View a markdown version of this page

Principaux changements - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Principaux changements

Note

  • La définition des termes « inscrit » et « inscrit » a changé avec cette nouvelle version d'AWS Control Tower. Lorsqu' account/OU une ressource AWS Control Tower est activée (par exemple, contrôle ou référence), elle sera considérée comme une ressource gouvernée. La définition ne sera plus dictée par la présence de la AWSControlTowerBaseline ligne de base.

  • Les rôles liés au service sont conservés dans toutes les versions de zone de landing zone et ne sont plus supprimés lorsqu'ils sont « non OUs enregistrés »

  • Les rôles liés aux services ne peuvent être supprimés manuellement par les clients qu'après la mise hors service de la zone d'atterrissage

Mise à niveau de la version 3.3 ou antérieure vers la version 4.0

Ne désactivez pas les intégrations de services (AWS Config, SecurityRoles) dans le cadre de la mise à niveau de version. Dans les versions 3.3 et antérieures de la zone d'atterrissage, AWS Config SecurityRoles elles étaient toujours activées implicitement. La version 4.0 présente ces intégrations sous forme d'options configurables pour la première fois. Une fois la mise à niveau réussie vers la version 4.0, vous pouvez désactiver les intégrations de services comme vous le souhaitez.

  • Prérequis pour Landing Zone 4.0 : lors de la mise à niveau vers la version 4.0 via l'API, assurez-vous que le rôle de AWSControlTowerCloudTrailRole service utilise la nouvelle politique gérée AWSControlTowerCloudTrailRolePolicy au lieu de la politique en ligne existante. Détachez la politique en ligne actuelle et attachez la nouvelle politique gérée comme décrit dans la documentation.

  • Manifeste facultatif : le champ Manifest dans l'API de la zone d'atterrissage est désormais facultatif. Les clients peuvent créer des zones d'atterrissage sans aucune intégration de services. Cela n'a aucun impact pour les clients existants qui utilisent déjà le champ du manifeste.

  • Structure organisationnelle facultative : AWS Control Tower n'applique ni ne gère la création de l'unité d'organisation de sécurité, de sorte que les clients peuvent définir et gérer leur propre structure organisationnelle. Cependant, AWS Control Tower exigera que tous les comptes configurés pour chaque intégration de services AWS soient rattachés à la même unité d'organisation parent. Cela n'a aucun impact pour les clients qui ont déjà configuré l'AWS Control Tower et disposent de l'unité d'organisation de sécurité. AWS Control Tower déploie automatiquement les ressources et les contrôles nécessaires pour gérer les comptes d'intégration de services dans l'unité d'organisation de sécurité. Par exemple, lorsque l'intégration AWS Config est activée, l'enregistrement AWS Config est activé dans tous les comptes d'intégration de services. Les lignes de base AWS Control Tower et AWS Config ne s'appliquent pas à l'unité d'organisation de sécurité et aux comptes d'intégration. Pour modifier les intégrations de services, mettez à jour les paramètres de la zone d'atterrissage.

    Note

    • La configuration de la structure organisationnelle pour la zone d'atterrissage 4.0 d'AWS Control Tower a changé par rapport aux versions précédentes de la zone d'atterrissage. AWS Control Tower ne créera plus l'unité d'organisation de sécurité désignée. L'unité d'organisation avec les comptes d'intégration de services sera l'unité d'organisation de sécurité désignée.

    • Si les comptes des membres sont transférés vers l'unité d'organisation où résident les comptes de chaque intégration, les contrôles activés sur cette unité d'organisation sont déplacés, que l'inscription automatique soit activée ou désactivée.

    État de référence pour l'unité d'organisation de sécurité : la ligne de base AWS Control Tower et la ligne AWS Config de base ne peuvent pas être appliquées à l'unité d'organisation de sécurité. L'unité d'organisation de sécurité affiche un statut de base « Non applicable » pour ces lignes de base. Ce statut est attendu. Il BackupBaseline peut être appliqué à l'unité d'organisation de sécurité.

    AWS Control Tower gère les comptes d'intégration de services via la zone d'atterrissage, et non via des lignes de base au niveau de l'unité organisationnelle. Si un compte d'intégration de services affiche le statut de base « Non activé » et que l'intégration de services associée est désactivée, AWS Control Tower ne gère plus ce compte.

    Les comptes de l'unité d'organisation de sécurité qui ne sont pas désignés comme des comptes d'intégration de services ne reçoivent pas de ressources de base. Pour gérer ces comptes, déplacez-les vers une unité d'organisation gérée et étendez la gouvernance.

    Ensembles d'autorisations IAM Identity Center pour les comptes d'intégration de services : AWS Control Tower fournit des ensembles d'autorisations IAM Identity Center pour le compte de journalisation et le SecurityRoles compte. AWS Control Tower ne fournit aucun ensemble d'autorisations pour le compte Config ou le compte Backup. Pour accéder au compte Config ou Backup via IAM Identity Center, créez des ensembles d'autorisations manuellement à l'aide des ressources IAM Identity Center déployées par AWS Control Tower.

  • Notifications de dérive : AWS Control Tower cessera d'envoyer des notifications de dérive à SNS Topic pour tous les clients sur la zone d'atterrissage 4.0 si cette option n'est pas AWSControlTowerBaseline activée, et commencera à envoyer des notifications de dérive au compte de gestion à EventBridge la place. Pour consulter des exemples d'événements et des conseils sur la manière de recevoir des notifications de dérive EventBridge, veuillez consulter ce guide.

  • Intégrations de services facultatives : vous pouvez désormais accéder à enable/disable toutes les intégrations d'AWS Control Tower CloudTrail SecurityRoles, y compris AWS Config AWS et. AWS Backup Ces intégrations ont également désormais des enabled indicateurs facultatifs obligatoires dans l'API. Les lignes de base qui peuvent s'appliquer à votre zone d'atterrissage ou à vos comptes partagés dépendent désormais les unes des autres. Les dépendances spécifiques aux intégrations sont les suivantes :

    • Habilitation :

      • CentralSecurityRolesBaselineCentralConfigBaseline doit être activé

      • IdentityCenterBaselineCentralSecurityRolesBaseline doit être activé

      • BackupCentralVaultBaselineCentralSecurityRolesBaseline doit être activé

      • BackupAdminBaselineCentralSecurityRolesBaseline doit être activé

      • LogArchiveBaseline→ indépendant (aucune dépendance)

      • CentralConfigBaseline→ indépendant (aucune dépendance)

    • Handicaps :

      • CentralConfigBaselinene peut être désactivé que si CentralSecurityRolesBaselineIdentityCenterBaseline, BackupAdminBaseline et les BackupCentralVaultBaseline lignes de base sont désactivées en premier.

      • CentralSecurityRolesBaselinene peut être désactivé que siIdentityCenterBaseline, BackupAdminBaseline et les BackupCentralVaultBaseline lignes de base sont désactivées en premier.

      • IdentityCenterBaselinepeut être désactivé indépendamment.

      • BackupAdminBaselineet les BackupCentralVaultBaseline lignes de base peuvent être désactivées indépendamment

      • LogArchiveBaselinepeut être désactivé indépendamment

    Champ d'application de l' AWS Config activation de l'intégration des services

    L'activation de l'intégration des AWS Config services au niveau de la zone d'atterrissage déploie les ressources d'enregistrement Config uniquement sur les comptes d'intégration de services. Pour déployer AWS Config des ressources (Config Recorder, Delivery Channel) sur les comptes membres, activez la AWS Config ligne de base sur chaque unité d'organisation gérée individuellement.

    L'activation de l'intégration Config au niveau de la zone d'atterrissage est une condition préalable pour activer la ligne de base Config sur OUs. Le paramètre au niveau de la zone d'atterrissage ne déploie pas à lui seul les ressources Config sur les comptes des membres.

    CentralizedLogging changement de comportement dans la version 4.0

    Dans les versions 3.3 et antérieures de landing zone, la désactivation CentralizedLogging désactivait l'organisation CloudTrail et conservait toutes les ressources déployées. Dans la version 4.0, la désactivation CentralizedLogging supprime toutes les ressources associées du compte de journalisation. Ces ressources incluent le Config Recorder, le Delivery Channel et les CloudTrail instances de stack associées. Après la désactivation, AWS Control Tower ne gère plus le compte de journalisation.

    Pour rétablir la gestion du compte de journalisation, réactivez CentralizedLogging ou déplacez le compte vers une unité d'organisation gérée et étendez la gouvernance.