Publicado: Dec 15, 2023
Hoje, a AWS Control Tower lançou a versão 3.3 da zona de pouso, que inclui atualizações dos recursos, políticas e controles gerenciados do AWS Control Tower. Agora, o AWS Control Tower oferece suporte à nova chave de condição global lançada pelo AWS Identity and Access Management (IAM), aws:SourceOrgID. Usando essa chave, você pode especificar que os serviços da AWS podem acessar seus recursos de forma escalável apenas em seu nome. Com esse novo recurso do IAM, você pode simplificar o gerenciamento de políticas baseadas em recursos para exigir que os serviços da AWS somente acessem seus recursos quando a solicitação for originada de sua organização ou unidade organizacional (OU). Por exemplo, você pode usar a condição aws:SourceOrgID e definir o valor dela como o ID da organização no elemento condicional da política de bucket do S3. Isso garante que o CloudTrail só possa gravar logs em nome de contas da organização no bucket do S3, evitando que logs do CloudTrail de fora da sua organização sejam gravados nesse bucket. A versão 3.3 da zona de pouso também inclui uma nova versão do controle Region Deny e melhorias nos relatórios de desvios do KMS.
Uma zona de pouso é um ambiente do AWS Well-Architected com várias contas baseado em práticas recomendadas de segurança e conformidade. O AWS Control Tower automatiza a configuração de uma nova zona de pouso usando modelos de práticas recomendadas para identidade, acesso federado, registro em log e estrutura de contas. Para obter uma lista completa das regiões da AWS que oferecem o AWS Control Tower para o público em geral, consulte a tabela de regiões da AWS. Para saber mais sobre essa versão, consulte as notas de versão e a documentação do IAM sobre chaves de condição globais.