本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 管理資源組態 AWS Config
AWS Config 提供與您 AWS 帳戶相關聯資源的詳細檢視,包括它們的設定方式、它們彼此的關係,以及組態及其關係如何隨時間變化。如需詳細資訊,請參閱《AWS Config 開發人員指南》。
AWS Config AWS Control Tower 佈建的資源會自動標記 aws-control-tower和 值managed-by-control-tower。
如需如何在 AWS Control Tower 中 AWS Config 監控和記錄資源及其如何向您收取費用的詳細資訊,請參閱 使用 監控資源變更 AWS Config。
AWS Control Tower 使用 AWS Config 規則 實作偵測性控制。如需詳細資訊,請參閱關於 AWS Control Tower 中的控制項。
Control Tower 登陸區域 4.0 中的 AWS Config 整合
服務連結組態彙總工具 (SLCA)
AWS Control Tower 現在會在登陸區域 4.0+ 實作服務連結組態彙總工具 (SLCA)。此變更可大幅改善 AWS Config 資料在組織中的彙總和管理方式。
重要變更
新的服務連結組態彙整工具部署
服務連結組態彙整工具會部署在您指定的 AWS Config 整合帳戶中。
對於現有客戶,這將是您的稽核帳戶
對於新客戶,這將是資訊清單
config.accountId欄位中指定的帳戶
委派的管理員
AWS Config 彙總工具帳戶會成為 AWS Config 的委派管理員
AWS Control Tower 會自動設定委派的管理員設定
這可讓您在整個組織中集中管理 AWS Config
從舊版彙總工具遷移
在升級至登陸區域 4.0 期間:
管理帳戶中的組織彙整工具將被移除。
稽核帳戶中的帳戶彙整工具將被移除。
這些會由 AWS Config 整合彙整工具帳戶中的新服務連結 Config 彙整工具取代。
增強型資料彙總
服務連結的 Config 彙總工具可改善 Config 資料彙總的功能:
可以從組織中的任何 AWS Config 記錄器彙總資料
包含來自非 Control Tower 管理之帳戶的資料
提供整個組織的組態項目完整檢視
支援增強型資料周邊控制
重要考量
委派的管理員組態
AWS Control Tower 將使用資訊清單中指定的帳戶進行 AWS Config 整合
此帳戶將自動設定為委派管理員
此組態不需要客戶採取其他動作
對於現有客戶,先前的安全角色整合帳戶 (稽核帳戶) 將在登陸區域 4.0 升級期間設定為 AWS Config 中央彙整工具帳戶
資料彙總範圍
-
服務連結組態彙總工具可以從下列位置彙總組態資料:
Control Tower 受管帳戶
非控制塔受管帳戶
組織中具有作用中 Config 記錄器的任何帳戶
存取控制
透過 IAM 政策管理對彙總資料的存取
AWS Config 中央彙總工具帳戶可集中存取所有彙總資料
成員帳戶維護其個別 AWS Config 記錄器
最佳實務
Config Central 彙整工具帳戶選擇
選擇專用於安全和合規監控的帳戶
確保有適當的存取控制
考慮使用現有的稽核或安全帳戶
資料管理
定期檢閱彙總的組態資料
實作適當的保留政策
跨帳戶監控 AWS Config 記錄器狀態
遷移影響
升級到登陸區域 4.0 時:
遷移之前
記錄現有的 AWS Config 規則和彙總工具
檢閱目前的 AWS Config 資料存取模式
規劃任何必要的 IAM 政策更新
在遷移期間
舊版 AWS Config 彙總工具會自動移除
將部署服務連結組態彙總工具
將設定委派管理員
遷移後
驗證服務連結組態彙整工具是否正常運作
從成員帳戶確認資料彙總
視需要更新監控和報告工具
