主な変更点 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

主な変更点

注記

  • 「登録済み」と「登録済み」の定義は、この新しいバージョンの AWS Control Tower に移行しました。アカウント/OU で AWS Control Tower リソースが有効になっている場合 (コントロールやベースラインなど)、管理対象リソースと見なされます。定義は、AWSControlTowerBaselineベースラインの存在によって駆動されなくなります。

  • サービスにリンクされたロールはすべてのランディングゾーンバージョンにわたって保持され、OUs」になったときに削除されなくなります。

  • サービスにリンクされたロールは、ランディングゾーンの廃止後にのみ手動で削除できます。

  • ランディングゾーン 4.0 の前提条件: API 経由でバージョン 4.0 にアップグレードする場合、AWSControlTowerCloudTrailRoleサービスロールが既存のインラインポリシーAWSControlTowerCloudTrailRolePolicyではなく新しい管理ポリシーを使用していることを確認します。ドキュメントの説明に従って、現在のインラインポリシーをデタッチし、新しい管理ポリシーをアタッチします。

  • オプションのマニフェスト: ランディングゾーン API のマニフェストフィールドがオプションになりました。お客様は、サービス統合なしでランディングゾーンを作成できます。マニフェストフィールドを既に使用している既存の顧客には影響しません。

  • オプションの組織構造: AWS Control Tower は、お客様が独自の組織構造を定義および管理できるように、セキュリティ OU の作成を強制または管理しなくなりました。ただし、AWS Control Tower では、各 AWS サービス統合に設定されたすべてのアカウントを同じ親 OU の下にする必要があります。AWS Control Tower をセットアップ済みで、Security OU を使用しているお客様には影響はありません。AWS Control Tower は、Security OU でサービス統合アカウントを管理するために必要なリソースとコントロールを自動的にデプロイします。たとえば、AWS Config 統合が有効になっている場合、AWS Config の記録はすべてのサービス統合アカウントで有効になります。AWS Control Tower ベースラインと AWS Config ベースラインは、セキュリティ OU および統合アカウントには適用されません。サービス統合を変更するには、ランディングゾーンの設定を更新します。

    注記

    • AWS Control Tower ランディングゾーン 4.0 の組織構造設定が以前のランディングゾーンバージョンから変更されました。AWS Control Tower は、指定されたセキュリティ OU を作成しなくなります。サービス統合アカウントを持つ OU は、指定されたセキュリティ OU になります。

    • メンバーアカウントが、各統合のアカウントが存在する OU に移動すると、自動登録がオンまたはオフに関係なく、その OU で有効なコントロールがドリフトします。

  • ドリフト通知: AWS Control Tower は、 AWSControlTowerBaselineを有効にせずにランディングゾーン 4.0 のすべてのお客様の SNS トピックへのドリフト通知の送信を停止し、代わりに管理アカウントの EventBridge へのドリフト通知の送信を開始します。EventBridge を介してドリフト通知を受信する方法に関するサンプルイベントとガイダンスを確認するには、このガイドを確認してください。

  • オプションのサービス統合: AWS CloudTrail、SecurityRoles、 など AWS Config、すべての AWS Control Tower 統合を有効または無効にできるようになりました AWS Backup。これらの統合には、API でオプションで必要なenabledフラグも追加されました。ランディングゾーンまたは共有アカウントに適用されるベースラインが相互に依存するようになりました。統合固有の依存関係は次のとおりです。

    • 有効化:

      • CentralSecurityRolesBaseline → を有効にするCentralConfigBaseline必要があります

      • IdentityCenterBaseline → を有効にするCentralSecurityRolesBaseline必要があります

      • BackupCentralVaultBaseline → を有効にするCentralSecurityRolesBaseline必要があります

      • BackupAdminBaseline → を有効にするCentralSecurityRolesBaseline必要があります

      • LogArchiveBaseline → 独立 (依存関係なし)

      • CentralConfigBaseline → 独立 (依存関係なし)

    • 無効化:

      • CentralConfigBaseline は、CentralSecurityRolesBaseline、、IdentityCenterBaselineBackupAdminBaselineおよび BackupCentralVaultBaselineベースラインが最初に無効になっている場合にのみ無効にできます。

      • CentralSecurityRolesBaseline は、IdentityCenterBaseline、、BackupAdminBaselineおよび BackupCentralVaultBaselineベースラインが最初に無効になっている場合にのみ無効にできます。

      • IdentityCenterBaseline は個別に無効にできます。

      • BackupAdminBaseline および BackupCentralVaultBaselineベースラインは個別に無効にできます

      • LogArchiveBaseline は個別に無効にできます