Gérez les configurations des ressources avec AWS Config - AWS Control Tower
Intégration d'AWS Config dans la Control Tower Landing Zone 4.0

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérez les configurations des ressources avec AWS Config

AWS Config fournit une vue détaillée des ressources associées à votre AWS compte, notamment de leur configuration, de leur relation entre elles et de l'évolution des configurations et de leurs relations au fil du temps. Pour plus d’informations, consultez le Guide du développeur AWS Config.

AWS Config les ressources mises en service par AWS Control Tower sont automatiquement aws-control-tower étiquetées avec une valeur demanaged-by-control-tower.

Pour plus d'informations sur la façon dont AWS Config les ressources sont surveillées et enregistrées dans AWS Control Tower, ainsi que sur la façon dont elles sont facturées, consultezSurveillez l'évolution des ressources avec AWS Config.

AWS Control Tower utilise AWS Config Rules pour implémenter des contrôles de détection. Pour plus d'informations, consultez À propos des contrôles dans AWS Control Tower.

Intégration d'AWS Config dans la Control Tower Landing Zone 4.0

Agrégateur de configuration lié à un service (SLCA)

AWS Control Tower implémente désormais un agrégateur de configuration lié au service (SLCA) dans le cadre de la Landing Zone 4.0+. Cette modification représente une amélioration significative de la manière dont les données AWS Config sont agrégées et gérées au sein de votre organisation.

Principaux changements

Déploiement d'un nouvel agrégateur de configuration lié à un service

  • Un agrégateur de configuration lié à un service est déployé dans le compte d'intégration AWS Config que vous avez désigné.

  • Pour les clients existants, ce sera votre compte d'audit

  • Pour les nouveaux clients, il s'agira du compte indiqué dans le config.accountId champ du manifeste

Administrateur délégué

  • Le compte agrégateur AWS Config devient l'administrateur délégué d'AWS Config

  • AWS Control Tower configure automatiquement les paramètres d'administration délégués

  • Cela permet une gestion centralisée d'AWS Config dans l'ensemble de votre organisation

Migration depuis les anciens agrégateurs

Lors de la mise à niveau vers Landing Zone 4.0 :

  • L'agrégateur d'organisations du compte de gestion sera supprimé.

  • L'agrégateur de comptes du compte d'audit sera supprimé.

  • Ils sont remplacés par le nouvel agrégateur de configuration lié au service dans le compte d'agrégateur d'intégration AWS Config.

Agrégation de données améliorée

L'agrégateur de configuration lié au service fournit des fonctionnalités améliorées pour l'agrégation des données de configuration :

  • Peut agréger les données de n'importe quel enregistreur AWS Config de votre organisation

  • Inclut des données provenant de comptes non gérés par Control Tower

  • Fournit une vue complète des éléments de configuration au sein de votre organisation

  • Prend en charge des contrôles périmétriques de données améliorés

Importantes considérations

Configuration de l'administrateur délégué

  • AWS Control Tower utilisera le compte indiqué dans votre manifeste pour l'intégration d'AWS Config

  • Ce compte sera automatiquement configuré en tant qu'administrateur délégué

  • Aucune action supplémentaire n'est requise de la part des clients pour cette configuration

  • Pour les clients existants, votre ancien compte d'intégration Security Roles (compte d'audit) sera configuré en tant que compte agrégateur central AWS Config lors de la mise à niveau de Landing Zone 4.0

Champ d'agrégation des données

  • L'agrégateur de configuration lié au service peut agréger les données de configuration provenant de :

    • Comptes gérés par Control Tower

    • Comptes non gérés par Control Tower

    • Tout compte doté d'un enregistreur Config actif dans votre organisation

Contrôles d'accès

  • L'accès aux données agrégées est géré par le biais de politiques IAM

  • Le compte agrégateur central AWS Config dispose d'un accès centralisé à toutes les données agrégées

  • Les comptes membres gèrent leurs enregistreurs AWS Config individuels

Bonnes pratiques

Sélection du compte Config Central Aggregator

  • Choisissez un compte dédié à la surveillance de la sécurité et de la conformité

  • Assurez-vous que les contrôles d'accès appropriés sont en place

  • Envisagez d'utiliser un compte d'audit ou de sécurité existant

Gestion des données

  • Passez régulièrement en revue les données de configuration agrégées

  • Mettre en œuvre des politiques de rétention appropriées

  • Surveillez l'état de l'enregistreur AWS Config sur l'ensemble des comptes

Impact de la migration

Lors de la mise à niveau vers Landing Zone 4.0 :

Avant la migration

  • Documenter les règles et les agrégateurs AWS Config existants

  • Passez en revue les modèles d'accès aux données AWS Config actuels

  • Planifiez toutes les mises à jour nécessaires de la politique IAM

Pendant la migration

  • Les anciens agrégateurs AWS Config seront automatiquement supprimés

  • L'agrégateur de configuration lié au service sera déployé

  • L'administrateur délégué sera configuré

Après la migration

  • Vérifiez que l'agrégateur de configuration lié au service fonctionne correctement

  • Confirmer l'agrégation des données provenant des comptes des membres

  • Mettez à jour les outils de surveillance et de reporting selon les besoins