Actualizaciones de AWS Config

Recursos dedicados para AWS CloudTrail: AWS Config AWS Config y AWS CloudTrail ahora usa temas de SNS y buckets de S3 dedicados por separado en lugar de recursos compartidos. Los clientes tienen una flexibilidad limitada para usar una cuenta única o independiente para múltiples integraciones.
- Al actualizar a la versión 4.0 de la zona de aterrizaje de AWS Control Tower, los datos existentes y los depósitos de S3 no se mueven. CloudTrail La integración de AWS sigue utilizando el depósito de S3 existente con prefijoaws-controltower-logs. Los nuevos datos de AWS Config posteriores a la operación de actualización se almacenarán en un nuevo bucket de S3 con el prefijo aws-controltower-config que AWS Control Tower cree en la cuenta designada para el CentralConfigBaseline.
  nota
  Al habilitar CloudTrail la integración de AWS en landing zone 4.0 por primera vez, se crearán nuevos buckets de S3 cada vez con prefijo aws-controltower-cloudtrail
- Cambios en la ubicación de los datos: los clientes actuales que pasen de recursos previamente compartidos a recursos dedicados AWS Config dispondrán de CloudTrail datos de AWS en diferentes grupos de S3. Es posible que los flujos de trabajo y las herramientas de los clientes establecidos necesiten actualizaciones para acceder a los datos desde las nuevas ubicaciones de los segmentos.
- AWS CloudTrail seguirá en el mismo depósito existente, pero los AWS Config datos estarán en un nuevo depósito de S3 creado por la Torre de Control de AWS.
- Los clientes pueden configurar la replicación entre cubos si desean centralizar diferentes registros en un solo depósito. Consulte la documentación de S3 para obtener más información.
- Si ha inscrito cuentas con canales de entrega de AWS Config preexistentes que no fueron creados por AWS Control Tower en regiones gobernadas por la Torre de Control de AWS, actualice el nombre del bucket S3 de los canales de entrega por el nuevo bucket de S3 con prefijo en la cuenta de integración de aws-controltower-config-logs- AWS Config para que sea coherente con las configuraciones de AWS Control Tower en la zona de aterrizaje 4.0. Consulte más detalles en Inscribir cuentas que cuenten con AWS Config recursos existentes.
AWS Config integración en la versión 4.0 de landing zone: al migrar a landing zone 4.0 con la AWS Config integración habilitada, los clientes verían los siguientes cambios -
1. La cuenta de auditoría existente está registrada como administrador delegado para. AWS Config
2. El agregador Config Linked Service-Linked se implementa en la cuenta de auditoría (cuenta agregadora AWS Config central para clientes nuevos y cuenta de auditoría para clientes existentes). El nuevo agregador puede agregar datos de cualquier AWS Config grabador de la organización, incluidas las cuentas no administradas por Control Tower.
3. Se eliminarán los agregadores existentes: se eliminarán el agregador de organizaciones en la cuenta de administración (aws-controltower-ConfigAggregatorForOrganizations) y el agregador de cuentas en la cuenta de auditoría (aws-controltower-GuardRailsComplianceAggregator).
4. Los controles asociados a los agregadores eliminados se eliminarán automáticamente. Además, dado que el agregador de AWS Config reglas y configuraciones será un recurso vinculado a los servicios, ya no será necesaria la protección de las políticas de control de servicios.
Nueva ConfigBaseline base de referencia: ahora existe un soporte independiente ConfigBaseline a nivel de unidad organizativa para los controles de detección sin necesidad de un soporte integralAWSControlTowerBaseline. Consulte la lista de tipos de referencia a nivel de unidad organizativa para obtener más información. Para los clientes actuales que utilizan la landing zone predeterminada, todas las integraciones de servicios ahora son opcionales, con la salvedad de los requisitos de dependencia que se describen en. Cambios clave

Config Aggregator vinculado a servicios: reemplaza a los agregadores de organizaciones y cuentas en la cuenta del AWS Config agregador central.

Al actualizar a landing zone 4.0 con AWS Config la integración habilitada, los clientes deben tener organizations:ListDelegatedAdministrators permisos



{
   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
           "backup:UpdateGlobalSettings",
           "controltower:CreateLandingZone",
           "controltower:UpdateLandingZone",
           "controltower:ResetLandingZone",
           "controltower:DeleteLandingZone",
           "controltower:GetLandingZoneOperation",
           "controltower:GetLandingZone",
           "controltower:ListLandingZones",
           "controltower:ListLandingZoneOperations",
           "controltower:ListTagsForResource",
           "controltower:TagResource",
           "controltower:UntagResource",
            "servicecatalog:*",
            "organizations:*",
            "organizations:RegisterDelegatedAdministrator",
            "organizations:EnableAWSServiceAccess",
            "organizations:DeregisterDelegatedAdministrator",
            "organizations:ListDelegatedAdministrators",
            "sso:*",
            "sso-directory:*",
            "logs:*",
            "cloudformation:*",
            "kms:*",
            "iam:GetRole",
            "iam:CreateRole",
            "iam:GetSAMLProvider",
            "iam:CreateSAMLProvider",
            "iam:CreateServiceLinkedRole",
            "iam:ListRolePolicies",
            "iam:PutRolePolicy",
            "iam:ListAttachedRolePolicies",
            "iam:AttachRolePolicy",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy"
         ],
         "Resource": "*"
      }
   ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cambios clave

Recomendaciones para la configuración de grupos, roles y políticas

Actualizaciones de AWS Config

nota