Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controle las configuraciones de los recursos con AWS Config
AWS Config proporciona una vista detallada de los recursos asociados a su AWS cuenta, incluida la forma en que están configurados, cómo se relacionan entre sí y cómo han cambiado las configuraciones y sus relaciones a lo largo del tiempo. Para obtener más información, consulte la Guía para desarrolladores de AWS Config.
AWS Config los recursos aprovisionados por AWS Control Tower se etiquetan automáticamente con aws-control-tower un valor demanaged-by-control-tower.
Para obtener más información sobre cómo AWS Config monitorea y registra los recursos en AWS Control Tower y cómo se facturan por ellos, consulteSupervise los cambios en los recursos con AWS Config.
AWS Control Tower se utiliza Reglas de AWS Config para implementar controles de detección. Para obtener más información, consulte About controls in AWS Control Tower.
Integración de AWS Config en Control Tower Landing Zone 4.0
Config Aggregator (SLCA)
AWS Control Tower ahora implementa un agregador de configuración vinculado a servicios (SLCA) como parte de Landing Zone 4.0+. Este cambio representa una mejora significativa en la forma en que se agregan y administran los datos de AWS Config en toda la organización.
Cambios clave
Nueva implementación de Service-Linked Config Aggregator
Se implementa un agregador de configuraciones vinculadas a servicios en la cuenta de integración de AWS Config designada.
Para los clientes actuales, esta será su cuenta de auditoría
Para los clientes nuevos, será la cuenta especificada en el
config.accountIdcampo del manifiesto
Administrador delegado
La cuenta agregadora de AWS Config pasa a ser la administradora delegada de AWS Config
AWS Control Tower configura automáticamente los ajustes de administración delegada
Esto permite la administración centralizada de AWS Config en toda la organización.
Migración desde agregadores antiguos
Durante la actualización a Landing Zone 4.0:
Se eliminará el agregador de organizaciones de la cuenta de administración.
Se eliminará el agregador de cuentas de la cuenta de auditoría.
Estos se sustituyen por el nuevo Config Aggregator vinculado a un servicio en la cuenta del agregador de integraciones de AWS Config.
Agregación de datos mejorada
El Config Aggregator, vinculado a un servicio, proporciona capacidades mejoradas para la agregación de datos de Config:
Puede agregar datos de cualquier grabador de AWS Config de su organización
Incluye datos de cuentas no gestionadas por Control Tower
Proporciona una visión completa de los elementos de configuración de su organización
Soporta controles perimetrales de datos mejorados
Consideraciones importantes
Configuración de administrador delegado
AWS Control Tower utilizará la cuenta especificada en su manifiesto para la integración de AWS Config
Esta cuenta se configurará automáticamente como la administradora delegada
Para esta configuración, los clientes no requieren ninguna acción adicional
Para los clientes actuales, su cuenta de integración anterior de Security Roles (cuenta de auditoría) se configurará como la cuenta agregadora central de AWS Config durante la actualización de Landing Zone 4.0
Ámbito de agregación de datos
-
Service-Linked Config Aggregator puede agregar datos de configuración de:
Cuentas gestionadas por Control Tower
Cuentas no administradas por Control Tower
Cualquier cuenta de tu organización con un grabador Config activo
Controles de acceso
El acceso a los datos agregados se gestiona mediante políticas de IAM
La cuenta agregadora central de AWS Config tiene acceso centralizado a todos los datos agregados
Las cuentas de los miembros mantienen sus grabadoras AWS Config individuales
Prácticas recomendadas
Selección de cuentas de Config Central Aggregator
Elija una cuenta dedicada a la supervisión de la seguridad y el cumplimiento
Asegúrese de que existan los controles de acceso adecuados
Considere la posibilidad de utilizar una cuenta de auditoría o seguridad existente
Administración de datos
Revise periódicamente los datos de configuración agregados
Implemente las políticas de retención adecuadas
Supervise el estado de la grabadora AWS Config en todas las cuentas
Impacto de la migración
Al actualizar a Landing Zone 4.0:
Antes de la migración
Documente las reglas y los agregadores de AWS Config existentes
Revise los patrones actuales de acceso a los datos de AWS Config
Planifique cualquier actualización necesaria de la política de IAM
Durante la migración
Los agregadores de AWS Config antiguos se eliminarán automáticamente
Se implementará el agregador Config Linked
Se configurará el administrador delegado
Después de la migración
Compruebe que Service-Linked Config Aggregator funcione correctamente
Confirme la agregación de datos de las cuentas de los miembros
Actualice las herramientas de supervisión e informes según sea necesario
