Gestisci le configurazioni delle risorse con AWS Config - AWS Control Tower
Integrazione di AWS Config nella Control Tower Landing Zone 4.0

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestisci le configurazioni delle risorse con AWS Config

AWS Config fornisce una visualizzazione dettagliata delle risorse associate all' AWS account, incluso il modo in cui sono configurate, come sono correlate tra loro e come le configurazioni e le loro relazioni sono cambiate nel tempo. Per ulteriori informazioni, consulta la Guida per sviluppatori di AWS Config.

AWS Config le risorse fornite da AWS Control Tower sono etichettate automaticamente con aws-control-tower e hanno un valore dimanaged-by-control-tower.

Per ulteriori informazioni su come AWS Config monitora e registra le risorse in AWS Control Tower e su come vengono fatturate, consulta. Monitora le modifiche alle risorse con AWS Config

AWS Control Tower utilizza Regole di AWS Config per implementare controlli investigativi. Per ulteriori informazioni, consulta Informazioni sui controlli in AWS Control Tower.

Integrazione di AWS Config nella Control Tower Landing Zone 4.0

Aggregatore di configurazione collegato ai servizi (SLCA)

AWS Control Tower ora implementa un Service-Linked Config Aggregator (SLCA) come parte di Landing Zone 4.0+. Questa modifica rappresenta un miglioramento significativo nel modo in cui i dati di AWS Config vengono aggregati e gestiti all'interno dell'organizzazione.

Modifiche chiave

Nuova implementazione di Service-Linked Config Aggregator

  • Un Service-Linked Config Aggregator viene distribuito nell'account di integrazione AWS Config designato.

  • Per i clienti esistenti, questo sarà il tuo account di controllo

  • Per i nuovi clienti, questo sarà l'account specificato nel config.accountId campo del manifesto

Amministratore delegato

  • L'account AWS Config aggregator diventa l'amministratore delegato di AWS Config

  • AWS Control Tower configura automaticamente le impostazioni di amministrazione delegate

  • Ciò consente la gestione centralizzata di AWS Config in tutta l'organizzazione.

Migrazione da Legacy Aggregators

Durante l'aggiornamento a Landing Zone 4.0:

  • L'aggregatore di organizzazioni nell'account di gestione verrà rimosso.

  • L'aggregatore di account nell'account di controllo verrà rimosso.

  • Questi vengono sostituiti dal nuovo Config Aggregator collegato al servizio nell'account di aggregazione di integrazione AWS Config.

Aggregazione dei dati migliorata

Il Config Aggregator collegato al servizio offre funzionalità migliorate per l'aggregazione dei dati di Config:

  • Può aggregare dati da qualsiasi registratore AWS Config della tua organizzazione

  • Include dati provenienti da account non gestiti da Control Tower

  • Fornisce una visione completa degli elementi di configurazione all'interno dell'organizzazione

  • Supporta controlli perimetrali avanzati dei dati

Considerazioni importanti

Configurazione dell'amministratore delegato

  • AWS Control Tower utilizzerà l'account specificato nel manifesto per l'integrazione con AWS Config

  • Questo account verrà configurato automaticamente come amministratore delegato

  • Non è richiesta alcuna azione aggiuntiva da parte dei clienti per questa configurazione

  • Per i clienti esistenti, il precedente account di integrazione di Security Roles (account Audit) verrà configurato come account aggregatore centrale AWS Config durante l'aggiornamento di Landing Zone 4.0

Ambito di aggregazione dei dati

  • Service-Linked Config Aggregator può aggregare i dati di configurazione da:

    • Account gestiti Control Tower

    • Account non gestiti da Control Tower

    • Qualsiasi account con un registratore Config attivo nell'organizzazione

Controlli di accesso

  • L'accesso ai dati aggregati è gestito tramite policy IAM

  • L'account aggregatore centrale AWS Config ha accesso centralizzato a tutti i dati aggregati.

  • Gli account dei membri mantengono i propri registratori AWS Config individuali

Best practice

Selezione degli account di Config Central Aggregator

  • Scegli un account dedicato al monitoraggio della sicurezza e della conformità

  • Assicurati che siano in atto controlli di accesso adeguati

  • Prendi in considerazione l'utilizzo di un account di controllo o di sicurezza esistente

Gestione dei dati

  • Esamina regolarmente i dati di configurazione aggregati

  • Implementa politiche di conservazione appropriate

  • Monitora lo stato del registratore AWS Config su tutti gli account

Impatto sulla migrazione

Durante l'aggiornamento a Landing Zone 4.0:

Prima della migrazione

  • Documenta le regole e gli aggregatori AWS Config esistenti

  • Rivedi gli attuali modelli di accesso ai dati di AWS Config

  • Pianifica gli eventuali aggiornamenti necessari delle policy IAM

Durante la migrazione

  • Gli aggregatori AWS Config legacy verranno rimossi automaticamente

  • Verrà distribuito Service-Linked Config Aggregator

  • Verrà configurato l'amministratore delegato

Dopo la migrazione

  • Verifica che Service-Linked Config Aggregator funzioni correttamente

  • Conferma l'aggregazione dei dati dagli account dei membri

  • Aggiorna gli strumenti di monitoraggio e reporting secondo necessità