Heute hat AWS Control Tower die Landing-Zone-Version 3.3 veröffentlicht, die Aktualisierungen der vom AWS Control Tower verwalteten Ressourcen, ressourcenbasierten Richtlinien und Kontrollen enthält. AWS Control Tower unterstützt jetzt den neuen globalen Bedingungsschlüssel aws:SourceOrgID von AWS Identity and Access Management (IAM), mit dem Sie AWS-Services skalierbar nur in Ihrem Namen Zugriff auf Ihre Ressourcen gewähren können. Mit dieser neuen IAM-Funktion können Sie die Verwaltung Ihrer ressourcenbasierten Richtlinien vereinfachen und festlegen, dass AWS-Services nur dann auf Ihre Ressourcen zugreifen dürfen, wenn die Anfrage von Ihrer Organisation oder Organisationseinheit (OU) stammt. Sie können beispielsweise den Bedingungsschlüssel aws:SourceOrgID nutzen und den Wert im Bedingungselement Ihrer S3-Bucket-Richtlinie auf Ihre Organisations-ID setzen. Dadurch wird sichergestellt, dass CloudTrail nur Protokolle im Namen von Konten innerhalb Ihrer Organisation in Ihren S3-Bucket schreiben kann. Dadurch wird verhindert, dass CloudTrail-Protokolle außerhalb Ihrer Organisation in Ihren S3-Bucket geschrieben werden. Die Landing-Zone-Version 3.3 enthält auch eine neue Version der Region-Deny-Steuerung und verbesserte KMS-Drift-Berichte.
Quelle: aws.amazon.com
Published by