AWS Config 更新 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Config 更新

  • AWS Config 和 AWS CloudTrail: AWS Config 和 AWS 的专用资源 CloudTrail 现在使用单独的专用 S3 存储桶和 SNS 主题,而不是共享资源。客户使用单个或单独的账户进行多个集成的灵活性有限。

    • 升级到 AWS Control Tower 着陆区版本 4.0 时,不会移动现有数据和 S3 存储桶。AWS CloudTrail 集成继续使用带前缀的现有 S3 存储桶aws-controltower-logs。更新操作后的新 AWS Config 数据将存储在新 S3 存储桶中,其前缀aws-controltower-config是 AWS Control Tower 在为指定的账户中创建的前缀 CentralConfigBaseline。

      注意

      首次在 lan CloudTrail ding zone 4.0 上启用 AWS 集成后,每次都会创建带有前缀的新 S3 存储桶 aws-controltower-cloudtrail

    • 数据位置变更:从先前共享的资源升级到专用资源的现有客户将在不同的 S3 存储桶中拥有 AWS Config AWS CloudTrail 数据。已建立的客户工作流程和工具可能需要更新才能从新的存储桶位置访问数据。

    • AWS CloudTrail 将继续保留在相同的现有存储桶中,但 AWS Config 数据将存储在 AWS Control Tower 创建的新 S3 存储桶中。

    • 如果客户希望将不同的日志集中到单个存储桶中,则可以设置跨存储桶复制。有关更多信息,请参阅 S3 文档

    • 如果您在 AWS Config 集成账户中注册了未由 AWS Control Tower 创建的预先存在的 AWS Config 交付渠道的账户,请将交付渠道的 S3 存储桶名称更新为新 S3 存储桶,并在 AWS Config 集成账户aws-controltower-config-logs-中使用前缀,使其与着陆区 4.0 上的 AWS Control Tower 配置保持一致。有关更多详情,请参阅注册拥有现有 AWS Config 资源的账户

  • AWS Config 在 land@@ ing zone 版本 4.0 上 AWS Config 集成:在启用集成的情况下迁移到着陆区 4.0 时,客户会看到以下变化-

    1. 现有的审核账户已注册为的委托管理员 AWS Config。

    2. 服务关联的 Config Aggregator 部署到审计账户(新客户的AWS Config 中央聚合器账户和现有客户的审计账户)中。新的聚合器可以聚合组织中任何 AWS Config Recorder 的数据,包括非 Control Tower 托管账户。

    3. 现有的聚合器将被删除-管理账户 (aws-controltower-ConfigAggregatorForOrganizations) 中的组织聚合器和审核账户 () 中的账户聚合器将被删除。aws-controltower-GuardRailsComplianceAggregator

    4. 与已删除的聚合器关联的控件将被自动移除。此外,由于 AWS Config 规则和配置聚合器将是与服务相关的资源,因此不再需要服务控制策略保护。

      1. 不允许更改 AWS Control Tower 为 AWS Config 资源创建的标签

      2. 不允许删除由 AWS Control Tower 创建的 AWS Config 聚合授权

      3. 不允许更改 AWS Control Tower 设置的 AWS Config 规则

  • 新的ConfigBaseline基准:OU 级别现在有单独ConfigBaseline的侦探控制支持,无需全面支持AWSControlTowerBaseline。有关更多信息,请参阅 OU 级别的基准类型列表。对于使用默认 landing zone 的现有客户,所有服务集成现在都是可选的,其中列出了依赖关系要求的注意事项。关键变更

  • 服务关联的 Config Aggregator:取代 AWS Config 中央聚合器账户中的组织和账户聚合器。

    • 在启用 AWS Config 集成的情况下升级到 landing zone 4.0 时,客户需要拥有organizations:ListDelegatedAdministrators权限 

      
{
   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
           "backup:UpdateGlobalSettings",
           "controltower:CreateLandingZone",
           "controltower:UpdateLandingZone",
           "controltower:ResetLandingZone",
           "controltower:DeleteLandingZone",
           "controltower:GetLandingZoneOperation",
           "controltower:GetLandingZone",
           "controltower:ListLandingZones",
           "controltower:ListLandingZoneOperations",
           "controltower:ListTagsForResource",
           "controltower:TagResource",
           "controltower:UntagResource",
            "servicecatalog:*",
            "organizations:*",
            "organizations:RegisterDelegatedAdministrator",
            "organizations:EnableAWSServiceAccess",
            "organizations:DeregisterDelegatedAdministrator",
            "organizations:ListDelegatedAdministrators",
            "sso:*",
            "sso-directory:*",
            "logs:*",
            "cloudformation:*",
            "kms:*",
            "iam:GetRole",
            "iam:CreateRole",
            "iam:GetSAMLProvider",
            "iam:CreateSAMLProvider",
            "iam:CreateServiceLinkedRole",
            "iam:ListRolePolicies",
            "iam:PutRolePolicy",
            "iam:ListAttachedRolePolicies",
            "iam:AttachRolePolicy",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy"
         ],
         "Resource": "*"
      }
   ]
}