AWS Config 更新 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Config 更新

  • AWS Config 和 AWS CloudTrail 的專用資源: AWS Config 和 AWS CloudTrail 現在使用單獨的專用 S3 儲存貯體和 SNS 主題,而不是共用資源。客戶在多個整合中使用單一或個別帳戶的靈活性受到限制。

    • 升級到 AWS Control Tower 登陸區域 4.0 版時,不會移動現有的資料和 S3 儲存貯體。AWS CloudTrail 整合會繼續使用字首為 的現有 S3 儲存貯體aws-controltower-logs。更新操作後的新 AWS Config 資料將存放在新的 S3 儲存貯體中aws-controltower-config,並加上 AWS Control Tower 在為 CentralConfigBaseline 指定的帳戶中建立的字首。

      注意

      第一次在登陸區域 4.0 上啟用 AWS CloudTrail 整合時,每次都會使用字首建立新的 S3 儲存貯體 aws-controltower-cloudtrail

    • 資料位置變更:從先前共用的現有客戶升級至專用資源時,會在不同的 S3 儲存貯體中擁有 AWS Config 和 AWS CloudTrail 資料。建立的客戶工作流程和工具可能需要更新,才能從新的儲存貯體位置存取資料。

    • AWS CloudTrail 將繼續保留在相同的現有儲存貯體中,但 AWS Config 資料將保留在 AWS Control Tower 建立的新 S3 儲存貯體中。

    • 如果客戶想要將不同的日誌集中到單一儲存貯體,則可以設定跨儲存貯體複寫。如需詳細資訊,請參閱 S3 文件

    • 如果您已在AWS Config Control Tower 管理的區域中使用 AWS Control Tower 未建立的預先存在 AWS Config 交付通道註冊帳戶,請將交付通道的 S3 儲存貯體名稱更新為 AWS Config 整合帳戶中具有字首的新 S3 儲存貯aws-controltower-config-logs-體,以符合登陸區域 4.0 上的 AWS Control Tower 組態。如需詳細資訊,請參閱註冊具有現有 AWS Config 資源的帳戶

  • AWS Config 登陸區域 4.0 版上的整合:在啟用 AWS Config 整合的情況下遷移至登陸區域 4.0 時,客戶會看到下列變更 -

    1. 現有的 Audit 帳戶已註冊為 的委派管理員 AWS Config。

    2. 服務連結 Config 彙整工具會部署到 Audit 帳戶 (新客戶的AWS Config 中央彙整工具帳戶和現有客戶的 Audit 帳戶)。新的彙總工具可以從組織中的任何 AWS Config 記錄器彙總資料,包括非 Control Tower 受管帳戶。

    3. 現有的彙總工具將被刪除 - 管理帳戶 (aws-controltower-ConfigAggregatorForOrganizations) 中的組織彙總器和稽核帳戶 (aws-controltower-GuardRailsComplianceAggregator) 中的帳戶彙總器將被刪除。

    4. 與已刪除彙總工具相關聯的控制項會自動移除。此外,由於 AWS Config 規則和組態彙整工具將是服務連結的資源,因此不再需要服務控制政策保護。

      1. 不允許對 AWS Control Tower for AWS Config 資源建立的標籤進行變更

      2. 不允許刪除 AWS Control Tower 建立的 AWS Config 彙總授權

      3. 不允許變更 AWS Control Tower 設定的 AWS Config 規則

  • 新的ConfigBaseline基準:OU ConfigBaseline 層級現在有一個單獨的偵測控制支援,而不需要全面的 AWSControlTowerBaseline。如需詳細資訊,請參閱 OU 層級的基準類型清單。對於使用預設登陸區域的現有客戶,所有服務整合現在都是選用的,並具有 中概述的相依性需求警告金鑰變更

  • 服務連結組態彙總工具:取代 AWS Config 中央彙總工具帳戶中的組織和帳戶彙總工具。

    • 在啟用 AWS Config 整合的情況下升級至登陸區域 4.0 時,客戶需要擁有 organizations:ListDelegatedAdministrators 許可 

      
{
   "Version": "2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
           "backup:UpdateGlobalSettings",
           "controltower:CreateLandingZone",
           "controltower:UpdateLandingZone",
           "controltower:ResetLandingZone",
           "controltower:DeleteLandingZone",
           "controltower:GetLandingZoneOperation",
           "controltower:GetLandingZone",
           "controltower:ListLandingZones",
           "controltower:ListLandingZoneOperations",
           "controltower:ListTagsForResource",
           "controltower:TagResource",
           "controltower:UntagResource",
            "servicecatalog:*",
            "organizations:*",
            "organizations:RegisterDelegatedAdministrator",
            "organizations:EnableAWSServiceAccess",
            "organizations:DeregisterDelegatedAdministrator",
            "organizations:ListDelegatedAdministrators",
            "sso:*",
            "sso-directory:*",
            "logs:*",
            "cloudformation:*",
            "kms:*",
            "iam:GetRole",
            "iam:CreateRole",
            "iam:GetSAMLProvider",
            "iam:CreateSAMLProvider",
            "iam:CreateServiceLinkedRole",
            "iam:ListRolePolicies",
            "iam:PutRolePolicy",
            "iam:ListAttachedRolePolicies",
            "iam:AttachRolePolicy",
            "iam:DeleteRole",
            "iam:DeleteRolePolicy",
            "iam:DetachRolePolicy"
         ],
         "Resource": "*"
      }
   ]
}