키 변경 사항

랜딩 영역 4.0의 사전 조건: API를 통해 버전 4.0으로 업그레이드할 때 AWSControlTowerCloudTrailRole 서비스 역할이 기존 인라인 정책 AWSControlTowerCloudTrailRolePolicy 대신 새 관리형 정책을 사용하는지 확인합니다. 설명서에 설명된 대로 현재 인라인 정책을 분리하고 새 관리형 정책을 연결합니다.

선택적 매니페스트: 랜딩 존 API의 매니페스트 필드는 이제 선택 사항입니다. 고객은 서비스 통합 없이 랜딩 존을 생성할 수 있습니다. 이미 매니페스트 필드를 사용하고 있는 기존 고객에게는 영향이 없습니다.

선택적 조직 구조: AWS Control Tower는 더 이상 보안 OU 생성을 적용하거나 관리하지 않으므로 고객이 자체 조직 구조를 정의하고 관리할 수 있습니다. 그러나 AWS Control Tower에서는 각 AWS 서비스 통합에 대해 구성된 모든 계정이 동일한 상위 OU에 있어야 합니다. AWS Control Tower를 이미 설정하고 보안 OU가 있는 고객에게는 영향이 없습니다. AWS Control Tower는 보안 OU에서 서비스 통합 계정을 관리하는 데 필요한 리소스와 제어를 자동으로 배포합니다. 예를 들어 AWS Config 통합이 활성화되면 모든 서비스 통합 계정에서 AWS Config 기록이 활성화됩니다. AWS Control Tower 기준 및 AWS Config 기준은 보안 OU 및 통합 계정에 적용되지 않습니다. 서비스 통합을 변경하려면 랜딩 존 설정을 업데이트합니다.

보안 OU의 기준 상태: AWS Control Tower 기준 및 AWS Config 기준을 보안 OU에 적용할 수 없습니다. 보안 OU에는 이러한 기준에 대한 기준 상태가 “해당 사항 없음”으로 표시됩니다. 이 상태는 예상입니다. BackupBaseline을 보안 OU에 적용할 수 있습니다.

AWS Control Tower는 OU 수준 기준이 아닌 랜딩 존을 통해 서비스 통합 계정을 관리합니다. 서비스 통합 계정에 기준 상태가 "활성화되지 않음"으로 표시되고 연결된 서비스 통합이 비활성화된 경우 AWS Control Tower는 더 이상 해당 계정을 관리하지 않습니다.

서비스 통합 계정으로 지정되지 않은 보안 OU의 계정은 기준 리소스를 받지 않습니다. 이러한 계정을 관리하려면 관리형 OU로 이동하고 거버넌스를 확장합니다.

서비스 통합 계정에 대한 IAM Identity Center 권한 세트: AWS Control Tower는 로깅 계정 및 SecurityRoles 계정에 대한 IAM Identity Center 권한 세트를 프로비저닝합니다. AWS Control Tower는 Config 계정 또는 Backup 계정에 대한 권한 세트를 프로비저닝하지 않습니다. IAM Identity Center를 통해 Config 또는 Backup 계정에 액세스하려면 AWS Control Tower가 배포한 IAM Identity Center 리소스를 사용하여 권한 세트를 수동으로 생성합니다.

드리프트 알림: AWS Control Tower는가 AWSControlTowerBaseline 활성화되지 않은 상태에서 랜딩 존 4.0의 모든 고객에 대해 SNS 주제로 드리프트 알림 전송을 중지하고 대신 관리 계정의 EventBridge로 드리프트 알림 전송을 시작합니다. EventBridge를 통해 드리프트 알림을 수신하는 방법에 대한 샘플 이벤트 및 지침을 검토하려면 이 가이드를 확인하세요.

선택적 서비스 통합: 이제 AWS CloudTrail AWS Config, SecurityRoles 및를 포함한 모든 AWS Control Tower 통합을 활성화/비활성화할 수 있습니다 AWS Backup. 이제 이러한 통합에는 API에 선택적으로 필요한 enabled 플래그도 있습니다. 랜딩 존 또는 공유 계정에 적용될 수 있는 기준은 이제 서로 종속됩니다. 통합별 종속성은 다음과 같습니다.