Aggiornamenti di AWS Config

Risorse dedicate per AWS Config e AWS CloudTrail: AWS Config e AWS CloudTrail ora utilizza bucket S3 dedicati e argomenti SNS separati anziché risorse condivise. I clienti hanno una flessibilità limitata nell'utilizzare un account singolo o separato per più integrazioni.
- Durante l'aggiornamento alla versione 4.0 della landing zone di AWS Control Tower, i dati esistenti e i bucket S3 non vengono spostati. CloudTrail L'integrazione con AWS continua a utilizzare il bucket S3 esistente con prefisso. aws-controltower-logs I nuovi dati di AWS Config dopo l'operazione di aggiornamento verranno archiviati in un nuovo bucket S3 con prefisso che AWS Control aws-controltower-config Tower crea nell'account designato per. CentralConfigBaseline
  Nota
  Abilitando CloudTrail l'integrazione con AWS sulla landing zone 4.0 per la prima volta verranno creati nuovi bucket S3 ogni volta con prefisso aws-controltower-cloudtrail
- Modifiche alla posizione dei dati: i clienti esistenti che effettuano l'aggiornamento da risorse precedentemente condivise a risorse dedicate avranno CloudTrail i dati AWS Config AWS in diversi bucket S3. I flussi di lavoro e gli strumenti consolidati dei clienti potrebbero richiedere aggiornamenti per accedere ai dati da nuove ubicazioni di bucket.
- AWS CloudTrail continuerà a rimanere nello stesso bucket esistente, ma AWS Config i dati si troveranno in un nuovo bucket S3 creato da AWS Control Tower.
- I clienti possono configurare la replica tra bucket se desiderano centralizzare diversi log in un unico bucket. Per ulteriori informazioni, consulta la documentazione di S3.
- Se hai account registrati con canali di distribuzione AWS Config preesistenti non creati da AWS Control Tower in regioni governate da AWS Control Tower, aggiorna il nome del bucket S3 di Delivery Channels nel nuovo bucket S3 con prefisso aws-controltower-config-logs- nell'account di integrazione AWS Config per essere coerente con le configurazioni AWS Control Tower sulla landing zone 4.0. Maggiori dettagli sono disponibili in Registrare account che dispongono di risorse esistenti AWS Config.
AWS Config integrazione nella versione 4.0 della landing zone: durante la migrazione alla landing zone 4.0 con AWS Config l'integrazione abilitata, i clienti vedrebbero le seguenti modifiche -
1. L'account Audit esistente è registrato come amministratore delegato per. AWS Config
2. Service-Linked Config Aggregator viene distribuito nell'account Audit (account aggregatore AWS Config centrale per i nuovi clienti e account Audit per i clienti esistenti). Il nuovo aggregatore può aggregare i dati da qualsiasi AWS Config registratore dell'organizzazione, inclusi gli account gestiti non Control Tower.
3. Gli aggregatori esistenti verranno eliminati: l'aggregatore di organizzazioni nell'account di gestione (aws-controltower-ConfigAggregatorForOrganizations) e l'aggregatore di account nell'account Audit () verranno eliminati. aws-controltower-GuardRailsComplianceAggregator
4. I controlli associati agli aggregatori eliminati verranno rimossi automaticamente. Inoltre, poiché AWS Config Rules e Configuration Aggregator saranno risorse collegate ai servizi, non sarà più necessaria la protezione delle policy di controllo del servizio.
Nuova ConfigBaseline linea di base: ora esiste una soluzione distinta ConfigBaseline a livello di unità organizzativa per il supporto dei controlli investigativi, senza richiedere una soluzione completa. AWSControlTowerBaseline Per ulteriori informazioni, consulta l'elenco dei tipi di base a livello di unità organizzativa. Per i clienti esistenti che utilizzano la landing zone predefinita, tutte le integrazioni dei servizi sono ora opzionali, con l'avvertenza dei requisiti di dipendenza descritta in. Modifiche chiave

Service-Linked Config Aggregator: sostituisce gli aggregatori di organizzazioni e account nell'account aggregatore centrale. AWS Config

Quando si esegue l'aggiornamento alla landing zone 4.0 con AWS Config l'integrazione abilitata, i clienti devono disporre delle autorizzazioni organizations:ListDelegatedAdministrators



{
   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
           "backup:UpdateGlobalSettings",
           "controltower:CreateLandingZone",
           "controltower:UpdateLandingZone",
           "controltower:ResetLandingZone",
           "controltower:DeleteLandingZone",
           "controltower:GetLandingZoneOperation",
           "controltower:GetLandingZone",
           "controltower:ListLandingZones",
           "controltower:ListLandingZoneOperations",
           "controltower:ListTagsForResource",
           "controltower:TagResource",
           "controltower:UntagResource",
            "servicecatalog:*",
            "organizations:*",
            "organizations:RegisterDelegatedAdministrator",
            "organizations:EnableAWSServiceAccess",
            "organizations:DeregisterDelegatedAdministrator",
            "organizations:ListDelegatedAdministrators",
            "sso:*",
            "sso-directory:*",
            "logs:*",
            "cloudformation:*",
            "kms:*",
            "iam:GetRole",
            "iam:CreateRole",
            "iam:GetSAMLProvider",
            "iam:CreateSAMLProvider",
            "iam:CreateServiceLinkedRole",
            "iam:ListRolePolicies",
            "iam:PutRolePolicy",
            "iam:ListAttachedRolePolicies",
            "iam:AttachRolePolicy",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy"
         ],
         "Resource": "*"
      }
   ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Modifiche chiave

Consigli per la configurazione di gruppi, ruoli e politiche

Aggiornamenti di AWS Config

Nota