Modifiche chiave

Nota

La definizione di «registrato» e «registrato» è cambiata con questa nuova versione di AWS Control Tower. Quando su di essa account/OU è abilitata una risorsa AWS Control Tower (ad esempio control o baseline), verrà considerata una risorsa gestita. La definizione non sarà più determinata dalla presenza della linea di AWSControlTowerBaseline base.
I ruoli collegati ai servizi vengono mantenuti in tutte le versioni di landing zone e non vengono più eliminati quando OUs diventano «non registrati»
I ruoli collegati ai servizi possono essere eliminati manualmente dai clienti solo dopo la disattivazione della landing zone

Prerequisito per Landing Zone 4.0: quando esegui l'aggiornamento alla versione 4.0 tramite API, assicurati che il ruolo del AWSControlTowerCloudTrailRole servizio utilizzi la nuova politica gestita anziché la politica in linea esistente. AWSControlTowerCloudTrailRolePolicy Scollega la politica in linea corrente e allega la nuova politica gestita come descritto nella documentazione.
Manifesto opzionale: il campo Manifest nell'API landing zone è ora facoltativo. I clienti possono creare zone di atterraggio senza alcuna integrazione di servizi. Non vi è alcun impatto per i clienti esistenti che utilizzano già il campo manifest.
Struttura organizzativa opzionale: AWS Control Tower non applica o gestisce più la creazione di unità organizzative di sicurezza in modo che i clienti possano definire e gestire la propria struttura organizzativa. Tuttavia, AWS Control Tower richiederà che tutti gli account configurati per ogni integrazione di servizi AWS si trovino nella stessa unità organizzativa principale. Non vi è alcun impatto per i clienti che hanno già configurato AWS Control Tower e dispongono dell'unità organizzativa di sicurezza. AWS Control Tower distribuisce automaticamente le risorse e i controlli necessari per gestire gli account di integrazione dei servizi nell'unità organizzativa di sicurezza. Ad esempio, quando l'integrazione con AWS Config è abilitata, la registrazione con AWS Config è abilitata in tutti gli account di integrazione dei servizi. La AWS Control Tower Baseline e la AWS Config Baseline non sono applicabili alle unità organizzative di sicurezza e agli account di integrazione. Per modificare le integrazioni dei servizi, aggiorna le impostazioni della landing zone.
Nota
- La configurazione della struttura organizzativa per AWS Control Tower landing zone 4.0 è cambiata rispetto alle versioni precedenti. AWS Control Tower non creerà più l'unità organizzativa di sicurezza designata. L'unità organizzativa con gli account di integrazione del servizio sarà l'unità organizzativa di sicurezza designata.
- Se gli account dei membri vengono trasferiti nell'unità organizzativa in cui risiedono gli account per ogni integrazione, i controlli abilitati su quell'unità organizzativa vengono spostati indipendentemente dal fatto che la registrazione automatica sia attivata o disattivata.
Notifiche di drift: AWS Control Tower interromperà l'invio di notifiche di drift all'argomento SNS per tutti i clienti sulla landing zone 4.0 senza l'AWSControlTowerBaselineopzione abilitata e inizierà invece a inviare notifiche di drift all'account EventBridge di gestione. Per esaminare esempi di eventi e linee guida su come ricevere notifiche di drift EventBridge, consulta questa guida.
Integrazioni di servizio opzionali: ora hai la possibilità di utilizzare enable/disable tutte le integrazioni di AWS Control Tower CloudTrail SecurityRoles, tra cui AWS Config AWS e. AWS Backup Queste integrazioni ora hanno anche dei enabled flag opzionalmente richiesti nell'API. Le linee di base che possono essere applicate alla tua landing zone o agli account condivisi ora dipendono l'una dall'altra. Le dipendenze specifiche delle integrazioni sono:
- Abilitazione:
  - CentralSecurityRolesBaseline→ richiede di essere CentralConfigBaseline abilitato
  - IdentityCenterBaseline→ richiede CentralSecurityRolesBaseline di essere abilitato
  - BackupCentralVaultBaseline→ richiede CentralSecurityRolesBaseline di essere abilitato
  - BackupAdminBaseline→ richiede CentralSecurityRolesBaseline di essere abilitato
  - LogArchiveBaseline→ indipendente (nessuna dipendenza)
  - CentralConfigBaseline→ indipendente (nessuna dipendenza)
- Disabilitazione:
  - CentralConfigBaselinepuò essere disabilitato solo se CentralSecurityRolesBaselineIdentityCenterBaseline, BackupAdminBaseline e le BackupCentralVaultBaseline linee di base vengono disabilitate per prime.
  - CentralSecurityRolesBaselinepuò essere disabilitato solo se IdentityCenterBaseline BackupAdminBaseline e le BackupCentralVaultBaseline linee di base vengono disabilitate per prime.
  - IdentityCenterBaselinepuò essere disabilitato indipendentemente.
  - BackupAdminBaselinee le BackupCentralVaultBaseline linee di base possono essere disabilitate indipendentemente
  - LogArchiveBaselinepuò essere disabilitato indipendentemente

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Guida alla migrazione di Landing Zone v4.0

Aggiornamenti di AWS Config