Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Leitfaden zur Migration von Landing Zone v4.0
<a name="landing-zone-v4-migration-guide"></a>

 AWS Control Tower landing zone 4.0 führt eine umfassende Überarbeitung der Landing Zone-Architektur ein und bietet ein flexibles, dediziertes Steuerungserlebnis und vollständig optionale Serviceintegrationen. Zu den wichtigsten Verbesserungen gehört die Möglichkeit AWS Config, AWS CloudTrail und AWS Backup Integrationen selektiv zu aktivieren, mit speziellen Ressourcen für AWS Config und AWS CloudTrail für eine verbesserte Isolierung. SecurityRoles 

 Mit der Version werden die verbindlichen Anforderungen an die Organisationsstruktur gestrichen, sodass Kunden ihre eigenen Anforderungen definieren können. Gleichzeitig wird ein neuer Support `ConfigBaseline` für detektive Kontrollen eingeführt, ohne dass umfassende Anforderungen erforderlich sind. `AWSControlTowerBaseline` Ein serviceverknüpfter Config Aggregator ersetzt frühere Aggregationsmethoden und optimiert so die Erfassung von Compliance-Daten. 

 Darüber hinaus wird das Manifestfeld optional, was minimalistische Landezone-Bereitstellungen ermöglicht, die sich ausschließlich auf AWS Organizations Integration und Steuerung konzentrieren. Diese Änderungen bieten mehr Anpassungsmöglichkeiten bei gleichzeitiger Beibehaltung robuster Governance-Funktionen, sodass Kunden AWS Control Tower effektiver an ihre spezifischen Bedürfnisse anpassen können. 

**Topics**
+ [Die wichtigsten Änderungen](key-changes-lz-v4.md)
+ [Aktualisierungen der AWS Config](config-updates-v4.md)

# Die wichtigsten Änderungen
<a name="key-changes-lz-v4"></a>

**Anmerkung**  
 Die Definitionen von „registriert“ und „registriert“ haben sich mit dieser neuen Version von AWS Control Tower geändert. Wenn auf Ihrem account/OU System eine AWS Control Tower Tower-Ressource aktiviert ist (z. B. Control oder Baseline), wird diese als verwaltete Ressource betrachtet. Die Definition wird nicht mehr vom Vorhandensein der `AWSControlTowerBaseline` Baseline abhängen. 
 Serviceverknüpfte Rollen bleiben in allen landing zone Zone-Versionen erhalten und werden nicht mehr gelöscht, wenn sie „unregistriert“ OUs werden 
 Serviceverknüpfte Rollen können von Kunden nach der Außerbetriebnahme der landing zone nur manuell gelöscht werden 
+  **Voraussetzung für Landing Zone 4.0:** Stellen Sie beim Upgrade auf Version 4.0 über die API sicher, dass die `AWSControlTowerCloudTrailRole` Servicerolle die neue verwaltete Richtlinie `AWSControlTowerCloudTrailRolePolicy` anstelle der vorhandenen Inline-Richtlinie verwendet. [Trennen Sie die aktuelle Inline-Richtlinie und hängen Sie die neue verwaltete Richtlinie an, wie in der Dokumentation beschrieben.](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRolePolicy) 
+  **Optionales Manifest:** Das Manifestfeld in der Landingzone-API ist jetzt optional. Kunden können Landing Zones ohne Serviceintegrationen erstellen. Für Bestandskunden, die das Manifestfeld bereits verwenden, hat dies keine Auswirkungen. 
+  **Optionale Organisationsstruktur:** AWS Control Tower erzwingt oder verwaltet die Erstellung der Sicherheits-OU nicht mehr, sodass Kunden ihre eigene Organisationsstruktur definieren und verwalten können. AWS Control Tower verlangt jedoch, dass alle Konten, die für jede AWS-Serviceintegration konfiguriert sind, derselben übergeordneten Organisationseinheit angehören. Für Kunden, die den AWS Control Tower bereits eingerichtet haben und über die Security OU verfügen, hat dies keine Auswirkungen. AWS Control Tower stellt automatisch die Ressourcen und Kontrollen bereit, die für die Verwaltung von Service-Integrationskonten in der Security OU erforderlich sind. Wenn beispielsweise die AWS Config-Integration aktiviert ist, ist die AWS Config-Aufzeichnung in allen Serviceintegrationskonten aktiviert. Die AWS Control Tower Baseline und die AWS Config Baseline gelten nicht für die Security OU und Integrationskonten. Um die Serviceintegrationen zu ändern, aktualisieren Sie die landing zone Zone-Einstellungen. 
**Anmerkung**  
 Die Einrichtung der Organisationsstruktur für die AWS Control Tower landing zone 4.0 hat sich gegenüber früheren landing zone Zone-Versionen geändert. AWS Control Tower erstellt die angegebene Sicherheits-OU nicht mehr. Die Organisationseinheit mit den Serviceintegrationskonten wird die designierte Sicherheits-OU sein. 
 Wenn Mitgliedskonten in die Organisationseinheit verschoben werden, in der sich die Konten für jede Integration befinden, werden die aktivierten Steuerelemente für diese Organisationseinheit unabhängig davon, ob die automatische Registrierung aktiviert oder deaktiviert ist, verschoben. 
+  **Drift-Benachrichtigungen:** AWS Control Tower beendet das Senden von Drift-Benachrichtigungen an das SNS-Thema für alle Kunden in der landing zone 4.0, wenn die `AWSControlTowerBaseline` Option nicht aktiviert ist, und sendet stattdessen Drift-Benachrichtigungen EventBridge an das Verwaltungskonto. Beispiele für Ereignisse und Anleitungen zum Empfangen von Drift-Benachrichtigungen finden EventBridge Sie in [diesem Leitfaden](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html). 
+  **Optionale Serviceintegrationen:** Sie haben jetzt die Möglichkeit, enable/disable alle AWS Control Tower Tower-Integrationen AWS Config, einschließlich AWS, und, zu CloudTrail nutzen SecurityRoles. AWS Backup Diese Integrationen verfügen jetzt auch über optional erforderliche `enabled` Flags in der API. Die Baselines, die möglicherweise für Ihre landing zone oder Ihre gemeinsamen Konten gelten, hängen jetzt voneinander ab. Die spezifischen Abhängigkeiten der Integrationen sind: 
  + Aktivierung:
    +  `CentralSecurityRolesBaseline`→ muss aktiviert `CentralConfigBaseline` sein 
    +  `IdentityCenterBaseline`→ `CentralSecurityRolesBaseline` muss aktiviert sein 
    +  `BackupCentralVaultBaseline`→ `CentralSecurityRolesBaseline` muss aktiviert sein 
    +  `BackupAdminBaseline`→ `CentralSecurityRolesBaseline` muss aktiviert sein 
    +  `LogArchiveBaseline`→ unabhängig (keine Abhängigkeiten) 
    +  `CentralConfigBaseline`→ unabhängig (keine Abhängigkeiten) 
  + Behinderung: 
    +  `CentralConfigBaseline`kann nur deaktiviert werden`CentralSecurityRolesBaseline`, wenn`IdentityCenterBaseline`, `BackupAdminBaseline` und `BackupCentralVaultBaseline` Baselines zuerst deaktiviert wurden. 
    +  `CentralSecurityRolesBaseline`kann nur deaktiviert werden`IdentityCenterBaseline`, wenn `BackupAdminBaseline` und `BackupCentralVaultBaseline` Baselines zuerst deaktiviert werden. 
    +  `IdentityCenterBaseline`kann unabhängig deaktiviert werden. 
    +  `BackupAdminBaseline`und `BackupCentralVaultBaseline` Baselines können unabhängig voneinander deaktiviert werden 
    +  `LogArchiveBaseline`können unabhängig deaktiviert werden 

# Aktualisierungen der AWS Config
<a name="config-updates-v4"></a>
+  **Dedizierte Ressourcen für AWS Config und AWS CloudTrail:** AWS Config und AWS verwenden CloudTrail jetzt separate dedizierte S3-Buckets und SNS-Themen anstelle von gemeinsam genutzten Ressourcen. Kunden haben nur begrenzte Flexibilität, ein einzelnes oder separate Konten für mehrere Integrationen zu verwenden. 
  +  Beim Upgrade auf AWS Control Tower landing zone Version 4.0 werden vorhandene Daten und S3-Buckets nicht verschoben. Die CloudTrail AWS-Integration verwendet weiterhin den vorhandenen S3-Bucket mit Präfix`aws-controltower-logs`. Die neuen AWS Config-Daten nach dem Aktualisierungsvorgang werden in einem neuen S3-Bucket mit einem Präfix gespeichert`aws-controltower-config`, das AWS Control Tower in dem dafür vorgesehenen Konto erstellt CentralConfigBaseline. 
**Anmerkung**  
 Wenn Sie die CloudTrail AWS-Integration in der landing zone 4.0 zum ersten Mal aktivieren, werden jedes Mal neue S3-Buckets mit Präfix erstellt `aws-controltower-cloudtrail` 
  +  Änderungen des Datenstandorts: Bestandskunden, die von zuvor gemeinsam genutzten Ressourcen auf dedizierte Ressourcen umsteigen, verfügen über AWS Config CloudTrail AWS-Daten in verschiedenen S3-Buckets. Etablierte Kundenabläufe und Tools müssen möglicherweise aktualisiert werden, um auf Daten von neuen Bucket-Standorten aus zugreifen zu können. 
  +  AWS CloudTrail bleibt weiterhin im selben bestehenden Bucket, aber die AWS Config Daten werden in einem neuen S3-Bucket gespeichert, der von AWS Control Tower erstellt wurde. 
  +  Kunden können eine Bucket-übergreifende Replikation einrichten, wenn sie verschiedene Protokolle in einem einzigen Bucket zentralisieren möchten. Weitere Informationen finden Sie in der [S3-Dokumentation](https://docs.aws.amazon.com//AmazonS3/latest/userguide/replication.html). 
  +  Wenn Sie Konten mit bereits bestehenden AWS Config-Lieferkanälen registriert haben, die nicht von AWS Control Tower in Regionen erstellt wurden, die von AWS Control Tower verwaltet werden, aktualisieren Sie den S3-Bucket-Namen der Delivery Channels auf den neuen S3-Bucket mit Präfix `aws-controltower-config-logs-` im AWS Config-Integrationskonto, damit er mit den AWS Control Tower Tower-Konfigurationen in der landing zone 4.0 konsistent ist. Weitere Details finden Sie unter [Konten registrieren, die über vorhandene AWS Config Ressourcen verfügen](existing-config-resources.md). 
+  **AWS Config Integration auf landing zone Version 4.0:** Bei der Migration zur landing zone 4.0 mit aktivierter AWS Config Integration würden Kunden die folgenden Änderungen sehen - 

  1.  Das bestehende Audit-Konto ist als delegierter Administrator für registriert. AWS Config

  1.  Der Service-Linked Config Aggregator wird im Audit-Konto (AWS Config zentrales Aggregatorkonto für Neukunden und Audit-Konto für Bestandskunden) bereitgestellt. Der neue Aggregator kann Daten von jedem AWS Config Recorder in der Organisation aggregieren, auch von Konten, die nicht von Control Tower verwaltet werden. 

  1.  Bestehende Aggregatoren werden gelöscht — Der Organisationsaggregator im Verwaltungskonto (`aws-controltower-ConfigAggregatorForOrganizations`) und der Kontoaggregator im Auditkonto (`aws-controltower-GuardRailsComplianceAggregator`) werden gelöscht. 

  1.  Da der Konfigurationsaggregator dienstgebunden ist, werden die Kontrollen, die mit gelöschten Aggregatoren verknüpft sind, automatisch entfernt. 

     1. [Änderungen an Tags verbieten, die von AWS Control Tower für AWS-Konfigurationsressourcen erstellt wurden](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#cloudwatch-disallow-config-changes)

     1. [Löschen von AWS Config Aggregation-Autorisierungen, die von AWS Control Tower erstellt wurden, nicht zulassen](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy)
+  **Neue `ConfigBaseline` Ausgangsbasis:** Auf OU-Ebene gibt es jetzt eine separate Lösung `ConfigBaseline` für die Unterstützung von Detective Controls, ohne dass ein umfassender Support erforderlich ist. `AWSControlTowerBaseline` Weitere Informationen finden Sie [in der Liste der Basistypen auf OU-Ebene](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types). Für Bestandskunden, die die Standard-Landezone verwenden, sind alle Serviceintegrationen jetzt optional, mit dem Vorbehalt der Abhängigkeitsanforderungen, die unter beschrieben werden. [Die wichtigsten Änderungen](key-changes-lz-v4.md) 
+  **Service-Linked Config Aggregator:** Ersetzt Organisations- und Kontoaggregatoren im AWS Config zentralen Aggregatorkonto. 
  +  Beim Upgrade auf landing zone 4.0 mit aktivierter AWS Config Integration benötigen Kunden `organizations:ListDelegatedAdministrators` Berechtigungen 

    ```
    {
       "Version": "2012-10-17",		 	 	 
       "Statement": [
          {
             "Effect": "Allow",
             "Action": [
               "backup:UpdateGlobalSettings",
               "controltower:CreateLandingZone",
               "controltower:UpdateLandingZone",
               "controltower:ResetLandingZone",
               "controltower:DeleteLandingZone",
               "controltower:GetLandingZoneOperation",
               "controltower:GetLandingZone",
               "controltower:ListLandingZones",
               "controltower:ListLandingZoneOperations",
               "controltower:ListTagsForResource",
               "controltower:TagResource",
               "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
             ],
             "Resource": "*"
          }
       ]
    }
    ```