive KMS.
Une zone de destination est un environnement AWS multi-comptes bien structuré fondé sur les bonnes pratiques de sécurité et de conformité. AWS Control Tower automatise la configuration d'une nouvelle zone de destination à l'aide de modèles de bonnes pratiques en matière d'identité, d'accès fédéré, de journalisation et de structure des comptes. Pour obtenir la liste complète des régions AWS dans lesquelles AWS Control Tower est disponible, consultez le tableau des régions AWS. Pour en savoir plus sur cette version, consultez les notes de publication et la documentation relative à IAM sur les clés conditionnelles globales.