View a markdown version of this page

关键变更 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关键变更

注意

  • 随着新版本的 AWS Control Tower,“已注册” 和 “已注册” 的定义发生了变化。当您的上面启用 account/OU 了任何 AWS Control Tower 资源(例如控制或基准)时,它将被视为受管控的资源。该定义将不再受AWSControlTowerBaseline基线的存在所驱动。

  • 服务相关角色将在所有 landing zone 版本中保留,并且在 “取消注册” 后 OUs 不再被删除

  • 只有在 landing zone 停用后,客户才能手动删除服务相关角色

从 3.3 或更早版本升级到 4.0 版

不要在版本升级过程中禁用服务集成 (AWS Config, SecurityRoles)。在 landing zone 3.3 及更早版本 SecurityRoles 中, AWS Config 并且始终隐式启用。4.0 版本首次将这些集成视为可配置选项。成功升级到版本 4.0 后,您可以根据需要禁用服务集成。

  • 着陆区 4.0 的先决条件:通过 API 升级到版本 4.0 时,请确保AWSControlTowerCloudTrailRole服务角色使用新的托管策略AWSControlTowerCloudTrailRolePolicy而不是现有的内联策略。如文档中所述,分离当前内联策略并附加新的托管策略。

  • land@@ ing zone API 中的可选 Manifest:Manifest 字段现在是可选的。客户无需任何服务集成即可创建着陆区。对已经在使用清单字段的现有客户没有影响。

  • 可选组织结构:AWS Control Tower 不再强制或管理安全 OU 的创建,因此客户可以定义和管理自己的组织结构。但是,AWS Control Tower 将要求为每个 AWS 服务集成配置的所有账户都位于同一个父 OU 下。对于已经设置 AWS Control Tower 并拥有安全 OU 的客户,这不会受到任何影响。AWS Control Tower 会自动部署在安全 OU 中管理服务集成账户所需的资源和控制措施。例如,启用 AWS Config 集成后,将在所有服务集成账户中启用 AWS Config 记录。AWS Control Tower 基准和 AWS Config 基准不适用于安全 OU 和集成账户。要更改服务集成,请更新 landing zone 设置。

    注意

    • AWS Control Tower 着陆区 4.0 的组织结构设置与之前的着陆区版本相比发生了变化。AWS Control Tower 将不再创建指定的安全 OU。拥有服务集成账户的 OU 将成为指定的安全 OU。

    • 如果成员账户进入每个集成的账户所在的 OU,则无论自动注册是开启还是关闭,对该 OU 启用的控制都会被移动。

    安全 OU 的基准状态:AWS Control Tower AWS Config 基准和基准不能应用于安全 OU。安全 OU 显示这些基准的基准状态为 “不适用”。这种状态是预料之中的。 BackupBaseline 可以应用于安全 OU。

    AWS Control Tower 通过着陆区而不是通过 OU 级别的基准来管理服务集成账户。如果服务集成账户的基准状态显示为 “未启用”,且关联的服务集成被禁用,则 AWS Control Tower 将不再管理该账户。

    安全 OU 中未被指定为服务集成账户的账户不会获得基准资源。要管理这些账户,请将其移至托管 OU 并扩大管控范围。

    服务集成账户的 IAM 身份中心权限集:AWS Control Tower 为日志账户和账户配置 IAM 身份中心权限集。 SecurityRoles AWS Control Tower 不为配置账户或备份账户预配置权限集。要通过 IAM 身份中心访问 Config 或 Backup 账户,请使用 AWS Control Tower 部署的 IAM 身份中心资源手动创建权限集。

  • 漂移通知:AWS Control Tower 将停止向未AWSControlTowerBaseline启用该功能的着陆区 4.0 上的所有客户向 SNS 主题发送漂移通知,而是开始向管理账户发送漂移通知。 EventBridge 要查看示例事件和有关如何接收漂移通知的指南 EventBridge,请查看本指南

  • 可选服务集成:您现在可以进行 enable/disable 所有 AWS Control Tower 集成,包括 AWS Config AWS CloudTrail SecurityRoles、和。 AWS Backup现在,这些集成在 API 中还具有可选的必填enabled标志。现在,可能适用于您的 landing zone 或共享账户的基准相互依赖。集成的特定依赖项是:

    • 启用:

      • CentralSecurityRolesBaselineCentralConfigBaseline 需要启用

      • IdentityCenterBaselineCentralSecurityRolesBaseline 需要启用

      • BackupCentralVaultBaselineCentralSecurityRolesBaseline 需要启用

      • BackupAdminBaselineCentralSecurityRolesBaseline 需要启用

      • LogArchiveBaseline→ 独立(无依赖关系)

      • CentralConfigBaseline→ 独立(无依赖关系)

    • 禁用:

      • CentralConfigBaseline只有先禁用CentralSecurityRolesBaselineIdentityCenterBaselineBackupAdminBaselineBackupCentralVaultBaseline基准时才能禁用。

      • CentralSecurityRolesBaseline只有在先禁用BackupAdminBaselineBackupCentralVaultBaseline基准时才能禁用。IdentityCenterBaseline

      • IdentityCenterBaseline可以独立禁用。

      • BackupAdminBaseline并且可以BackupCentralVaultBaseline独立禁用基线

      • LogArchiveBaseline可以独立禁用

    AWS Config 服务集成支持的范围

    在 landing zone 级别启用 AWS Config 服务集成仅会将 Config 录制资源部署到服务集成账户。要将 AWS Config 资源(Config Recorder、Delivery Channel)部署到成员账户,请在每个托管 OU 上单独启用 AWS Config 基准。

    在着陆区级别启用 Config 集成是启用 Config 基准的先决条件 OUs。仅靠着陆区域级别的设置并不能将 Config 资源部署到成员账户。

    CentralizedLogging 4.0 版本中的行为更改

    在 lan CentralizedLogging ding zone 3.3 及更早版本中,禁用会 CloudTrail 将组织切换为关闭并保留所有已部署的资源。在版本 4.0 中,禁用 CentralizedLogging 会删除日志帐户中的所有关联资源。这些资源包括 Config Recorder、Delivery Channel 和 CloudTrail相关的堆栈实例。禁用后,AWS Control Tower 将不再管理该日志账户。

    要恢复对日志账户的管理,请重新启用该账户 CentralizedLogging 或将该账户移至托管 OU 并延长管控期。