Controle as configurações de recursos com AWS Config - AWS Control Tower
Integração do AWS Config na Control Tower Landing Zone 4.0

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle as configurações de recursos com AWS Config

AWS Config fornece uma visão detalhada dos recursos associados à sua AWS conta, incluindo como eles são configurados, como estão relacionados entre si e como as configurações e seus relacionamentos mudaram ao longo do tempo. Para obter mais informações, consulte o Guia do desenvolvedor do AWS Config.

AWS Config os recursos provisionados pelo AWS Control Tower são marcados automaticamente com aws-control-tower um valor de. managed-by-control-tower

Para obter mais informações sobre como AWS Config monitora e registra recursos no AWS Control Tower e como ela cobra por eles, consulteMonitore as mudanças de recursos com AWS Config.

O AWS Control Tower usa Regras do AWS Config para implementar controles de detetive. Consulte mais informações em About controls in AWS Control Tower.

Integração do AWS Config na Control Tower Landing Zone 4.0

Agregador de Configuração Vinculado ao Serviço (SLCA)

O AWS Control Tower agora implementa um Service-Linked Config Aggregator (SLCA) como parte da Landing Zone 4.0+. Essa mudança representa uma melhoria significativa na forma como os dados do AWS Config são agregados e gerenciados em toda a sua organização.

Principais mudanças

Nova implantação do Service-Linked Config Aggregator

  • Um agregador de configuração vinculado ao serviço é implantado na sua conta de integração do AWS Config designada.

  • Para clientes existentes, essa será sua conta de auditoria

  • Para novos clientes, essa será a conta especificada no config.accountId campo do manifesto

Administrador delegado

  • A conta agregadora do AWS Config se torna a administradora delegada do AWS Config

  • O AWS Control Tower configura automaticamente as configurações do administrador delegado

  • Isso permite o gerenciamento centralizado do AWS Config em toda a sua organização.

Migração de agregadores antigos

Durante a atualização para a Landing Zone 4.0:

  • O agregador da organização na conta de gerenciamento será removido.

  • O agregador de contas na conta de auditoria será removido.

  • Eles são substituídos pelo novo Config Aggregator vinculado ao serviço na conta agregadora de integração do AWS Config.

Agregação de dados aprimorada

O Config Aggregator vinculado ao serviço fornece recursos aprimorados para a agregação de dados do Config:

  • Pode agregar dados de qualquer gravador do AWS Config em sua organização

  • Inclui dados de contas não gerenciadas pela Control Tower

  • Fornece uma visão abrangente dos itens de configuração em sua organização

  • Suporta controles aprimorados de perímetro de dados

Considerações importantes

Configuração do administrador delegado

  • O AWS Control Tower usará a conta especificada em seu manifesto para a integração com o AWS Config

  • Essa conta será configurada automaticamente como administrador delegado

  • Nenhuma ação adicional é exigida dos clientes para essa configuração

  • Para clientes atuais, sua conta anterior de integração do Security Roles (conta de auditoria) será configurada como a conta agregadora central do AWS Config durante a atualização da Landing Zone 4.0

Escopo da agregação de dados

  • O Service-Linked Config Aggregator pode agregar dados de configuração de:

    • Contas gerenciadas da Control Tower

    • Contas não gerenciadas pela Control Tower

    • Qualquer conta com um gravador Config ativo em sua organização

Controles de acesso

  • O acesso aos dados agregados é gerenciado por meio de políticas do IAM

  • A conta do agregador central do AWS Config tem acesso central a todos os dados agregados

  • As contas dos membros mantêm seus gravadores individuais do AWS Config

Práticas recomendadas

Seleção de conta do Config Central Aggregator

  • Escolha uma conta dedicada ao monitoramento de segurança e conformidade

  • Garanta que os controles de acesso apropriados estejam em vigor

  • Considere usar uma conta de auditoria ou segurança existente

Gerenciamento de dados

  • Revise regularmente os dados de configuração agregados

  • Implemente políticas de retenção apropriadas

  • Monitore o status do gravador do AWS Config em todas as contas

Impacto da migração

Ao fazer o upgrade para a Landing Zone 4.0:

Antes da migração

  • Documente as regras e agregadores existentes do AWS Config

  • Analise os padrões atuais de acesso aos dados do AWS Config

  • Planeje todas as atualizações necessárias da política do IAM

Durante a migração

  • Os agregadores antigos do AWS Config serão removidos automaticamente

  • O Service-Linked Config Aggregator será implantado

  • O administrador delegado será configurado

Depois da migração

  • Verifique se o Service-Linked Config Aggregator está funcionando corretamente

  • Confirme a agregação de dados das contas dos membros

  • Atualize as ferramentas de monitoramento e geração de relatórios conforme necessário