关键变更 - AWS Control Tower

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

关键变更

注意

  • 随着新版本的 AWS Control Tower,“已注册” 和 “已注册” 的定义发生了变化。当您的上面启用 account/OU 了任何 AWS Control Tower 资源(例如控制或基准)时,它将被视为受管控资源。该定义将不再受AWSControlTowerBaseline基线的存在所驱动。

  • 服务相关角色将在所有 landing zone 版本中保留,并且在 “取消注册” 后 OUs 不再被删除

  • 只有在 landing zone 停用后,客户才能手动删除服务相关角色

  • 着陆区 4.0 的先决条件:通过 API 升级到版本 4.0 时,请确保AWSControlTowerCloudTrailRole服务角色使用新的托管策略AWSControlTowerCloudTrailRolePolicy而不是现有的内联策略。如文档中所述,分离当前内联策略并附加新的托管策略。

  • land@@ ing zone API 中的可选 Manifest:Manifest 字段现在是可选的。客户无需任何服务集成即可创建着陆区。对已经在使用清单字段的现有客户没有影响。

  • 可选组织结构:AWS Control Tower 不再强制或管理安全 OU 的创建,因此客户可以定义和管理自己的组织结构。但是,AWS Control Tower 将要求为每个 AWS 服务集成配置的所有账户都位于同一个父 OU 下。对于已经设置 AWS Control Tower 并拥有安全 OU 的客户,这不会受到任何影响。AWS Control Tower 会自动部署在安全 OU 中管理服务集成账户所需的资源和控制措施。例如,启用 AWS Config 集成后,将在所有服务集成账户中启用 AWS Config 记录。AWS Control Tower 基准和 AWS Config 基准不适用于安全 OU 和集成账户。要更改服务集成,请更新 landing zone 设置。

    注意

    • AWS Control Tower 着陆区 4.0 的组织结构设置与之前的着陆区版本相比发生了变化。AWS Control Tower 将不再创建指定的安全 OU。拥有服务集成账户的 OU 将成为指定的安全 OU。

    • 如果成员账户进入每个集成的账户所在的 OU,则无论自动注册是开启还是关闭,对该 OU 启用的控制都会被移动。

  • 漂移通知:AWS Control Tower 将停止向未AWSControlTowerBaseline启用该功能的着陆区 4.0 上的所有客户向 SNS 主题发送漂移通知,而是开始向管理账户发送漂移通知。 EventBridge 要查看示例事件和有关如何接收漂移通知的指南 EventBridge,请查看本指南

  • 可选服务集成:您现在可以进行 enable/disable 所有 AWS Control Tower 集成,包括 AWS Config AWS CloudTrail SecurityRoles、和。 AWS Backup现在,这些集成在 API 中还具有可选的必填enabled标志。现在,可能适用于您的 landing zone 或共享账户的基准相互依赖。集成的特定依赖关系是:

    • 启用:

      • CentralSecurityRolesBaselineCentralConfigBaseline 需要启用

      • IdentityCenterBaselineCentralSecurityRolesBaseline 需要启用

      • BackupCentralVaultBaselineCentralSecurityRolesBaseline 需要启用

      • BackupAdminBaselineCentralSecurityRolesBaseline 需要启用

      • LogArchiveBaseline→ 独立(无依赖关系)

      • CentralConfigBaseline→ 独立(无依赖关系)

    • 禁用:

      • CentralConfigBaseline只有先禁用CentralSecurityRolesBaselineIdentityCenterBaselineBackupAdminBaselineBackupCentralVaultBaseline基准时才能禁用。

      • CentralSecurityRolesBaseline只有在先禁用BackupAdminBaselineBackupCentralVaultBaseline基准时才能禁用。IdentityCenterBaseline

      • IdentityCenterBaseline可以独立禁用。

      • BackupAdminBaseline并且可以BackupCentralVaultBaseline独立禁用基线

      • LogArchiveBaseline可以独立禁用