投稿日: Dec 15, 2023
本日、AWS Control Tower がランディングゾーンのバージョン 3.3 をリリースしました。これには、AWS Control Tower が管理するリソース、リソースベースのポリシー、およびコントロールの更新が含まれています。AWS Control Tower は、AWS Identity and Access Management (IAM) によってリリースされた新しいグローバル条件キー aws:SourceOrgID をサポートするようになりました。これにより、AWS のサービスによるお客様のリソースへの代理アクセスのみをスケーラブルに許可できるようになります。この新しい IAM の機能により、リソースベースのポリシーの管理を簡素化して、組織または組織単位 (OU) からリクエストが送信された場合にのみ AWS のサービスがリソースにアクセスすることを要件にすることができます。例えば、条件キー aws:SourceOrgID を使用して、その値を S3 バケットポリシーの条件エレメント内の組織 ID に設定できます。これにより、CloudTrail が組織内のアカウントの代理としてのみ S3 バケットにログを書き込めるようにし、CloudTrail が組織外のログを S3 バケットに書き込まないようにすることができます。ランディングゾーンのバージョン 3.3 には、新しいバージョンのリージョン拒否コントロールと KMS のドリフトレポートに関する改善も含まれています。
ランディングゾーンは、セキュリティとコンプライアンスのベストプラクティスに基づく Well-Architected なマルチアカウントの AWS 環境です。AWS Control Tower は、ID、フェデレーションアクセス、ログ記録、およびアカウント構造のベストプラクティスのブループリントを使用して、新しいランディングゾーンのセットアップを自動化します。AWS Control Tower が利用可能な AWS リージョンの一覧については、AWS リージョン表を参照してください。このリリースの詳細については、リリースノートおよびグローバル条件キーに関する IAM ドキュメントを参照してください。