As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Atualizações do AWS Config + **Recursos dedicados para AWS Config e AWS CloudTrail:** AWS Config e a AWS CloudTrail agora usa buckets S3 dedicados e tópicos de SNS separados em vez de recursos compartilhados. Os clientes têm flexibilidade restrita para usar contas únicas ou separadas para várias integrações. + Ao fazer o upgrade para a versão 4.0 da landing zone do AWS Control Tower, os dados existentes e os buckets S3 não são movidos. A CloudTrail integração com a AWS continua usando o bucket S3 existente com prefixo`aws-controltower-logs`. Os novos dados do AWS Config após a operação de atualização serão armazenados em um novo bucket S3 com o prefixo que o AWS Control `aws-controltower-config` Tower cria na conta designada para o. CentralConfigBaseline **nota** Habilitar a CloudTrail integração da AWS na landing zone 4.0 pela primeira vez criará novos buckets S3 a cada vez com o prefixo `aws-controltower-cloudtrail` + Mudanças na localização dos dados: os clientes existentes que fizerem o upgrade de recursos compartilhados anteriormente para recursos dedicados terão AWS Config CloudTrail dados da AWS em diferentes buckets do S3. Fluxos de trabalho e ferramentas estabelecidos para clientes podem precisar de atualizações para acessar dados de novos locais de bucket. + A AWS CloudTrail continuará no mesmo bucket existente, mas AWS Config os dados estarão em um novo bucket S3 criado pela AWS Control Tower. + Os clientes podem configurar a replicação entre buckets se quiserem centralizar diferentes registros em um único bucket. Consulte a [documentação do S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/replication.html) para obter mais informações. + Se você cadastrou contas com canais de entrega preexistentes do AWS Config não criados pela AWS Control Tower em regiões governadas pela AWS Control Tower, atualize o nome do bucket S3 do Delivery Channels para o novo bucket S3 com prefixo `aws-controltower-config-logs-` na conta de integração do AWS Config para ser consistente com as configurações da AWS Control Tower na landing zone 4.0. Para obter mais detalhes, consulte [Inscrever contas que tenham recursos existentes AWS Config](existing-config-resources.md). + **AWS Config integração na landing zone versão 4.0:** Ao migrar para a landing zone 4.0 com a AWS Config integração ativada, os clientes veriam as seguintes alterações - 1. A conta de auditoria existente está registrada como administrador delegado da. AWS Config 1. O Service-Linked Config Aggregator é implantado na conta de auditoria (conta agregadora AWS Config central para novos clientes e conta de auditoria para clientes existentes). O novo agregador pode agregar dados de qualquer AWS Config gravador na organização, incluindo contas não gerenciadas pela Control Tower. 1. Os agregadores existentes serão excluídos - O agregador da organização na conta de gerenciamento (`aws-controltower-ConfigAggregatorForOrganizations`) e o agregador de contas na conta de auditoria (`aws-controltower-GuardRailsComplianceAggregator`) serão excluídos. 1. Como o Configuration Aggregator está vinculado ao serviço, os controles associados aos agregadores excluídos serão removidos automaticamente. 1. [Proibir alterações nas tags criadas pelo AWS Control Tower para recursos do AWS Config](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#cloudwatch-disallow-config-changes) 1. [Proibir a exclusão de autorizações de agregação do AWS Config criadas pela AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy) + **Nova `ConfigBaseline` linha de base:** agora existe uma linha separada `ConfigBaseline` no nível da OU para suporte aos controles de detetive sem a necessidade de um suporte abrangente. `AWSControlTowerBaseline` Consulte a lista de [tipos de linha de base no nível da OU](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types) para obter mais informações. Para clientes existentes que estão usando o landing zone padrão, todas as integrações de serviços agora são opcionais, com a ressalva dos requisitos de dependência descritos em. [Principais mudanças](key-changes-lz-v4.md) + **Agregador de configuração vinculado ao serviço: substitui os agregadores** de organização e conta na conta agregadora central. AWS Config + Ao fazer o upgrade para o landing zone 4.0 com a AWS Config integração ativada, os clientes precisam ter permissões `organizations:ListDelegatedAdministrators` ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup:UpdateGlobalSettings", "controltower:CreateLandingZone", "controltower:UpdateLandingZone", "controltower:ResetLandingZone", "controltower:DeleteLandingZone", "controltower:GetLandingZoneOperation", "controltower:GetLandingZone", "controltower:ListLandingZones", "controltower:ListLandingZoneOperations", "controltower:ListTagsForResource", "controltower:TagResource", "controltower:UntagResource", "servicecatalog:*", "organizations:*", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "sso:*", "sso-directory:*", "logs:*", "cloudformation:*", "kms:*", "iam:GetRole", "iam:CreateRole", "iam:GetSAMLProvider", "iam:CreateSAMLProvider", "iam:CreateServiceLinkedRole", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:ListAttachedRolePolicies", "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy" ], "Resource": "*" } ] } ```