Habilitar opciones de funciones - AWS Control Tower
AWS CloudTrail eventos de datosAWS Plan Enterprise Support Eliminar la AWS VPC predeterminada

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar opciones de funciones

AFT ofrece opciones de funciones basadas en las mejores prácticas. Puede optar por utilizar estas funciones, mediante indicadores de funciones, durante la implementación de AFT. Consulte Aprovisione una nueva cuenta con AFT para obtener más información sobre los parámetros de configuración de entrada de AFT.

Estas funciones no están habilitadas de forma predeterminada. Debe habilitar cada una de ellas de forma explícita en su entorno.

AWS CloudTrail eventos de datos

Cuando está habilitada, la opción de eventos de AWS CloudTrail datos configura estas capacidades.

  • Crea un registro de la organización en la cuenta de administración de la Torre de Control Tower de AWS, para CloudTrail

  • Activa el registro de eventos de datos de Amazon S3 y Lambda

  • Cifra y exporta todos los eventos de CloudTrail datos a un bucket de aws-aft-logs-* S3 en la cuenta de AWS Control Tower Log Archive, con AWS KMS cifrado

  • Activa la configuración de validación del archivo de registro

Para habilitar esta opción, defina el siguiente indicador de función en True en la configuración de entrada de la implementación de AFT.

aft_feature_cloudtrail_data_events

Requisito previo

Antes de activar esta opción de función, asegúrese de que el acceso confiable para AWS CloudTrail esté habilitado en su organización.

Para comprobar el estado del acceso de confianza para CloudTrail :

  1. Navega hasta la AWS Organizations consola.

  2. Seleccione Servicios > CloudTrail.

  3. A continuación, selecciona Habilitar el acceso de confianza en la esquina superior derecha, si es necesario.

Es posible que recibas un mensaje de advertencia en el que se te pida que utilices la AWS CloudTrail consola, pero en ese caso, ignora la advertencia. AFT crea el rastro como parte de la activación de esta opción de función, después de permitir el acceso confiable. Si el acceso confiable no está habilitado, recibirá un mensaje de error cuando AFT intente crear su registro para los eventos de datos.

nota

Esta configuración funciona a nivel de la organización. La activación de esta configuración afecta a todas las cuentas AWS Organizations, estén administradas por AFT o no. Todos los depósitos de la cuenta de AWS Control Tower Log Archive en el momento de la activación se excluyen de los eventos de datos de Amazon S3. Consulte la Guía del AWS CloudTrail usuario para obtener más información al respecto CloudTrail.

AWS Plan Enterprise Support

Cuando esta opción está habilitada, la canalización de AFT activa el plan AWS Enterprise Support para las cuentas aprovisionadas por AFT.

AWS las cuentas vienen con el plan AWS Basic Support activado de forma predeterminada. AFT proporciona la inscripción automática en el nivel de soporte empresarial, para las cuentas que AFT aprovisiona. El proceso de aprovisionamiento abre un ticket de soporte para la cuenta, en el que se solicita que se añada al plan AWS Enterprise Support.

Para habilitar la opción Enterprise Support, defina el siguiente indicador de función en True en la configuración de entrada de implementación de AFT.

aft_feature_enterprise_support=false

Consulte Compare AWS Support Plans para obtener más información sobre los planes de AWS Support.

nota

Para permitir que esta función funcione, debe inscribir la cuenta del pagador en el plan Enterprise Support.

Eliminar la AWS VPC predeterminada

Al habilitar esta opción, AFT elimina todas las VPC AWS predeterminadas de la cuenta de administración y de todas Regiones de AWS, incluso si no ha implementado los recursos de AWS Control Tower en ellas. Regiones de AWS

AFT no elimina automáticamente las VPC AWS predeterminadas de las cuentas de la Torre de Control de AWS que AFT aprovisione ni de las AWS cuentas existentes que usted inscriba en la Torre de Control de AWS a través de AFT.

Las AWS cuentas nuevas se crean con una VPC configurada en cada una de ellas Región de AWS, de forma predeterminada. Es posible que su empresa tenga prácticas estándar para crear VPC, que requieren que elimine la VPC AWS predeterminada y evite habilitarla, especialmente para la cuenta de administración de AFT.

Para habilitar esta opción, defina el siguiente indicador de función en True en la configuración de entrada de despliegue de AFT.

aft_feature_delete_default_vpcs_enabled

Consulte la VPC predeterminada y las subredes predeterminadas para obtener más información sobre las VPC predeterminadas.