Cambios clave

nota

La definición de «registrado» e «inscrito» ha cambiado con esta nueva versión de AWS Control Tower. Cuando account/OU tenga habilitado algún recurso de la Torre de Control de AWS (por ejemplo, control o línea base), se considerará un recurso gobernado. La definición ya no dependerá de la presencia de la AWSControlTowerBaseline línea base.
Los roles vinculados al servicio se conservan en todas las versiones de landing zone y ya no se eliminan cuando OUs se «anula el registro»
Los clientes solo pueden eliminar manualmente los roles vinculados a servicios después del desmantelamiento de la zona de landing zone

Requisito previo para Landing Zone 4.0: al actualizar a la versión 4.0 mediante la API, asegúrese de que el rol de AWSControlTowerCloudTrailRole servicio utilice la nueva política administrada AWSControlTowerCloudTrailRolePolicy en lugar de la política en línea existente. Separe la política en línea actual y adjunte la nueva política gestionada tal y como se describe en la documentación.
Manifiesto opcional: el campo de manifiesto de la API de landing zone ahora es opcional. Los clientes pueden crear zonas de aterrizaje sin ninguna integración de servicios. Esto no afecta a los clientes actuales que ya utilizan el campo de manifiesto.
Estructura organizativa opcional: AWS Control Tower ya no aplica ni administra la creación de unidades organizativas de seguridad para que los clientes puedan definir y administrar su propia estructura organizativa. Sin embargo, AWS Control Tower requerirá que todas las cuentas configuradas para cada integración de servicios de AWS estén en la misma OU principal. Esto no afectará a los clientes que ya hayan configurado la Torre de Control de AWS y dispongan de la unidad organizativa de seguridad. AWS Control Tower implementa automáticamente los recursos y controles necesarios para administrar las cuentas de integración de servicios en la OU de seguridad. Por ejemplo, cuando la integración de AWS Config está habilitada, la grabación de AWS Config está habilitada en todas las cuentas de integración de servicios. AWS Control Tower Baseline y AWS Config Baseline no se aplican a la unidad organizativa de seguridad ni a las cuentas de integración. Para cambiar las integraciones de servicios, actualiza la configuración de landing zone.
nota
- La configuración de la estructura organizativa de la zona de aterrizaje 4.0 de AWS Control Tower ha cambiado con respecto a las versiones anteriores de landing zone. AWS Control Tower ya no creará la unidad organizativa de seguridad designada. La OU con las cuentas de integración de servicios será la OU de seguridad designada.
- Si las cuentas de los miembros se trasladan a la OU donde residen las cuentas de cada integración, los controles habilitados en esa OU se desplazan independientemente de si la inscripción automática está activada o desactivada.
Notificaciones de derrapes: AWS Control Tower dejará de enviar notificaciones de derrapes a SNS topic a todos los clientes de landing zone 4.0 que no AWSControlTowerBaseline estén habilitadas y, EventBridge en su lugar, empezará a enviar notificaciones de derrapes a la cuenta de administración. Para ver ejemplos de eventos y obtener orientación sobre cómo recibir notificaciones de derrape a través de EventBridge ellos, consulte esta guía.
Integraciones de servicios opcionales: ahora puede utilizar enable/disable todas las integraciones de AWS Control Tower CloudTrail SecurityRoles, incluidas AWS Config AWS y. AWS Backup Estas integraciones ahora también tienen marcas opcionales obligatorias en la enabled API. Las líneas base que pueden aplicarse a tu landing zone o a tus cuentas compartidas ahora dependen unas de otras. Las dependencias específicas de las integraciones son:
- Habilitación:
  - CentralSecurityRolesBaseline→ debe CentralConfigBaseline estar activado
  - IdentityCenterBaseline→ debe CentralSecurityRolesBaseline estar activado
  - BackupCentralVaultBaseline→ debe CentralSecurityRolesBaseline estar activado
  - BackupAdminBaseline→ debe CentralSecurityRolesBaseline estar activado
  - LogArchiveBaseline→ independiente (sin dependencias)
  - CentralConfigBaseline→ independiente (sin dependencias)
- Inhabilitación:
  - CentralConfigBaselinesolo se puede deshabilitar si CentralSecurityRolesBaselineIdentityCenterBaseline, BackupAdminBaseline y las BackupCentralVaultBaseline líneas base se deshabilitan primero.
  - CentralSecurityRolesBaselinesolo se puede deshabilitar siIdentityCenterBaseline, BackupAdminBaseline y las BackupCentralVaultBaseline líneas base se deshabilitan primero.
  - IdentityCenterBaselinese puede desactivar de forma independiente.
  - BackupAdminBaseliney las BackupCentralVaultBaseline líneas base se pueden desactivar de forma independiente
  - LogArchiveBaselinese puede desactivar de forma independiente

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Guía de migración a la versión 4.0 de Landing Zone

Actualizaciones de AWS Config