게시된 날짜: Apr 8, 2021
AWS Control Tower에서 덜 제한적인 필수 S3 로그 아카이브 방지 가드레일 4개를 새롭게 릴리스하고 이전의 더 제한적인 S3 로그 아카이브 방지 가드레일 4개의 지침을 필수에서 선택 사항으로 변경합니다. 이번 가드레일 변경으로 이제 AWS Control Tower에서 생성된 리소스에 대한 S3 로그 아카이브 거버넌스를 사용자가 생성한 S3 리소스에 대한 거버넌스에서 분리할 수 있습니다.
새로운 필수 방지 가드레일
- AWS Control Tower가 로그 아카이브에 생성한 S3 버킷에 대한 암호화 구성 변경 허용 안 함
- AWS Control Tower가 로그 아카이브에 생성한 S3 버킷에 대한 로깅 구성 변경 허용 안 함
- AWS Control Tower가 로그 아카이브에 생성한 S3 버킷에 대한 버킷 정책 변경 허용 안 함
- AWS Control Tower가 로그 아카이브에 생성한 S3 버킷에 대한 수명 주기 구성 변경 허용 안 함
필수에서 선택 사항으로 변경된 기존 가드레일 및 지침:
- 모든 Amazon S3 버킷에 대한 암호화 구성 변경 허용 안 함[이전: 로그 아카이브에 대한 유휴 시 암호화 활성화]
- 모든 Amazon S3 버킷에 대한 로깅 구성 변경 허용 안 함[이전: 로그 아카이브에 대한 액세스 로깅 활성화]
- 모든 Amazon S3 버킷에 대한 버킷 정책 변경 허용 안 함[이전: 로그 아카이브에 대한 정책 변경 허용 안 함]
- 모든 Amazon S3 버킷에 대한 수명 주기 구성 변경 허용 안 함[이전: 로그 아카이브에 대한 보존 정책 설정]
AWS Control Tower는 S3 버킷 요청에 SSL을 사용할 것을 요구하는 청사진 업데이트도 발표하며 기본적으로 AWS Control Tower는 모든 AWS Control Tower 환경 버킷에 대해 [퍼블릭 액세스 차단(Block Public Access)] 설정을 활성화합니다. 이번 변경은 이러한 주제에 대한 AWS Foundational Security Best Practices의 최신 지침에 맞춰 AWS Control Tower를 변경하기 위한 것입니다. 현재 S3 버킷 요청에 SSL을 사용하고 있지 않은 경우 TLS/SSL을 사용하도록 프로토콜을 변경하여 통신 중단을 방지해야 합니다.
전체 가드레일 목록은 가드레일 참조 - AWS Control Tower를 참조하세요. 자세한 내용은 AWS Control Tower 홈페이지 또는 Control Tower 사용 설명서를 참조하세요.
또한, AWS Control Tower 제품 웹페이지를 방문하거나 YouTube에서 AWS Organizations에서 AWS Control Tower 시작하기에 관한 동영상을 시청할 수 있습니다.