本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
金鑰變更
注意
-
「已註冊」和「已註冊」的定義已隨著 AWS Control Tower 的新版本而轉移。當您的帳戶/OU 已啟用任何 AWS Control Tower 資源時 (例如控制項或基準),它將被視為受管資源。定義將不再由
AWSControlTowerBaseline基準的存在所驅動。 -
服務連結角色會保留在所有登陸區域版本中,並且在 OUs 變成「未註冊」時不會再刪除
-
只有在登陸區域解除委任後,客戶才能手動刪除服務連結角色
-
登陸區域 4.0 的先決條件:透過 API 升級至 4.0 版時,請確定
AWSControlTowerCloudTrailRole服務角色使用新的受管政策,AWSControlTowerCloudTrailRolePolicy而非現有的內嵌政策。分離目前的內嵌政策並連接新的受管政策,如 文件中所述。 -
選用資訊清單:登陸區域 API 中的資訊清單欄位現在為選用。客戶可以建立登陸區域,而不需要任何服務整合。對於已經使用資訊清單欄位的現有客戶沒有影響。
-
選用的組織結構:AWS Control Tower 不再強制執行或管理安全 OU 建立,讓客戶可以定義和管理自己的組織結構。不過,AWS Control Tower 會要求針對每個 AWS 服務整合設定的所有帳戶都位於相同的父 OU 下。對於已設定 AWS Control Tower 且具有安全 OU 的客戶,沒有影響。AWS Control Tower 會自動部署在 Security OU 中管理服務整合帳戶所需的資源和控制項。例如,啟用 AWS Config 整合時,會在所有服務整合帳戶中啟用 AWS Config 記錄。AWS Control Tower 基準和 AWS Config 基準不適用於安全 OU 和整合帳戶。若要變更服務整合,請更新登陸區域設定。
注意
-
AWS Control Tower 登陸區域 4.0 的組織結構設定已從先前的登陸區域版本變更。AWS Control Tower 將不再建立指定的安全 OU。具有服務整合帳戶的 OU 將是指定的安全 OU。
-
如果成員帳戶移至每個整合帳戶所在的 OU,無論開啟或關閉自動註冊,都會漂移在該 OU 上啟用的控制項。
-
-
偏離通知:AWS Control Tower 將在未
AWSControlTowerBaseline啟用 的情況下,停止向登陸區域 4.0 的所有客戶傳送偏離通知至 SNS 主題,並改為開始將偏離通知傳送至管理帳戶中的 EventBridge。若要檢閱如何透過 EventBridge 接收偏離通知的範例事件和指引,請參閱本指南。 -
選用的服務整合:您現在可以啟用/停用所有 AWS Control Tower 整合 AWS Config,包括 AWS CloudTrail、SecurityRoles 和 AWS Backup。這些整合現在在 API 中也有選用的必要
enabled旗標。可能適用於您的登陸區域或共用帳戶的基準現在彼此具有相依性。整合的特定相依性為:-
啟用:
-
CentralSecurityRolesBaseline→CentralConfigBaseline需要啟用 -
IdentityCenterBaseline→CentralSecurityRolesBaseline需要啟用 -
BackupCentralVaultBaseline→CentralSecurityRolesBaseline需要啟用 -
BackupAdminBaseline→CentralSecurityRolesBaseline需要啟用 -
LogArchiveBaseline→ 獨立 (無相依性) -
CentralConfigBaseline→ 獨立 (無相依性)
-
-
停用:
-
CentralConfigBaseline只有在先停用CentralSecurityRolesBaseline、BackupAdminBaseline和BackupCentralVaultBaseline基準時IdentityCenterBaseline,才能停用 。 -
CentralSecurityRolesBaseline只有在IdentityCenterBaseline、BackupAdminBaseline和BackupCentralVaultBaseline基準先停用時,才能停用。 -
IdentityCenterBaseline可以獨立停用。 -
BackupAdminBaseline和BackupCentralVaultBaseline基準可以獨立停用 -
LogArchiveBaseline可以獨立停用
-
-
