登录区更新的最佳实践

最佳实践：出于安全和审计原因，强烈建议您对所有账户全面启用日志记录，并将日志记录信息发送到一个集中位置。在 AWS Control Tower 中，这个集中位置是日志存档账户，可提供 Amazon S3 日志记录存储桶。

最佳实践：如果您选择退出 AWS Control Tower 中的组织级 CloudTrail 跟踪，请设置和管理自己的跟踪。

最佳实践：在运行 AWS Control Tower 环境时，请设置一个测试环境。

仅记录所在区域的 AWS Config 资源，这样在管理全球资源时可以节省成本

使用您自己的 KMS 密钥加密您的 AWS CloudTrail 跟踪

自定义日志保留时间范围

增强了强制性控件

增加了可用控件的数量

与集成 AWS Security Hub CSPM

Python 运行时更新

在 landing zone 3.0 及更高版本中，AWS Control Tower 不再支持可管理的 AWS 账户级 AWS CloudTrail 跟踪。

您可以选择由 AWS Control Tower 管理的组织级跟踪，也可以选择退出该跟踪并管理自己的 CloudTrail 跟踪。

有些情况下可能会产生双重成本，特别是如果一个 OU 中的某些账户没有注册 AWS Control Tower，并且有自己的账户级别跟踪，而您又想保留这些跟踪。

当您升级到 3.0 或更高版本时，AWS Control Tower 会在 24 小时后删除其最初创建的账户级别跟踪。[例外]

这些跟踪中的数据不会丢失。即使移除了跟踪，您现有的日志也会被保留。

AWS Control Tower 在同一个 Amazon S3 存储桶中为跟踪创建了一条新路径，以区分账户级别跟踪和组织级别跟踪。

您已部署的其他 CloudTrail 跟踪（未由 AWS Control Tower 部署的跟踪）不会被触及。

如果未注册的账户是已注册 OU 的一部分，则所有账户都会被纳入组织级别跟踪，包括未在 AWS Control Tower 中注册的账户。

关联账户中的 Amazon CloudWatch 警报不会被触发。

如果您选择退出组织级别跟踪，AWS Control Tower 仍会创建该跟踪，但将其状态设置为关闭。

作为最佳实践，如果您选择退出 AWS Control Tower 中的组织级跟踪，则应设置和管理自己的 CloudTrail 跟踪，

组织跟踪适用于 OU 中的所有账户。

记录的项目是标准化的，账户用户无法进行修改。

检查登录区：

– 转至 AWS Control Tower 服务，查看组织单元和账户页面，然后确认您的账户状态已设置为已登记和已注册。

– 如果适用，请验证并确认您的自定义管道上次运行是否成功。

– 检查审计账户中的 Amazon S3 集中日志记录存储桶，因为之前对存储桶策略所做的任何更改都将被覆盖。

验证任何不属于 AWS Control Tower 的 SCP 都不会限制该 AWSControlTowerExecution 角色在成员账户中执行操作，或在管理账户中为执行更新的管理角色执行相关操作。