Atualizações do AWS Config

Recursos dedicados para AWS Config e AWS CloudTrail: AWS Config e a AWS CloudTrail agora usa buckets S3 dedicados e tópicos de SNS separados em vez de recursos compartilhados. Os clientes têm flexibilidade restrita para usar contas únicas ou separadas para várias integrações.
- Ao fazer o upgrade para a versão 4.0 da landing zone do AWS Control Tower, os dados existentes e os buckets S3 não são movidos. A CloudTrail integração com a AWS continua usando o bucket S3 existente com prefixoaws-controltower-logs. Os novos dados do AWS Config após a operação de atualização serão armazenados em um novo bucket S3 com o prefixo que o AWS Control aws-controltower-config Tower cria na conta designada para o. CentralConfigBaseline
  nota
  Habilitar a CloudTrail integração da AWS na landing zone 4.0 pela primeira vez criará novos buckets S3 a cada vez com o prefixo aws-controltower-cloudtrail
- Mudanças na localização dos dados: os clientes existentes que fizerem o upgrade de recursos compartilhados anteriormente para recursos dedicados terão AWS Config CloudTrail dados da AWS em diferentes buckets do S3. Fluxos de trabalho e ferramentas estabelecidos para clientes podem precisar de atualizações para acessar dados de novos locais de bucket.
- A AWS CloudTrail continuará no mesmo bucket existente, mas AWS Config os dados estarão em um novo bucket S3 criado pela AWS Control Tower.
- Os clientes podem configurar a replicação entre buckets se quiserem centralizar diferentes registros em um único bucket. Consulte a documentação do S3 para obter mais informações.
- Se você cadastrou contas com canais de entrega preexistentes do AWS Config não criados pela AWS Control Tower em regiões governadas pela AWS Control Tower, atualize o nome do bucket S3 do Delivery Channels para o novo bucket S3 com prefixo aws-controltower-config-logs- na conta de integração do AWS Config para ser consistente com as configurações da AWS Control Tower na landing zone 4.0. Para obter mais detalhes, consulte Inscrever contas que tenham recursos existentes AWS Config.
AWS Config integração na landing zone versão 4.0: Ao migrar para a landing zone 4.0 com a AWS Config integração ativada, os clientes veriam as seguintes alterações -
1. A conta de auditoria existente está registrada como administrador delegado da. AWS Config
2. O Service-Linked Config Aggregator é implantado na conta de auditoria (conta agregadora AWS Config central para novos clientes e conta de auditoria para clientes existentes). O novo agregador pode agregar dados de qualquer AWS Config gravador na organização, incluindo contas não gerenciadas pela Control Tower.
3. Os agregadores existentes serão excluídos - O agregador da organização na conta de gerenciamento (aws-controltower-ConfigAggregatorForOrganizations) e o agregador de contas na conta de auditoria (aws-controltower-GuardRailsComplianceAggregator) serão excluídos.
4. Os controles associados aos agregadores excluídos serão removidos automaticamente. Além disso, como o AWS Config Rules and Configuration Aggregator serão recursos vinculados a serviços, a proteção da política de controle de serviços não será mais necessária.
Nova ConfigBaseline linha de base: agora existe uma linha separada ConfigBaseline no nível da OU para suporte aos controles de detetive sem a necessidade de um suporte abrangente. AWSControlTowerBaseline Consulte a lista de tipos de linha de base no nível da OU para obter mais informações. Para clientes existentes que estão usando o landing zone padrão, todas as integrações de serviços agora são opcionais, com a ressalva dos requisitos de dependência descritos em. Principais mudanças

Agregador de configuração vinculado ao serviço: substitui os agregadores de organização e conta na conta agregadora central. AWS Config

Ao fazer o upgrade para o landing zone 4.0 com a AWS Config integração ativada, os clientes precisam ter permissões organizations:ListDelegatedAdministrators



{
   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
           "backup:UpdateGlobalSettings",
           "controltower:CreateLandingZone",
           "controltower:UpdateLandingZone",
           "controltower:ResetLandingZone",
           "controltower:DeleteLandingZone",
           "controltower:GetLandingZoneOperation",
           "controltower:GetLandingZone",
           "controltower:ListLandingZones",
           "controltower:ListLandingZoneOperations",
           "controltower:ListTagsForResource",
           "controltower:TagResource",
           "controltower:UntagResource",
            "servicecatalog:*",
            "organizations:*",
            "organizations:RegisterDelegatedAdministrator",
            "organizations:EnableAWSServiceAccess",
            "organizations:DeregisterDelegatedAdministrator",
            "organizations:ListDelegatedAdministrators",
            "sso:*",
            "sso-directory:*",
            "logs:*",
            "cloudformation:*",
            "kms:*",
            "iam:GetRole",
            "iam:CreateRole",
            "iam:GetSAMLProvider",
            "iam:CreateSAMLProvider",
            "iam:CreateServiceLinkedRole",
            "iam:ListRolePolicies",
            "iam:PutRolePolicy",
            "iam:ListAttachedRolePolicies",
            "iam:AttachRolePolicy",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy"
         ],
         "Resource": "*"
      }
   ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Principais mudanças

Recomendações para configurar grupos, perfis e políticas

Atualizações do AWS Config

nota