Mejores prácticas para las actualizaciones de las zonas de landing zone - AWS Control Tower

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas para las actualizaciones de las zonas de landing zone

En esta sección se incluyen algunas consideraciones y prácticas recomendadas que debes tener en cuenta cuando estés pensando en actualizar tu versión de landing zone en AWS Control Tower. El cambio de la serie 2.0 landing zone a la serie 3.0 landing zone es especialmente importante. Cuando mejoras tu landing zone, AWS Control Tower te mueve automáticamente a la última versión disponible.

nota

Se recomienda actualizar la landing zone a la versión más reciente.

Resumen de las mejores prácticas explicadas en esta sección

  • Práctica recomendada: Por motivos de seguridad y de auditoría, te recomendamos encarecidamente que habilites el registro de forma generalizada para todas las cuentas y que envíes la información de registro a una ubicación centralizada. En AWS Control Tower, esta ubicación centralizada es la cuenta de archivo de registros, que proporciona un depósito de registro de Amazon S3.

  • Práctica recomendada: si optas por no participar en los CloudTrail senderos a nivel de organización en AWS Control Tower, configura y gestiona tus propios senderos.

  • Práctica recomendada: Al operar el entorno AWS de la Torre de Control, configure un entorno de pruebas.

Ventajas de pasar de las versiones 2.x landing zone a las versiones 3.x landing zone

  • Registre AWS Config los recursos solo en la región de origen, lo que supone un ahorro de costes al gestionar los recursos globales

  • Cifra tu AWS CloudTrail ruta con tu propia clave KMS

  • Personalice su período de retención de registros

  • Controles obligatorios mejorados

  • Mayor número de controles disponibles

  • Integrado con AWS Security Hub

  • Actualizaciones del tiempo de ejecución de Python

Advertencias para pasar de las versiones 2.x landing zone a las versiones 3.x landing zone

  • Con landing zone 3.0 y versiones posteriores, AWS Control Tower ya no admite AWS CloudTrail rutas gestionadas a nivel de cuenta. AWS

  • Tienes la opción de elegir un sendero a nivel de organización gestionado por AWS Control Tower o de excluirte de él y gestionar tus propios CloudTrail senderos.

  • Existe la posibilidad de que los costos se dupliquen, especialmente si algunas cuentas de una OU no están inscritas en la Torre de AWS Control y tienen sus propios registros a nivel de cuenta que usted desea conservar.

Consideraciones sobre la elección de rutas a nivel de organización CloudTrail

  • Cuando actualizas a la versión 3.0 o una versión posterior, la Torre de AWS Control borra las rutas a nivel de cuenta que creó originalmente, después de 24 horas.

  • No se pierde ningún dato de estas rutas. Los registros existentes se conservan incluso cuando se eliminan los senderos.

  • AWSControl Tower crea una nueva ruta en el mismo depósito de Amazon S3 para las rutas, a fin de diferenciar las rutas a nivel de cuenta de las rutas a nivel de organización.

    • La ruta de registro de los registros de una cuenta tiene este formato: /orgId/AWSLogs/...

    • La ruta del registro de la organización tiene este formato: /orgId/AWSLogs/orgId/...

  • CloudTrail Los senderos adicionales que hayas desplegado y los senderos no desplegados por la Torre de AWS Control no se tocarán.

  • Todas las cuentas se incluyen en el registro a nivel de la organización, incluidas las cuentas no inscritas en AWS Control Tower, si las cuentas no inscritas forman parte de una OU registrada.

  • CloudWatch Las alarmas de Amazon en las cuentas vinculadas no se activan.

  • Si optas por no participar en una ruta a nivel de organización, AWS Control Tower seguirá creando la ruta, pero establecerá su estado en Desactivado.

  • Como práctica recomendada, si optas por no participar en los senderos a nivel de organización en AWS Control Tower, deberías crear y gestionar tus propios CloudTrail senderos,

Ventajas de los senderos a nivel de organización

  • El registro organizativo funciona en todas las cuentas de la OU.

  • Los elementos registrados están estandarizados y los usuarios de la cuenta no pueden modificarlos.

Considere un entorno de pruebas

Cuando mejoras tu landing zone, AWS Control Tower solo realiza cambios en las cuentas compartidas y en la OU fundamental. No realiza cambios en sus cuentas de carga de trabajo oOUs. Sin embargo, como práctica recomendada, cuando utilice su entorno de Torre de AWS Control, le recomendamos que configure un entorno de pruebas. En el entorno de pruebas aislado, puedes probar las mejoras de la zona de aterrizaje de la Torre de AWS Control Tower, así como cualquier cambio que realices en las políticas de control de servicios (SCPs), y puedes probar los controles que desees aplicar al entorno. Esta recomendación es especialmente útil si trabaja en un sector regulado,