Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mises à jour d'AWS Config
-
Ressources dédiées pour AWS Config et AWS CloudTrail : AWS utilise CloudTrail désormais des compartiments S3 AWS Config et des rubriques SNS dédiés distincts au lieu de ressources partagées. Les clients ne disposent que d'une flexibilité limitée quant à l'utilisation d'un seul compte ou de comptes distincts pour de multiples intégrations.
-
Lors de la mise à niveau vers la version 4.0 d'AWS Control Tower landing zone, les données existantes et les compartiments S3 ne sont pas déplacés. CloudTrail L'intégration AWS continue d'utiliser le compartiment S3 existant avec le préfixe
aws-controltower-logs. Les nouvelles données AWS Config après l'opération de mise à jour seront stockées dans un nouveau compartiment S3 avec un préfixeaws-controltower-configcréé par AWS Control Tower dans le compte désigné pour le CentralConfigBaseline.Note
L'activation de CloudTrail l'intégration AWS sur la zone de landing zone 4.0 pour la première fois créera à chaque fois de nouveaux compartiments S3 avec un préfixe
aws-controltower-cloudtrail -
Changements relatifs à l'emplacement des données : les clients existants passant de ressources précédemment partagées à des ressources dédiées AWS Config disposeront de CloudTrail données AWS dans différents compartiments S3. Les flux de travail et les outils existants des clients peuvent nécessiter des mises à jour pour accéder aux données à partir de nouveaux emplacements de compartiments.
-
AWS CloudTrail restera dans le même compartiment existant, mais les AWS Config données figureront dans un nouveau compartiment S3 créé par AWS Control Tower.
-
Les clients peuvent configurer la réplication entre compartiments s'ils souhaitent centraliser différents journaux dans un seul compartiment. Consultez la documentation S3 pour plus d'informations.
-
Si vous avez inscrit des comptes avec des canaux de distribution AWS Config préexistants qui n'ont pas été créés par AWS Control Tower dans les régions régies par AWS Control Tower, remplacez le nom du bucket S3 des Delivery Channels par le nouveau bucket S3 avec le préfixe dans le compte d'intégration
aws-controltower-config-logs-AWS Config afin d'être cohérent avec les configurations d'AWS Control Tower sur la landing zone 4.0. Pour plus d'informations, consultez Inscrire des comptes disposant de ressources existantes AWS Config.
-
-
AWS Config intégration sur la zone d'atterrissage version 4.0 : lors de la migration vers la zone d'atterrissage 4.0 avec AWS Config l'intégration activée, les clients constateraient les modifications suivantes :
-
Le compte d'audit existant est enregistré en tant qu'administrateur délégué pour AWS Config.
-
L'agrégateur de configuration lié au service est déployé dans le compte d'audit (compte agrégateur AWS Config central pour les nouveaux clients et compte d'audit pour les clients existants). Le nouvel agrégateur peut agréger les données de n'importe quel AWS Config enregistreur de l'organisation, y compris les comptes non gérés par Control Tower.
-
Les agrégateurs existants seront supprimés - L'agrégateur d'organisation dans le compte de gestion (
aws-controltower-ConfigAggregatorForOrganizations) et l'agrégateur de compte dans le compte d'audit (aws-controltower-GuardRailsComplianceAggregator) seront supprimés. -
Les contrôles associés aux agrégateurs supprimés seront automatiquement supprimés. En outre, étant donné que AWS Config les règles et l'agrégateur de configuration seront des ressources liées aux services, la protection des politiques de contrôle des services ne sera plus requise.
-
-
Nouvelle
ConfigBaselinebase de référence : il existe désormais un support distinctConfigBaselineau niveau de l'unité d'organisation pour le support des contrôles de détection, sans qu'il soit nécessaire de recourir à une solution complèteAWSControlTowerBaseline. Consultez la liste des types de lignes de base au niveau de l'unité d'organisation pour plus d'informations. Pour les clients existants qui utilisent la zone d'atterrissage par défaut, toutes les intégrations de services sont désormais facultatives, sous réserve des exigences de dépendance décrites dans. Principaux changements -
Agrégateur de configuration lié au service : remplace les agrégateurs d'organisations et de comptes dans le AWS Config compte agrégateur central.
-
Lors de la mise à niveau vers la landing zone 4.0 avec AWS Config intégration activée, les clients doivent disposer d'
organizations:ListDelegatedAdministratorsautorisations{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup:UpdateGlobalSettings", "controltower:CreateLandingZone", "controltower:UpdateLandingZone", "controltower:ResetLandingZone", "controltower:DeleteLandingZone", "controltower:GetLandingZoneOperation", "controltower:GetLandingZone", "controltower:ListLandingZones", "controltower:ListLandingZoneOperations", "controltower:ListTagsForResource", "controltower:TagResource", "controltower:UntagResource", "servicecatalog:*", "organizations:*", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "sso:*", "sso-directory:*", "logs:*", "cloudformation:*", "kms:*", "iam:GetRole", "iam:CreateRole", "iam:GetSAMLProvider", "iam:CreateSAMLProvider", "iam:CreateServiceLinkedRole", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:ListAttachedRolePolicies", "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy" ], "Resource": "*" } ] }
-
