View a markdown version of this page

金鑰變更 - AWS Control Tower

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

金鑰變更

注意

  • 「已註冊」和「已註冊」的定義已隨著 AWS Control Tower 的新版本而轉移。當您的帳戶/OU 上已啟用任何 AWS Control Tower 資源時 (例如控制項或基準),它將被視為受管資源。定義將不再由AWSControlTowerBaseline基準的存在所驅動。

  • 服務連結角色會保留在所有登陸區域版本中,並且在 OUs 變成「未註冊」時不再刪除

  • 只有在登陸區域解除委任後,客戶才能手動刪除服務連結角色

從 3.3 版或更早版本升級至 4.0 版

請勿在版本升級期間停用服務整合 (AWS Config、SecurityRoles)。在登陸區域 3.3 版和更早版本中, AWS Config SecurityRoles 一律會隱含啟用。4.0 版將這些整合首次顯示為可設定的選項。成功升級至 4.0 版之後,您可以視需要停用服務整合。

  • 登陸區域 4.0 的先決條件:透過 API 升級至 4.0 版時,請確定AWSControlTowerCloudTrailRole服務角色使用新的受管政策,AWSControlTowerCloudTrailRolePolicy而非現有的內嵌政策。分離目前的內嵌政策並連接新的受管政策,如 文件所述。

  • 選用資訊清單:登陸區域 API 中的資訊清單欄位現在為選用。客戶可以建立登陸區域,而不需要任何服務整合。對於已使用資訊清單欄位的現有客戶沒有影響。

  • 選用的組織結構:AWS Control Tower 不再強制執行或管理安全 OU 建立,讓客戶可以定義和管理自己的組織結構。不過,AWS Control Tower 會要求針對每個 AWS 服務整合設定的所有帳戶都位於相同的父 OU 下。對於已設定 AWS Control Tower 且具有安全 OU 的客戶,沒有影響。AWS Control Tower 會自動部署在 Security OU 中管理服務整合帳戶所需的資源和控制項。例如,啟用 AWS Config 整合時,會在所有服務整合帳戶中啟用 AWS Config 記錄。AWS Control Tower 基準和 AWS Config 基準不適用於安全 OU 和整合帳戶。若要變更服務整合,請更新登陸區域設定。

    注意

    • AWS Control Tower 登陸區域 4.0 的組織結構設定已從先前的登陸區域版本變更。AWS Control Tower 將不再建立指定的安全 OU。具有服務整合帳戶的 OU 將是指定的安全 OU。

    • 如果成員帳戶移至每個整合帳戶所在的 OU,則無論開啟或關閉自動註冊,都會漂移在該 OU 上啟用的控制項。

    安全 OU 的基準狀態:AWS Control Tower 基準和 AWS Config 基準無法套用至安全 OU。安全性 OU 會顯示這些基準的「不適用」基準狀態。此狀態為預期狀態。BackupBaseline 可以套用至安全 OU。

    AWS Control Tower 會透過登陸區域管理服務整合帳戶,而不是透過 OU 層級基準。如果服務整合帳戶顯示「未啟用」的基準狀態,且相關聯的服務整合已停用,則 AWS Control Tower 不會再管理該帳戶。

    安全 OU 中未指定為服務整合帳戶的帳戶不會接收基準資源。若要控管這些帳戶,請將它們移至受管 OU 並擴展控管。

    服務整合帳戶的 IAM Identity Center 許可集:AWS Control Tower 會為記錄帳戶和 SecurityRoles 帳戶佈建 IAM Identity Center 許可集。AWS Control Tower 不會為 Config 帳戶或 Backup 帳戶佈建許可集。若要透過 IAM Identity Center 存取 Config 或 Backup 帳戶,請使用 AWS Control Tower 部署的 IAM Identity Center 資源手動建立許可集。

  • 偏離通知:AWS Control Tower 將在未AWSControlTowerBaseline啟用 的情況下,停止向登陸區域 4.0 的所有客戶傳送偏離通知至 SNS 主題,並改為開始將偏離通知傳送至管理帳戶中的 EventBridge。若要檢閱如何透過 EventBridge 接收偏離通知的範例事件和指引,請參閱本指南

  • 選用的服務整合:您現在可以啟用/停用所有 AWS Control Tower 整合 AWS Config,包括 AWS CloudTrail、SecurityRoles 和 AWS Backup。這些整合現在在 API 中也有選用的必要enabled旗標。可能適用於您的登陸區域或共用帳戶的基準現在彼此具有相依性。整合的特定相依性為:

    • 啟用:

      • CentralSecurityRolesBaselineCentralConfigBaseline 需要啟用

      • IdentityCenterBaselineCentralSecurityRolesBaseline 需要啟用

      • BackupCentralVaultBaselineCentralSecurityRolesBaseline 需要啟用

      • BackupAdminBaselineCentralSecurityRolesBaseline 需要啟用

      • LogArchiveBaseline → 獨立 (無相依性)

      • CentralConfigBaseline → 獨立 (無相依性)

    • 停用:

      • CentralConfigBaseline 只有在先停用 CentralSecurityRolesBaselineBackupAdminBaselineBackupCentralVaultBaseline基準時IdentityCenterBaseline,才能停用。

      • CentralSecurityRolesBaseline 只有在 IdentityCenterBaselineBackupAdminBaselineBackupCentralVaultBaseline基準先停用時,才能停用。

      • IdentityCenterBaseline 可以獨立停用。

      • BackupAdminBaselineBackupCentralVaultBaseline基準可以獨立停用

      • LogArchiveBaseline 可以獨立停用

    AWS Config 服務整合啟用範圍

    在登陸區域層級啟用 AWS Config 服務整合,只會將 Config 記錄資源部署至服務整合帳戶。若要將 AWS Config 資源 (Config Recorder、 Delivery Channel) 部署至成員帳戶,請個別啟用每個受管 OU 的 AWS Config 基準。

    在登陸區域層級啟用 Config 整合是在 OUs 上啟用 Config 基準的先決條件。僅登陸區域層級設定不會將 Config 資源部署至成員帳戶。

    4.0 版中的 CentralizedLogging 行為變更

    在登陸區域 3.3 版和更早版本中,停用 CentralizedLogging 會將 Organization CloudTrail 切換為關閉並保留所有部署的資源。在 4.0 版中,停用 CentralizedLogging 會從記錄帳戶刪除所有相關聯的資源。這些資源包括 Config Recorder、 Delivery Channel 和 CloudTrail 相關的堆疊執行個體。停用後,AWS Control Tower 不會再管理記錄帳戶。

    若要還原記錄帳戶的管理,請重新啟用 CentralizedLogging 或將帳戶移至受管 OU 並擴展控管。