Principais mudanças - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Principais mudanças

nota

  • A definição de “registrado” e “inscrito” mudou com essa nova versão do AWS Control Tower. Quando você account/OU tem algum recurso do AWS Control Tower habilitado nele (por exemplo, controle ou linha de base), ele será considerado um recurso governado. A definição não será mais orientada pela presença da linha de AWSControlTowerBaseline base.

  • As funções vinculadas ao serviço são mantidas em todas as versões da landing zone e não são mais excluídas quando OUs se tornam “não registradas”

  • As funções vinculadas ao serviço só podem ser excluídas manualmente pelos clientes após o descomissionamento da landing zone

  • Pré-requisito para o Landing Zone 4.0: Ao atualizar para a versão 4.0 via API, certifique-se de que a função de AWSControlTowerCloudTrailRole serviço use a nova política gerenciada AWSControlTowerCloudTrailRolePolicy em vez da política embutida existente. Separe a política em linha atual e anexe a nova política gerenciada conforme descrito na documentação.

  • Manifesto opcional: o campo Manifesto na API do landing zone agora é opcional. Os clientes podem criar zonas de aterrissagem sem nenhuma integração de serviços. Não há impacto para os clientes existentes que já estão usando o campo de manifesto.

  • Estrutura organizacional opcional: o AWS Control Tower não aplica mais nem gerencia a criação de UO de segurança para que os clientes possam definir e gerenciar sua própria estrutura organizacional. No entanto, o AWS Control Tower exigirá que todas as contas configuradas para cada integração de serviços da AWS estejam sob a mesma OU principal. Não há impacto para os clientes que já configuraram o AWS Control Tower e têm a OU de segurança. O AWS Control Tower implanta automaticamente os recursos e os controles necessários para gerenciar contas de integração de serviços na OU de segurança. Por exemplo, quando a integração do AWS Config é ativada, a gravação do AWS Config é ativada em todas as contas de integração de serviços. O AWS Control Tower Baseline e o AWS Config Baseline não são aplicáveis à OU de segurança e às contas de integração. Para alterar as integrações de serviços, atualize as configurações do landing zone.

    nota

    • A configuração da estrutura organizacional para a zona de pouso 4.0 do AWS Control Tower mudou em relação às versões anteriores da zona de pouso. O AWS Control Tower não criará mais a OU de segurança designada. A OU com as contas de integração de serviços será a OU de segurança designada.

    • Se as contas dos membros forem transferidas para a OU em que residem as contas de cada integração, os controles ativados nessa OU serão transferidos, independentemente de a inscrição automática estar ativada ou desativada.

  • Notificações de deriva: o AWS Control Tower deixará de enviar notificações de deriva para o tópico do SNS para todos os clientes na landing zone 4.0 sem a AWSControlTowerBaseline habilitação e, EventBridge em vez disso, começará a enviar notificações de deriva para a conta de gerenciamento. Para analisar exemplos de eventos e orientações sobre como receber notificações de deriva EventBridge, consulte este guia.

  • Integrações de serviços opcionais: agora você tem a capacidade de fazer enable/disable todas as integrações do AWS Control Tower, incluindo AWS Config AWS CloudTrail SecurityRoles, e. AWS Backup Agora, essas integrações também têm enabled sinalizadores opcionalmente obrigatórios na API. As linhas de base que podem ser aplicadas à sua landing zone ou contas compartilhadas agora dependem umas das outras. As dependências específicas das integrações são:

    • Capacitação:

      • CentralSecurityRolesBaselineCentralConfigBaseline precisa ser ativado

      • IdentityCenterBaselineCentralSecurityRolesBaseline precisa ser ativado

      • BackupCentralVaultBaselineCentralSecurityRolesBaseline precisa ser ativado

      • BackupAdminBaselineCentralSecurityRolesBaseline precisa ser ativado

      • LogArchiveBaseline→ independente (sem dependências)

      • CentralConfigBaseline→ independente (sem dependências)

    • Deficiência:

      • CentralConfigBaselinesó podem ser desativadas seCentralSecurityRolesBaseline,IdentityCenterBaseline, BackupAdminBaseline e as BackupCentralVaultBaseline linhas de base forem desativadas primeiro.

      • CentralSecurityRolesBaselinesó podem ser desativadas seIdentityCenterBaseline, BackupAdminBaseline e as BackupCentralVaultBaseline linhas de base forem desativadas primeiro.

      • IdentityCenterBaselinepode ser desativado de forma independente.

      • BackupAdminBaselinee as BackupCentralVaultBaseline linhas de base podem ser desativadas de forma independente

      • LogArchiveBaselinepode ser desativado de forma independente