Aktualisierungen der AWS Config

Dedizierte Ressourcen für AWS Config und AWS CloudTrail: AWS Config und AWS verwenden CloudTrail jetzt separate dedizierte S3-Buckets und SNS-Themen anstelle von gemeinsam genutzten Ressourcen. Kunden haben nur begrenzte Flexibilität, ein einzelnes oder separate Konten für mehrere Integrationen zu verwenden.
- Beim Upgrade auf AWS Control Tower landing zone Version 4.0 werden vorhandene Daten und S3-Buckets nicht verschoben. Die CloudTrail AWS-Integration verwendet weiterhin den vorhandenen S3-Bucket mit Präfixaws-controltower-logs. Die neuen AWS Config-Daten nach dem Aktualisierungsvorgang werden in einem neuen S3-Bucket mit einem Präfix gespeichertaws-controltower-config, das AWS Control Tower in dem dafür vorgesehenen Konto erstellt CentralConfigBaseline.
  Anmerkung
  Wenn Sie die CloudTrail AWS-Integration in der landing zone 4.0 zum ersten Mal aktivieren, werden jedes Mal neue S3-Buckets mit Präfix erstellt aws-controltower-cloudtrail
- Änderungen des Datenstandorts: Bestandskunden, die von zuvor gemeinsam genutzten Ressourcen auf dedizierte Ressourcen umsteigen, verfügen über AWS Config CloudTrail AWS-Daten in verschiedenen S3-Buckets. Etablierte Kundenabläufe und Tools müssen möglicherweise aktualisiert werden, um auf Daten von neuen Bucket-Standorten aus zugreifen zu können.
- AWS CloudTrail bleibt weiterhin im selben bestehenden Bucket, aber die AWS Config Daten werden in einem neuen S3-Bucket gespeichert, der von AWS Control Tower erstellt wurde.
- Kunden können eine Bucket-übergreifende Replikation einrichten, wenn sie verschiedene Protokolle in einem einzigen Bucket zentralisieren möchten. Weitere Informationen finden Sie in der S3-Dokumentation.
- Wenn Sie Konten mit bereits bestehenden AWS Config-Lieferkanälen registriert haben, die nicht von AWS Control Tower in Regionen erstellt wurden, die von AWS Control Tower verwaltet werden, aktualisieren Sie den S3-Bucket-Namen der Delivery Channels auf den neuen S3-Bucket mit Präfix aws-controltower-config-logs- im AWS Config-Integrationskonto, damit er mit den AWS Control Tower Tower-Konfigurationen in der landing zone 4.0 konsistent ist. Weitere Details finden Sie unter Konten registrieren, die über vorhandene AWS Config Ressourcen verfügen.
AWS Config Integration auf landing zone Version 4.0: Bei der Migration zur landing zone 4.0 mit aktivierter AWS Config Integration würden Kunden die folgenden Änderungen sehen -
1. Das bestehende Audit-Konto ist als delegierter Administrator für registriert. AWS Config
2. Der Service-Linked Config Aggregator wird im Audit-Konto (AWS Config zentrales Aggregatorkonto für Neukunden und Audit-Konto für Bestandskunden) bereitgestellt. Der neue Aggregator kann Daten von jedem AWS Config Recorder in der Organisation aggregieren, auch von Konten, die nicht von Control Tower verwaltet werden.
3. Bestehende Aggregatoren werden gelöscht — Der Organisationsaggregator im Verwaltungskonto (aws-controltower-ConfigAggregatorForOrganizations) und der Kontoaggregator im Auditkonto (aws-controltower-GuardRailsComplianceAggregator) werden gelöscht.
4. Die mit den gelöschten Aggregatoren verknüpften Kontrollen werden automatisch entfernt. Da es sich bei den AWS Config Regeln und dem Konfigurationsaggregator um dienstbezogene Ressourcen handelt, ist außerdem kein Schutz der Dienststeuerungsrichtlinien mehr erforderlich.
Neue ConfigBaseline Ausgangsbasis: Auf OU-Ebene gibt es jetzt einen separaten ConfigBaseline Support für Detective Controls, ohne dass ein umfassender AWSControlTowerBaseline Support erforderlich ist. Weitere Informationen finden Sie in der Liste der Basistypen auf OU-Ebene. Für Bestandskunden, die die Standard-Landezone verwenden, sind alle Serviceintegrationen jetzt optional, mit dem Vorbehalt der Abhängigkeitsanforderungen, die unter beschrieben werden. Die wichtigsten Änderungen

Service-Linked Config Aggregator: Ersetzt Organisations- und Kontoaggregatoren im AWS Config zentralen Aggregatorkonto.

Beim Upgrade auf landing zone 4.0 mit aktivierter AWS Config Integration benötigen Kunden organizations:ListDelegatedAdministrators Berechtigungen



{
   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
           "backup:UpdateGlobalSettings",
           "controltower:CreateLandingZone",
           "controltower:UpdateLandingZone",
           "controltower:ResetLandingZone",
           "controltower:DeleteLandingZone",
           "controltower:GetLandingZoneOperation",
           "controltower:GetLandingZone",
           "controltower:ListLandingZones",
           "controltower:ListLandingZoneOperations",
           "controltower:ListTagsForResource",
           "controltower:TagResource",
           "controltower:UntagResource",
            "servicecatalog:*",
            "organizations:*",
            "organizations:RegisterDelegatedAdministrator",
            "organizations:EnableAWSServiceAccess",
            "organizations:DeregisterDelegatedAdministrator",
            "organizations:ListDelegatedAdministrators",
            "sso:*",
            "sso-directory:*",
            "logs:*",
            "cloudformation:*",
            "kms:*",
            "iam:GetRole",
            "iam:CreateRole",
            "iam:GetSAMLProvider",
            "iam:CreateSAMLProvider",
            "iam:CreateServiceLinkedRole",
            "iam:ListRolePolicies",
            "iam:PutRolePolicy",
            "iam:ListAttachedRolePolicies",
            "iam:AttachRolePolicy",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy"
         ],
         "Resource": "*"
      }
   ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Die wichtigsten Änderungen

Empfehlungen für die Einrichtung von Gruppen, Rollen und Richtlinien

Aktualisierungen der AWS Config

Anmerkung