Pembaruan AWS Config - AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pembaruan AWS Config

  • Sumber daya khusus untuk AWS Config dan AWS CloudTrail: AWS Config dan AWS CloudTrail sekarang menggunakan bucket S3 dan topik SNS khusus yang terpisah alih-alih sumber daya bersama. Pelanggan memiliki fleksibilitas terbatas untuk menggunakan akun tunggal atau terpisah untuk beberapa integrasi.

    • Saat memutakhirkan ke AWS Control Tower landing zone versi 4.0, data yang ada dan bucket S3 tidak dipindahkan. CloudTrail Integrasi AWS terus menggunakan bucket S3 yang ada dengan awalanaws-controltower-logs. Data AWS Config baru setelah operasi pembaruan akan disimpan dalam bucket S3 baru dengan awalan yang dibuat AWS Control aws-controltower-config Tower di akun yang ditunjuk untuk. CentralConfigBaseline

      catatan

      Mengaktifkan CloudTrail integrasi AWS di landing zone 4.0 untuk pertama kalinya akan membuat bucket S3 baru setiap kali dengan awalan aws-controltower-cloudtrail

    • Perubahan Lokasi Data: Pelanggan yang sudah ada yang meningkatkan dari sumber daya yang dibagikan sebelumnya ke sumber daya khusus akan memiliki AWS Config dan CloudTrail data AWS dalam bucket S3 yang berbeda. Alur kerja dan alat pelanggan yang sudah mapan mungkin memerlukan pembaruan untuk mengakses data dari lokasi bucket baru.

    • AWS CloudTrail akan terus berada di bucket yang sama, tetapi AWS Config data akan berada di bucket S3 baru yang dibuat oleh AWS Control Tower.

    • Pelanggan dapat mengatur replikasi cross-bucket jika mereka ingin memusatkan log yang berbeda ke satu ember. Silakan lihat dokumentasi S3 untuk informasi lebih lanjut.

    • Jika Anda telah mendaftarkan akun dengan Saluran Pengiriman AWS Config yang sudah ada sebelumnya yang tidak dibuat oleh AWS Control Tower di Wilayah yang diatur oleh AWS Control Tower, perbarui nama bucket S3 Saluran Pengiriman ke bucket S3 baru dengan awalan aws-controltower-config-logs- di akun integrasi AWS Config agar konsisten dengan konfigurasi AWS Control Tower di landing zone 4.0. Lihat detail selengkapnya di Daftarkan akun yang memiliki sumber daya yang ada AWS Config.

  • AWS Config integrasi pada landing zone versi 4.0: Saat bermigrasi ke landing zone 4.0 dengan AWS Config integrasi diaktifkan, pelanggan akan melihat perubahan berikut -

    1. Akun Audit yang ada terdaftar sebagai admin yang didelegasikan untuk AWS Config.

    2. Agregator Konfigurasi Tertaut Layanan disebarkan ke akun Audit (akun agregator AWS Config pusat untuk pelanggan baru dan akun Audit untuk pelanggan lama). Agregator baru dapat mengumpulkan data dari AWS Config Perekam mana pun di organisasi, termasuk akun yang dikelola Non-Control Tower.

    3. Agregator yang ada akan dihapus - Agregator organisasi di akun manajemen (aws-controltower-ConfigAggregatorForOrganizations) dan agregator akun di akun Audit (aws-controltower-GuardRailsComplianceAggregator) akan dihapus.

    4. Kontrol yang terkait dengan agregator yang dihapus akan dihapus secara otomatis. Selain itu, karena AWS Config Aturan dan Agregator Konfigurasi akan menjadi sumber daya terkait layanan, perlindungan kebijakan kontrol layanan tidak lagi diperlukan.

      1. Larang Perubahan pada Tag yang Dibuat oleh AWS Control Tower untuk Sumber Daya AWS Config

      2. Larang Penghapusan Otorisasi Agregasi AWS Config yang Dibuat oleh AWS Control Tower

      3. Larang Perubahan pada Aturan AWS Config yang Diatur oleh AWS Control Tower

  • ConfigBaselineGaris dasar baru: Sekarang ada yang terpisah ConfigBaseline di tingkat OU untuk dukungan kontrol detektif tanpa memerlukan yang komprehensif. AWSControlTowerBaseline Lihat daftar tipe dasar di tingkat OU untuk informasi lebih lanjut. Untuk pelanggan lama yang menggunakan landing zone default, semua integrasi layanan sekarang opsional, dengan peringatan persyaratan ketergantungan yang diuraikan dalam. Perubahan kunci

  • Agregator Konfigurasi Tertaut Layanan: Mengganti agregator organisasi dan akun di akun agregator pusat. AWS Config

    • Saat memutakhirkan ke landing zone 4.0 dengan AWS Config integrasi diaktifkan, pelanggan harus memiliki izin organizations:ListDelegatedAdministrators 

      
{
   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
           "backup:UpdateGlobalSettings",
           "controltower:CreateLandingZone",
           "controltower:UpdateLandingZone",
           "controltower:ResetLandingZone",
           "controltower:DeleteLandingZone",
           "controltower:GetLandingZoneOperation",
           "controltower:GetLandingZone",
           "controltower:ListLandingZones",
           "controltower:ListLandingZoneOperations",
           "controltower:ListTagsForResource",
           "controltower:TagResource",
           "controltower:UntagResource",
            "servicecatalog:*",
            "organizations:*",
            "organizations:RegisterDelegatedAdministrator",
            "organizations:EnableAWSServiceAccess",
            "organizations:DeregisterDelegatedAdministrator",
            "organizations:ListDelegatedAdministrators",
            "sso:*",
            "sso-directory:*",
            "logs:*",
            "cloudformation:*",
            "kms:*",
            "iam:GetRole",
            "iam:CreateRole",
            "iam:GetSAMLProvider",
            "iam:CreateSAMLProvider",
            "iam:CreateServiceLinkedRole",
            "iam:ListRolePolicies",
            "iam:PutRolePolicy",
            "iam:ListAttachedRolePolicies",
            "iam:AttachRolePolicy",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy"
         ],
         "Resource": "*"
      }
   ]
}