Mengatur Konfigurasi Sumber Daya dengan AWS Config - AWS Control Tower
Integrasi AWS Config di Control Tower Landing Zone 4.0

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengatur Konfigurasi Sumber Daya dengan AWS Config

AWS Config memberikan tampilan rinci tentang sumber daya yang terkait dengan AWS akun Anda, termasuk bagaimana mereka dikonfigurasi, bagaimana mereka terkait satu sama lain, dan bagaimana konfigurasi dan hubungan mereka telah berubah dari waktu ke waktu. Untuk informasi selengkapnya, silakan lihat Panduan Developer AWS Config.

AWS Config sumber daya yang disediakan oleh AWS Control Tower ditandai secara otomatis dengan aws-control-tower dan nilainya. managed-by-control-tower

Untuk informasi selengkapnya tentang cara AWS Config memonitor dan merekam sumber daya di AWS Control Tower, dan cara tagihannya kepada Anda, lihatPantau perubahan sumber daya dengan AWS Config.

AWS Control Tower digunakan Aturan AWS Config untuk mengimplementasikan kontrol detektif. Untuk informasi selengkapnya, lihat Tentang kontrol di AWS Control Tower.

Integrasi AWS Config di Control Tower Landing Zone 4.0

Agregator Konfigurasi Tertaut Layanan (SLCA)

AWS Control Tower sekarang mengimplementasikan Service-Linked Config Aggregator (SLCA) sebagai bagian dari Landing Zone 4.0+. Perubahan ini menunjukkan peningkatan yang signifikan dalam cara data AWS Config dikumpulkan dan dikelola di seluruh organisasi Anda.

Perubahan Kunci

Penerapan Agregator Config Tertaut Layanan Baru

  • Agregator Konfigurasi Tertaut Layanan diterapkan di akun integrasi AWS Config yang Anda tentukan.

  • Untuk pelanggan yang sudah ada, ini akan menjadi akun audit Anda

  • Untuk pelanggan baru, ini akan menjadi akun yang ditentukan di config.accountId bidang manifes

Administrator yang didelegasikan

  • Akun agregator AWS Config menjadi administrator yang didelegasikan untuk AWS Config

  • AWS Control Tower secara otomatis mengonfigurasi pengaturan admin yang didelegasikan

  • Ini memungkinkan pengelolaan AWS Config terpusat di seluruh organisasi Anda

Migrasi dari Legacy Aggregator

Selama upgrade ke Landing Zone 4.0:

  • Agregator organisasi di akun manajemen akan dihapus.

  • Agregator akun di akun audit akan dihapus.

  • Ini digantikan oleh Agregator Config tertaut layanan baru di akun agregator integrasi AWS Config.

Agregasi Data yang Ditingkatkan

Config Aggregator yang ditautkan layanan menyediakan kemampuan yang ditingkatkan untuk agregasi data Config:

  • Dapat mengumpulkan data dari perekam AWS Config apa pun di organisasi Anda

  • Termasuk data dari akun yang tidak dikelola oleh Control Tower

  • Menyediakan tampilan komprehensif item konfigurasi di seluruh organisasi Anda

  • Mendukung kontrol perimeter data yang disempurnakan

Pertimbangan Penting

Konfigurasi Administrator yang Delegasikan

  • AWS Control Tower akan menggunakan akun yang ditentukan dalam manifes Anda untuk integrasi AWS Config

  • Akun ini akan secara otomatis dikonfigurasi sebagai administrator yang didelegasikan

  • Tidak ada tindakan tambahan yang diperlukan dari pelanggan untuk konfigurasi ini

  • Untuk pelanggan lama, akun integrasi Peran Keamanan Anda sebelumnya (akun Audit) akan dikonfigurasi sebagai akun agregator pusat AWS Config selama peningkatan Landing Zone 4.0

Lingkup Agregasi Data

  • Service-Linked Config Aggregator dapat menggabungkan data konfigurasi dari:

    • Akun terkelola Control Tower

    • Akun terkelola Non-Control Tower

    • Akun apa pun dengan perekam Config aktif di organisasi Anda

Kontrol Akses

  • Akses ke data agregat dikelola melalui kebijakan IAM

  • Akun agregator pusat AWS Config memiliki akses pusat ke semua data agregat

  • Akun anggota mempertahankan perekam AWS Config masing-masing

Praktik Terbaik

Pemilihan Akun Agregator Pusat Config

  • Pilih akun yang didedikasikan untuk pemantauan keamanan dan kepatuhan

  • Pastikan kontrol akses yang tepat sudah ada

  • Pertimbangkan untuk menggunakan akun audit atau keamanan yang ada

Pengelolaan Data

  • Tinjau data konfigurasi agregat secara teratur

  • Menerapkan kebijakan retensi yang sesuai

  • Pantau status perekam AWS Config di seluruh akun

Dampak Migrasi

Saat memutakhirkan ke Landing Zone 4.0:

Sebelum Migrasi

  • Dokumentasikan aturan dan agregator AWS Config yang ada

  • Tinjau pola akses data AWS Config saat ini

  • Rencanakan pembaruan kebijakan IAM yang diperlukan

Selama Migrasi

  • Agregator AWS Config lama akan dihapus secara otomatis

  • Agregator Config Tertaut Layanan akan diterapkan

  • Administrator yang didelegasikan akan dikonfigurasi

Setelah Migrasi

  • Verifikasi Service-Linked Config Aggregator berfungsi dengan benar

  • Konfirmasikan agregasi data dari akun anggota

  • Perbarui alat pemantauan dan pelaporan sesuai kebutuhan