Die wichtigsten Änderungen - AWS Control Tower

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die wichtigsten Änderungen

Anmerkung

  • Die Definitionen von „registriert“ und „registriert“ haben sich mit dieser neuen Version von AWS Control Tower geändert. Wenn auf Ihrem account/OU System eine AWS Control Tower Tower-Ressource aktiviert ist (z. B. Control oder Baseline), wird diese als verwaltete Ressource betrachtet. Die Definition wird nicht mehr vom Vorhandensein der AWSControlTowerBaseline Baseline abhängen.

  • Serviceverknüpfte Rollen bleiben in allen landing zone Zone-Versionen erhalten und werden nicht mehr gelöscht, wenn sie „unregistriert“ OUs werden

  • Serviceverknüpfte Rollen können von Kunden nach der Außerbetriebnahme der landing zone nur manuell gelöscht werden

  • Voraussetzung für Landing Zone 4.0: Stellen Sie beim Upgrade auf Version 4.0 über die API sicher, dass die AWSControlTowerCloudTrailRole Servicerolle die neue verwaltete Richtlinie AWSControlTowerCloudTrailRolePolicy anstelle der vorhandenen Inline-Richtlinie verwendet. Trennen Sie die aktuelle Inline-Richtlinie und hängen Sie die neue verwaltete Richtlinie an, wie in der Dokumentation beschrieben.

  • Optionales Manifest: Das Manifestfeld in der Landingzone-API ist jetzt optional. Kunden können Landing Zones ohne Serviceintegrationen erstellen. Für Bestandskunden, die das Manifestfeld bereits verwenden, hat dies keine Auswirkungen.

  • Optionale Organisationsstruktur: AWS Control Tower erzwingt oder verwaltet die Erstellung der Sicherheits-OU nicht mehr, sodass Kunden ihre eigene Organisationsstruktur definieren und verwalten können. AWS Control Tower verlangt jedoch, dass alle Konten, die für jede AWS-Serviceintegration konfiguriert sind, derselben übergeordneten Organisationseinheit angehören. Für Kunden, die den AWS Control Tower bereits eingerichtet haben und über die Security OU verfügen, hat dies keine Auswirkungen. AWS Control Tower stellt automatisch die Ressourcen und Kontrollen bereit, die für die Verwaltung von Service-Integrationskonten in der Security OU erforderlich sind. Wenn beispielsweise die AWS Config-Integration aktiviert ist, ist die AWS Config-Aufzeichnung in allen Serviceintegrationskonten aktiviert. Die AWS Control Tower Baseline und die AWS Config Baseline gelten nicht für die Security OU und Integrationskonten. Um die Serviceintegrationen zu ändern, aktualisieren Sie die landing zone Zone-Einstellungen.

    Anmerkung

    • Die Einrichtung der Organisationsstruktur für die AWS Control Tower landing zone 4.0 hat sich gegenüber früheren landing zone Zone-Versionen geändert. AWS Control Tower erstellt die angegebene Sicherheits-OU nicht mehr. Die Organisationseinheit mit den Serviceintegrationskonten wird die designierte Sicherheits-OU sein.

    • Wenn Mitgliedskonten in die Organisationseinheit verschoben werden, in der sich die Konten für jede Integration befinden, werden die aktivierten Steuerelemente für diese Organisationseinheit unabhängig davon, ob die automatische Registrierung aktiviert oder deaktiviert ist, verschoben.

  • Drift-Benachrichtigungen: AWS Control Tower beendet das Senden von Drift-Benachrichtigungen an das SNS-Thema für alle Kunden in der landing zone 4.0, wenn die AWSControlTowerBaseline Option nicht aktiviert ist, und sendet stattdessen Drift-Benachrichtigungen EventBridge an das Verwaltungskonto. Beispiele für Ereignisse und Anleitungen zum Empfangen von Drift-Benachrichtigungen finden EventBridge Sie in diesem Leitfaden.

  • Optionale Serviceintegrationen: Sie haben jetzt die Möglichkeit, enable/disable alle AWS Control Tower Tower-Integrationen AWS Config, einschließlich AWS, und, zu CloudTrail nutzen SecurityRoles. AWS Backup Diese Integrationen verfügen jetzt auch über optional erforderliche enabled Flags in der API. Die Baselines, die möglicherweise für Ihre landing zone oder Ihre gemeinsamen Konten gelten, hängen jetzt voneinander ab. Die spezifischen Abhängigkeiten der Integrationen sind:

    • Aktivierung:

      • CentralSecurityRolesBaseline→ muss aktiviert CentralConfigBaseline sein

      • IdentityCenterBaselineCentralSecurityRolesBaseline muss aktiviert sein

      • BackupCentralVaultBaselineCentralSecurityRolesBaseline muss aktiviert sein

      • BackupAdminBaselineCentralSecurityRolesBaseline muss aktiviert sein

      • LogArchiveBaseline→ unabhängig (keine Abhängigkeiten)

      • CentralConfigBaseline→ unabhängig (keine Abhängigkeiten)

    • Behinderung:

      • CentralConfigBaselinekann nur deaktiviert werdenCentralSecurityRolesBaseline, wennIdentityCenterBaseline, BackupAdminBaseline und BackupCentralVaultBaseline Baselines zuerst deaktiviert wurden.

      • CentralSecurityRolesBaselinekann nur deaktiviert werdenIdentityCenterBaseline, wenn BackupAdminBaseline und BackupCentralVaultBaseline Baselines zuerst deaktiviert werden.

      • IdentityCenterBaselinekann unabhängig deaktiviert werden.

      • BackupAdminBaselineund BackupCentralVaultBaseline Baselines können unabhängig voneinander deaktiviert werden

      • LogArchiveBaselinekönnen unabhängig deaktiviert werden