Aujourd'hui, AWS Control Tower a lancé la version 3.3 de la zone d'atterrissage qui comprend des mises à jour des ressources gérées par AWS Control Tower, des politiques et des contrôles basés sur les ressources. AWS Control Tower prend désormais en charge la nouvelle clé de condition globale lancée par AWS Identity and Access Management (IAM), aws:SourceOrgID, qui vous permet d'autoriser de manière évolutive les services AWS à accéder à vos ressources uniquement en votre nom. Grâce à cette nouvelle fonctionnalité IAM, vous pouvez simplifier la gestion de vos politiques basées sur les ressources pour exiger que les services AWS accèdent à vos ressources uniquement lorsque la demande provient de votre organisation ou unité organisationnelle (OU). Par exemple, vous pouvez utiliser la clé de condition aws:SourceOrgID et définir la valeur sur l'ID de votre organisation dans l'élément condition de votre stratégie de compartiment S3. Cela garantit que CloudTrail ne peut écrire des journaux qu'au nom des comptes de votre organisation dans votre compartiment S3, empêchant ainsi les journaux CloudTrail extérieurs à votre organisation d'écrire dans votre compartiment S3. La version 3.3 de la zone d'atterrissage comprend également une nouvelle version du contrôle Region Deny et des rapports de dérive KMS améliorés.
Une zone d'atterrissage est un environnement AWS multi-comptes bien architecturé, basé sur les meilleures pratiques de sécurité et de conformité. AWS Control Tower automatise la configuration d'une nouvelle zone d'atterrissage à l'aide de modèles de bonnes pratiques en matière d'identité, d'accès fédéré, de journalisation et de structure de compte. Pour une liste complète des régions AWS dans lesquelles AWS Control Tower est disponible, consultez le tableau des régions AWS. Pour en savoir plus sur cette version, consultez les notes de version et la documentation IAM sur les clés de condition globales.
Vous pouvez lire l’article original (en Angais) sur le blogaws.amazon.com