Perubahan kunci - AWS Control Tower

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perubahan kunci

catatan

  • Definisi “terdaftar” dan “terdaftar” telah bergeser dengan versi baru AWS Control Tower ini. Jika Anda account/OU mengaktifkan sumber daya AWS Control Tower (misalnya kontrol atau baseline), sumber daya AWS Control Tower akan dianggap sebagai sumber daya yang diatur. Definisi tidak akan lagi didorong oleh kehadiran AWSControlTowerBaseline baseline.

  • Peran Tertaut Layanan dipertahankan di semua versi landing zone dan tidak lagi dihapus saat OUs menjadi “tidak terdaftar”

  • Peran Tertaut Layanan hanya dapat dihapus secara manual oleh pelanggan setelah penonaktifan landing zone

  • Prasyarat untuk Landing Zone 4.0: Saat memutakhirkan ke versi 4.0 melalui API, pastikan peran AWSControlTowerCloudTrailRole layanan menggunakan kebijakan terkelola baru, AWSControlTowerCloudTrailRolePolicy bukan kebijakan sebaris yang ada. Lepaskan kebijakan inline saat ini dan lampirkan kebijakan terkelola baru seperti yang dijelaskan dalam dokumentasi.

  • Manifes Opsional: Bidang manifes di API landing zone sekarang opsional. Pelanggan dapat membuat Zona Pendaratan tanpa integrasi layanan apa pun. Tidak ada dampak bagi pelanggan yang sudah ada yang sudah menggunakan bidang manifes.

  • Struktur Organisasi Opsional: AWS Control Tower tidak lagi memberlakukan atau mengelola pembuatan OU Keamanan sehingga pelanggan dapat menentukan dan mengelola struktur organisasi mereka sendiri. Namun, AWS Control Tower akan mewajibkan semua akun yang dikonfigurasi untuk setiap integrasi layanan AWS berada di bawah OU induk yang sama. Tidak ada dampak bagi pelanggan yang telah menyiapkan AWS Control Tower dan memiliki Security OU. AWS Control Tower secara otomatis menyebarkan sumber daya dan kontrol yang diperlukan untuk mengelola akun integrasi layanan di OU Keamanan. Misalnya, ketika integrasi AWS Config diaktifkan, perekaman AWS Config diaktifkan di semua akun integrasi layanan. AWS Control Tower Baseline dan AWS Config Baseline tidak berlaku untuk OU Keamanan dan akun integrasi. Untuk mengubah integrasi layanan, perbarui pengaturan landing zone.

    catatan

    • Pengaturan struktur organisasi untuk AWS Control Tower landing zone 4.0 telah berubah dari versi landing zone sebelumnya. AWS Control Tower tidak akan lagi membuat OU Keamanan yang ditunjuk. OU dengan akun integrasi layanan akan menjadi OU Keamanan yang ditunjuk.

    • Jika akun anggota pindah ke OU di mana akun untuk setiap integrasi berada, kontrol yang diaktifkan pada OU tersebut akan dialihkan terlepas dari apakah pendaftaran otomatis diaktifkan atau dimatikan.

  • Pemberitahuan Drift: AWS Control Tower akan berhenti mengirimkan notifikasi drift ke topik SNS untuk semua pelanggan di landing zone 4.0 tanpa AWSControlTowerBaseline diaktifkan, dan akan mulai mengirim notifikasi drift ke akun EventBridge manajemen. Untuk meninjau contoh acara dan panduan tentang cara menerima pemberitahuan drift EventBridge, silakan periksa panduan ini.

  • Integrasi Layanan Opsional: Anda sekarang memiliki kemampuan untuk enable/disable semua integrasi AWS Control Tower termasuk CloudTrail, AWS Config AWS SecurityRoles, dan. AWS Backup Integrasi ini juga sekarang memiliki enabled flag yang diperlukan secara opsional di API. Garis dasar yang mungkin berlaku untuk landing zone atau akun bersama Anda sekarang memiliki ketergantungan satu sama lain. Dependensi spesifik Integrasi adalah:

    • Pemberdayaan:

      • CentralSecurityRolesBaselineCentralConfigBaseline perlu diaktifkan

      • IdentityCenterBaselineCentralSecurityRolesBaseline perlu diaktifkan

      • BackupCentralVaultBaselineCentralSecurityRolesBaseline perlu diaktifkan

      • BackupAdminBaselineCentralSecurityRolesBaseline perlu diaktifkan

      • LogArchiveBaseline→ independen (tidak ada dependensi)

      • CentralConfigBaseline→ independen (tidak ada dependensi)

    • Cacat:

      • CentralConfigBaselinehanya dapat dinonaktifkan jikaCentralSecurityRolesBaseline,IdentityCenterBaseline, BackupAdminBaseline dan BackupCentralVaultBaseline baseline dinonaktifkan terlebih dahulu.

      • CentralSecurityRolesBaselinehanya dapat dinonaktifkan jikaIdentityCenterBaseline, BackupAdminBaseline dan BackupCentralVaultBaseline baseline dinonaktifkan terlebih dahulu.

      • IdentityCenterBaselinedapat dinonaktifkan secara mandiri.

      • BackupAdminBaselinedan BackupCentralVaultBaseline baseline dapat dinonaktifkan secara independen

      • LogArchiveBaselinedapat dinonaktifkan secara mandiri