AWS Control Tower apresenta mudanças nas proteções preventivas do S3 e atualizações nos protocolos de criptografia de buckets do S3

O AWS Control Tower está lançando quatro novas proteções preventivas obrigatórias para arquivos de log do S3. Elas são menos restritivas, mudando as orientações das quatro proteções anteriores para arquivos de log do S3, mais restritivas, de obrigatórias para opcionais. Com essas mudanças de proteção, a governança de arquivos de log do S3 para recursos criados pelo AWS Control Tower agora pode ficar separada da governança para recursos do S3 criados por você.  

As novas proteções e os ajustes de orientações para proteções existentes estão disponíveis na configuração de uma nova zona de aterrissagem ou na atualização de versão da zona de aterrissagem do AWS Control Tower. Os ambientes atuais do AWS Control Tower terão as proteções opcionais automaticamente habilitadas por padrão para manter a consistência do ambiente. No entanto, como as proteções agora são opcionais, elas podem ser desabilitadas. Os clientes que não atualizarem a zona de aterrissagem não poderão desabilitar as proteções opcionais até que a atualização seja concluída. Para saber mais, visite a página de atualização da Zona de aterrissagem do AWS Control Tower.

Novas proteções preventivas obrigatórias:

• Não permitir alterações na configuração de criptografia para buckets do S3 criados pelo AWS Control Tower no arquivo de log
  
• Não permitir alterações na configuração de registro em log para buckets do S3 criados pelo AWS Control Tower no arquivo de log
  
• Não permitir alterações na política de bucket para buckets do S3 criados pelo AWS Control Tower no arquivo de log
• Não permitir alterações na configuração do ciclo de vida para buckets do S3 criados pelo AWS Control Tower no arquivo de log

Proteções existentes com mudança de orientações de obrigatórias para opcionais:

• Não permitir alterações na configuração de criptografia para todos os buckets do Amazon S3 [Anteriormente: permitir criptografia de dados ociosos para arquivo de log]
• Não permitir alterações na configuração de registro em log para todos os buckets do Amazon S3 [Anteriormente: permitir registro em log de acessos para arquivo de registro]
• Não permitir alterações na política de bucket para todos os buckets do Amazon S3 [Anteriormente: não permitir alterações de política para arquivo de log]
• Não permitir alterações na configuração do ciclo de vida para todos os buckets do Amazon S3 [Anteriormente: definir uma política de retenção para arquivo de log]

O AWS Control Tower também está lançando atualizações de esquemas que requerem o uso de SSL para solicitações de buckets do S3. Por padrão, o AWS Control Tower habilitará a configuração “Block Public Access” (Bloquear acesso público) para todos os buckets de ambiente do AWS Control Tower. Com essas mudanças, o AWS Control Tower atende às orientações mais recentes da norma AWS Foundational Security Best Practices sobre esses tópicos. Se você não estiver usando SSL para solicitações de buckets do S3, altere o protocolo para usar TLS/SSL a fim de evitar qualquer interrupção nas comunicações.

Para obter uma lista completa de proteções, consulte a Referência de proteções - AWS Control Tower. Para saber mais, acesse a página inicial do AWS Control Tower ou consulte o Guia do usuário do Control Tower.  

Você também pode visitar a página da Web do produto do AWS Control Tower ou acessar o YouTube para assistir a este vídeo sobre os primeiros passos utilizando o AWS Control Tower para AWS Organizations.