AWS Config の更新

AWS Config および AWS CloudTrail 専用リソース: AWS Config および AWS CloudTrail では、共有リソースの代わりに個別の専用 S3 バケットと SNS トピックを使用するようになりました。お客様は、複数の統合に単一または個別のアカウントを使用する柔軟性を制限されています。
- AWS Control Tower ランディングゾーンバージョン 4.0 にアップグレードする場合、既存のデータと S3 バケットは移動されません。AWS CloudTrail 統合では、プレフィックスがの既存の S3 バケットが引き続き使用されますaws-controltower-logs。更新オペレーション後の新しい AWS Config データは、AWS Control Tower aws-controltower-configが CentralConfigBaseline 用に指定されたアカウントに作成するプレフィックスを持つ新しい S3 バケットに保存されます。
  注記
  ランディングゾーン 4.0 で AWS CloudTrail 統合を初めて有効にすると、プレフィックスを持つたびに新しい S3 バケットが作成されます。 aws-controltower-cloudtrail
- データの場所の変更: 以前に共有したリソースから専用リソースにアップグレードした既存のお客様は、異なる S3 バケットに AWS Config および AWS CloudTrail データを持つことになります。確立されたお客様のワークフローとツールでは、新しいバケットの場所のデータにアクセスするために更新が必要になる場合があります。
- AWS CloudTrail は引き続き同じ既存のバケットに留まりますが、 AWS Config データは AWS Control Tower によって作成された新しい S3 バケットに保存されます。
- 異なるログを 1 つのバケットに一元化する場合は、クロスバケットレプリケーションを設定できます。詳細については、S3 ドキュメントを参照してください。
- AWS Control Tower によって管理されるリージョンで AWS Control Tower によって作成されていない既存の AWS Config 配信チャネルを持つアカウントを登録している場合は、ランディングゾーン 4.0 aws-controltower-config-logs-の AWS Control Tower 設定と一致するように、配信チャネルの S3 バケット名を AWS Config 統合アカウントのプレフィックスが付いた新しい S3 バケットに更新します。詳細については、「既存の AWS Config リソースがあるアカウントを登録する」を参照してください。
AWS Config ランディングゾーンバージョン 4.0 での統合: AWS Config 統合を有効にしてランディングゾーン 4.0 に移行すると、次の変更が表示されます。
1. 既存の監査アカウントは、委任管理者として登録されています AWS Config。
2. サービスにリンクされた Config Aggregator は、監査アカウント (新規顧客のAWS Config 中央アグリゲータアカウントと既存顧客の監査アカウント) にデプロイされます。新しいアグリゲータは、Control Tower 以外のマネージドアカウントを含め、組織内の任意の AWS Config レコーダーからデータを集約できます。
3. 既存のアグリゲータは削除されます - 管理アカウント (aws-controltower-ConfigAggregatorForOrganizations) の組織アグリゲータと監査アカウント (aws-controltower-GuardRailsComplianceAggregator) のアカウントアグリゲータは削除されます。
4. 削除されたアグリゲータに関連付けられたコントロールは自動的に削除されます。さらに、 AWS Config ルールと設定アグリゲータはサービスにリンクされたリソースになるため、サービスコントロールポリシーの保護は不要になります。
新しいConfigBaselineベースライン: 包括的なを必要とせずに、検出コントロールをサポートする OU ConfigBaseline レベルに個別のが追加されましたAWSControlTowerBaseline。詳細については、「OU レベルのベースラインタイプのリスト」を参照してください。デフォルトのランディングゾーンを使用している既存のお客様では、すべてのサービス統合がオプションになりました。依存関係要件については、「」で説明しています主な変更点。

サービスにリンクされた Config Aggregator: AWS Config 中央アグリゲータアカウントの組織とアカウントのアグリゲータを置き換えます。

AWS Config 統合を有効にしてランディングゾーン 4.0 にアップグレードする場合、お客様はアクセスorganizations:ListDelegatedAdministrators許可が必要です



{
   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
           "backup:UpdateGlobalSettings",
           "controltower:CreateLandingZone",
           "controltower:UpdateLandingZone",
           "controltower:ResetLandingZone",
           "controltower:DeleteLandingZone",
           "controltower:GetLandingZoneOperation",
           "controltower:GetLandingZone",
           "controltower:ListLandingZones",
           "controltower:ListLandingZoneOperations",
           "controltower:ListTagsForResource",
           "controltower:TagResource",
           "controltower:UntagResource",
            "servicecatalog:*",
            "organizations:*",
            "organizations:RegisterDelegatedAdministrator",
            "organizations:EnableAWSServiceAccess",
            "organizations:DeregisterDelegatedAdministrator",
            "organizations:ListDelegatedAdministrators",
            "sso:*",
            "sso-directory:*",
            "logs:*",
            "cloudformation:*",
            "kms:*",
            "iam:GetRole",
            "iam:CreateRole",
            "iam:GetSAMLProvider",
            "iam:CreateSAMLProvider",
            "iam:CreateServiceLinkedRole",
            "iam:ListRolePolicies",
            "iam:PutRolePolicy",
            "iam:ListAttachedRolePolicies",
            "iam:AttachRolePolicy",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy"
         ],
         "Resource": "*"
      }
   ]
}

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

主な変更点

グループ、ロール、ポリシーを設定する上での推奨事項

AWS Config の更新

注記