Steuern Sie Ressourcenkonfigurationen mit AWS Config - AWS Control Tower
Integration von AWS Config in die Control Tower Landing Zone 4.0

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuern Sie Ressourcenkonfigurationen mit AWS Config

AWS Config bietet eine detaillierte Ansicht der mit Ihrem AWS Konto verknüpften Ressourcen, einschließlich ihrer Konfiguration, ihrer Beziehung zueinander und der Art und Weise, wie sich die Konfigurationen und ihre Beziehungen im Laufe der Zeit geändert haben. Weitere Informationen finden Sie im AWS Config -Entwicklerhandbuch.

AWS Config Ressourcen, die von AWS Control Tower bereitgestellt werden, werden automatisch mit einem Tag gekennzeichnet aws-control-tower und haben den Wert. managed-by-control-tower

Weitere Informationen darüber, wie Ressourcen in AWS Control Tower AWS Config überwacht und aufgezeichnet werden und wie Ihnen diese in Rechnung gestellt werden, finden Sie unterÜberwachen Sie Ressourcenänderungen mit AWS Config.

AWS Control Tower wird verwendet AWS-Config-Regeln , um detektive Kontrollen zu implementieren. Weitere Informationen finden Sie unter Über Kontrollen in AWS Control Tower.

Integration von AWS Config in die Control Tower Landing Zone 4.0

Serviceverknüpfter Konfigurationsaggregator (SLCA)

AWS Control Tower implementiert jetzt einen Service-Linked Config Aggregator (SLCA) als Teil von Landing Zone 4.0+. Diese Änderung stellt eine erhebliche Verbesserung der Art und Weise dar, wie AWS Config-Daten in Ihrem Unternehmen aggregiert und verwaltet werden.

Die wichtigsten Änderungen

Neue Bereitstellung eines serviceverknüpften Config-Aggregators

  • Ein Service-Linked Config Aggregator wird in Ihrem angegebenen AWS Config-Integrationskonto bereitgestellt.

  • Für Bestandskunden wird dies Ihr Audit-Konto sein

  • Für Neukunden ist dies das Konto, das im config.accountId Feld des Manifests angegeben ist

Delegierter Administrator

  • Das AWS Config-Aggregator-Konto wird zum delegierten Administrator für AWS Config

  • AWS Control Tower konfiguriert automatisch die delegierten Admin-Einstellungen

  • Dies ermöglicht eine zentrale Verwaltung von AWS Config in Ihrem gesamten Unternehmen.

Migration von älteren Aggregatoren

Während des Upgrades auf Landing Zone 4.0:

  • Der Organisationsaggregator im Verwaltungskonto wird entfernt.

  • Der Kontoaggregator im Auditkonto wird entfernt.

  • Diese werden durch den neuen serviceverknüpften Config Aggregator im AWS Config-Integrationsaggregator-Konto ersetzt.

Verbesserte Datenaggregation

Der servicebasierte Config Aggregator bietet verbesserte Funktionen für die Config-Datenaggregation:

  • Kann Daten von jedem AWS Config-Recorder in Ihrer Organisation aggregieren

  • Beinhaltet Daten von Konten, die nicht von Control Tower verwaltet werden

  • Bietet einen umfassenden Überblick über die Konfigurationselemente in Ihrem Unternehmen

  • Unterstützt erweiterte Datenperimeterkontrollen

Wichtige Überlegungen

Delegierte Administratorkonfiguration

  • AWS Control Tower verwendet das in Ihrem Manifest angegebene Konto für die AWS Config-Integration.

  • Dieses Konto wird automatisch als delegierter Administrator konfiguriert

  • Für diese Konfiguration sind keine zusätzlichen Maßnahmen von Kunden erforderlich

  • Für Bestandskunden wird Ihr vorheriges Security Roles-Integrationskonto (Audit-Konto) während des Landing Zone 4.0-Upgrades als zentrales Aggregatorkonto für AWS Config konfiguriert

Umfang der Datenaggregation

  • Der Service-Linked Config Aggregator kann Konfigurationsdaten aus folgenden Quellen zusammenfassen:

    • Von Control Tower verwaltete Konten

    • Verwaltete Konten, die nicht von Control Tower verwaltet werden

    • Jedes Konto mit einem aktiven Config Recorder in Ihrer Organisation

Zugriffskontrollen

  • Der Zugriff auf aggregierte Daten wird über IAM-Richtlinien verwaltet

  • Das zentrale Aggregatorkonto von AWS Config hat zentralen Zugriff auf alle aggregierten Daten.

  • Mitgliedskonten verwalten ihre individuellen AWS Config-Recorder

Bewährte Methoden

Kontoauswahl für Config Central Aggregator

  • Wählen Sie ein Konto, das der Sicherheits- und Compliance-Überwachung gewidmet ist

  • Stellen Sie sicher, dass angemessene Zugriffskontrollen vorhanden sind

  • Erwägen Sie, ein vorhandenes Audit- oder Sicherheitskonto zu verwenden

Datenmanagement

  • Überprüfen Sie regelmäßig die aggregierten Konfigurationsdaten

  • Implementieren Sie geeignete Aufbewahrungsrichtlinien

  • Den Status des AWS Config-Recorders kontenübergreifend überwachen

Auswirkungen der Migration

Beim Upgrade auf Landing Zone 4.0:

Vor der Migration

  • Dokumentieren Sie bestehende AWS Config-Regeln und -Aggregatoren

  • Überprüfen Sie die aktuellen AWS Config-Datenzugriffsmuster

  • Planen Sie alle erforderlichen Aktualisierungen der IAM-Richtlinien ein

Während der Migration

  • Ältere AWS Config-Aggregatoren werden automatisch entfernt

  • Der Service-Linked Config Aggregator wird bereitgestellt

  • Der delegierte Administrator wird konfiguriert

Nach der Migration

  • Stellen Sie sicher, dass der Service-Linked Config Aggregator ordnungsgemäß funktioniert

  • Bestätigen Sie die Datenaggregation von Mitgliedskonten

  • Aktualisieren Sie die Überwachungs- und Berichtstools nach Bedarf