Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Perubahan kunci **catatan** Definisi “terdaftar” dan “terdaftar” telah bergeser dengan versi baru AWS Control Tower ini. Jika Anda account/OU mengaktifkan sumber daya AWS Control Tower (misalnya kontrol atau baseline), sumber daya AWS Control Tower akan dianggap sebagai sumber daya yang diatur. Definisi tidak akan lagi didorong oleh kehadiran `AWSControlTowerBaseline` baseline. Peran Tertaut Layanan dipertahankan di semua versi landing zone dan tidak lagi dihapus saat OUs menjadi “tidak terdaftar” Peran Tertaut Layanan hanya dapat dihapus secara manual oleh pelanggan setelah penonaktifan landing zone **Upgrade dari versi 3.3 atau versi sebelumnya ke versi 4.0** Jangan menonaktifkan integrasi layanan (AWS Config, SecurityRoles) sebagai bagian dari peningkatan versi. Di landing zone versi 3.3 dan sebelumnya, AWS Config dan SecurityRoles selalu diaktifkan secara implisit. Versi 4.0 menampilkan integrasi ini sebagai opsi yang dapat dikonfigurasi untuk pertama kalinya. Setelah berhasil meningkatkan ke versi 4.0, Anda dapat menonaktifkan integrasi layanan sesuai keinginan. + **Prasyarat untuk Landing Zone 4.0:** Saat memutakhirkan ke versi 4.0 melalui API, pastikan peran `AWSControlTowerCloudTrailRole` layanan menggunakan kebijakan terkelola baru, `AWSControlTowerCloudTrailRolePolicy` bukan kebijakan sebaris yang ada. [Lepaskan kebijakan inline saat ini dan lampirkan kebijakan terkelola baru seperti yang dijelaskan dalam dokumentasi.](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRolePolicy) + **Manifes Opsional:** Bidang manifes di API landing zone sekarang opsional. Pelanggan dapat membuat Zona Pendaratan tanpa integrasi layanan apa pun. Tidak ada dampak bagi pelanggan yang sudah ada yang sudah menggunakan bidang manifes. + **Struktur Organisasi Opsional:** AWS Control Tower tidak lagi memberlakukan atau mengelola pembuatan OU Keamanan sehingga pelanggan dapat menentukan dan mengelola struktur organisasi mereka sendiri. Namun, AWS Control Tower akan mewajibkan semua akun yang dikonfigurasi untuk setiap integrasi layanan AWS berada di bawah OU induk yang sama. Tidak ada dampak bagi pelanggan yang telah menyiapkan AWS Control Tower dan memiliki Security OU. AWS Control Tower secara otomatis menyebarkan sumber daya dan kontrol yang diperlukan untuk mengelola akun integrasi layanan di OU Keamanan. Misalnya, ketika integrasi AWS Config diaktifkan, perekaman AWS Config diaktifkan di semua akun integrasi layanan. AWS Control Tower Baseline dan AWS Config Baseline tidak berlaku untuk OU Keamanan dan akun integrasi. Untuk mengubah integrasi layanan, perbarui pengaturan landing zone. **catatan** Pengaturan struktur organisasi untuk AWS Control Tower landing zone 4.0 telah berubah dari versi landing zone sebelumnya. AWS Control Tower tidak akan lagi membuat OU Keamanan yang ditunjuk. OU dengan akun integrasi layanan akan menjadi OU Keamanan yang ditunjuk. Jika akun anggota pindah ke OU di mana akun untuk setiap integrasi berada, kontrol yang diaktifkan pada OU tersebut akan dialihkan terlepas dari apakah pendaftaran otomatis diaktifkan atau dimatikan. **Status dasar untuk OU Keamanan: Baseline** AWS Control Tower dan AWS Config Baseline tidak dapat diterapkan ke OU Keamanan. Security OU menampilkan status dasar “Tidak Berlaku” untuk baseline ini. Status ini diharapkan. Ini BackupBaseline dapat diterapkan ke OU Keamanan. AWS Control Tower mengelola akun integrasi layanan melalui landing zone, bukan melalui baseline tingkat OU. Jika akun integrasi layanan menampilkan status dasar “Tidak Diaktifkan” dan integrasi layanan terkait dinonaktifkan, AWS Control Tower tidak lagi mengelola akun tersebut. Akun di OU Keamanan yang tidak ditetapkan sebagai akun integrasi layanan tidak menerima sumber daya dasar. Untuk mengatur akun ini, pindahkan ke OU yang dikelola dan perluas tata kelola. **Set izin IAM Identity Center untuk akun integrasi layanan:** AWS Control Tower menyediakan set izin IAM Identity Center untuk akun Logging dan akun. SecurityRoles AWS Control Tower tidak menyediakan set izin untuk akun Config atau akun Backup. Untuk mengakses akun Config atau Backup melalui IAM Identity Center, buat set izin secara manual menggunakan resource IAM Identity Center yang digunakan AWS Control Tower. + **Pemberitahuan Drift:** AWS Control Tower akan berhenti mengirimkan notifikasi drift ke topik SNS untuk semua pelanggan di landing zone 4.0 tanpa `AWSControlTowerBaseline` diaktifkan, dan akan mulai mengirim notifikasi drift ke akun EventBridge manajemen. Untuk meninjau contoh acara dan panduan tentang cara menerima pemberitahuan drift EventBridge, silakan periksa [panduan ini](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html). + **Integrasi Layanan Opsional:** Anda sekarang memiliki kemampuan untuk enable/disable semua integrasi AWS Control Tower termasuk CloudTrail, AWS Config AWS SecurityRoles, dan. AWS Backup Integrasi ini juga sekarang memiliki `enabled` flag yang diperlukan secara opsional di API. Garis dasar yang mungkin berlaku untuk landing zone atau akun bersama Anda sekarang memiliki ketergantungan satu sama lain. Dependensi spesifik Integrasi adalah: + Pemberdayaan: + `CentralSecurityRolesBaseline`→ `CentralConfigBaseline` perlu diaktifkan + `IdentityCenterBaseline`→ `CentralSecurityRolesBaseline` perlu diaktifkan + `BackupCentralVaultBaseline`→ `CentralSecurityRolesBaseline` perlu diaktifkan + `BackupAdminBaseline`→ `CentralSecurityRolesBaseline` perlu diaktifkan + `LogArchiveBaseline`→ independen (tidak ada dependensi) + `CentralConfigBaseline`→ independen (tidak ada dependensi) + Cacat: + `CentralConfigBaseline`hanya dapat dinonaktifkan jika`CentralSecurityRolesBaseline`,`IdentityCenterBaseline`, `BackupAdminBaseline` dan `BackupCentralVaultBaseline` baseline dinonaktifkan terlebih dahulu. + `CentralSecurityRolesBaseline`hanya dapat dinonaktifkan jika`IdentityCenterBaseline`, `BackupAdminBaseline` dan `BackupCentralVaultBaseline` baseline dinonaktifkan terlebih dahulu. + `IdentityCenterBaseline`dapat dinonaktifkan secara mandiri. + `BackupAdminBaseline`dan `BackupCentralVaultBaseline` baseline dapat dinonaktifkan secara independen + `LogArchiveBaseline`dapat dinonaktifkan secara mandiri **Lingkup pemberdayaan integrasi AWS Config layanan** Mengaktifkan integrasi AWS Config layanan di tingkat landing zone akan menyebarkan sumber daya perekaman Config ke akun integrasi layanan saja. Untuk menyebarkan AWS Config sumber daya (Config Recorder, Delivery Channel) ke akun anggota, aktifkan baseline pada setiap AWS Config OU yang dikelola secara individual. Mengaktifkan integrasi Config di level landing zone merupakan prasyarat untuk mengaktifkan baseline Config aktif. OUs Setelan tingkat zona pendaratan saja tidak menerapkan sumber daya Config ke akun anggota. **CentralizedLogging perubahan perilaku di versi 4.0** Di landing zone versi 3.3 dan sebelumnya, CentralizedLogging menonaktifkan Organisasi menjadi nonaktif dan mempertahankan semua sumber CloudTrail daya yang digunakan. Di versi 4.0, menonaktifkan CentralizedLogging menghapus semua sumber daya terkait dari akun logging. Sumber daya ini mencakup Config Recorder, Delivery Channel, dan instance stack CloudTrail terkait. Setelah penonaktifan, AWS Control Tower tidak lagi mengelola akun logging. Untuk memulihkan pengelolaan akun logging, aktifkan kembali CentralizedLogging atau pindahkan akun ke OU terkelola dan perpanjang tata kelola.