本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用管理资源配置AWS Config
AWS Config提供了与您的AWS账户关联的资源的详细视图,包括它们的配置方式、它们之间的关系以及配置及其关系如何随着时间的推移而发生变化。有关更多信息,请参阅《AWS Config开发人员指南》。
AWS Config由 AWS Control Tower 配置的资源会自动标记为aws-control-tower且值为。managed-by-control-tower
有关如何在 AWS Control Tower 中AWS Config监控和记录资源以及如何向您收取费用的更多信息,请参阅使用监控资源变化 AWS Config。
AWS Control Tower 用于AWS Config 规则实施侦探控制。有关更多信息,请参阅 About controls in AWS Control Tower。
Control Tower 着陆区 4.0 中的 AWS Config 集成
服务关联的 Config 聚合器 (SLCA)
AWS Control Tower 现在实现了服务相关配置聚合器 (SLCA),作为着陆区 4.0+ 的一部分。这一变化代表着整个组织中 AWS Config 数据的汇总和管理方式有了显著改进。
主要变更
新的服务相关的 Config 聚合器部署
服务相关配置聚合器已部署在您指定的 AWS Config 集成账户中。
对于现有客户,这将是您的审计账户
对于新客户,这将是清单
config.accountId字段中指定的账户
委托管理员
AWS Config 聚合器账户成为 AWS Config 的委托管理员
AWS Control Tower 会自动配置委派的管理员设置
这使您能够在整个组织中集中管理 AWS Config
从旧版聚合器迁移
在升级到着陆区 4.0 期间:
管理账户中的组织聚合器将被删除。
审计账户中的账户聚合器将被删除。
它们被 AWS Config 集成聚合器账户中新的服务关联的 Config Aggregator 所取代。
增强的数据聚合
与服务关联的 Config Aggregator 为配置数据聚合提供了改进的功能:
可以聚合组织中任何 AWS Config 记录器的数据
包括来自非 Control Tower 管理的账户的数据
提供整个组织中配置项目的全面视图
支持增强的数据边界控制
重要注意事项
委派管理员配置
AWS Control Tower 将使用您在清单中指定的账户进行 AWS Config 集成
此账户将自动配置为委派管理员
对于此配置,客户无需采取任何其他措施
对于现有客户,在 Landing Zone 4.0 升级期间,您之前的安全角色集成账户(审计账户)将被配置为 AWS Config 中央聚合器账户
数据聚合范围
-
服务关联的 Config Aggregator 可以聚合以下来源的配置数据:
Control Tower 托管账户
非控制塔管理账户
组织中任何具有活动的 Config 记录器的帐户
访问控制
对聚合数据的访问通过 IAM 策略进行管理
AWS Config 中央聚合器账户可以集中访问所有聚合数据
成员账户保留各自的 AWS Config 录像机
最佳实践
Config Central 聚合器账户选择
选择一个专门用于安全与合规监控的账户
确保适当的访问控制到位
考虑使用现有的审计账户或安全账户
数据管理
定期查看汇总的配置数据
实施适当的保留政策
监控各个账户的 AWS Config 记录器状态
迁移影响
升级到着陆区 4.0 时:
迁移之前
记录现有 AWS Config 规则和聚合器
查看当前的 AWS Config 数据访问模式
为所有必要的 IAM 政策更新做好计划
迁移期间
传统的 AWS Config 聚合器将被自动移除
将部署服务关联的 Config 聚合器
将配置委派的管理员
迁移后
验证服务相关的 Config Aggregator 是否正常运行
确认来自成员账户的数据聚合
根据需要更新监控和报告工具
