Bonnes pratiques pour les mises à jour des zones d'atterrissage - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques pour les mises à jour des zones d'atterrissage

Cette section présente certaines considérations et bonnes pratiques à prendre en compte lorsque vous envisagez une mise à niveau de votre version de zone d'atterrissage dans AWS Control Tower. Le passage de la série de versions de zone d'atterrissage 2.0 à la série de versions de zone d'atterrissage 3.0 est particulièrement important. Lorsque vous améliorez votre zone de landing zone, AWS Control Tower vous déplace automatiquement vers la dernière version disponible.

Note

Il est recommandé de passer à la dernière version de la zone d'atterrissage.

Résumé des meilleures pratiques expliquées dans cette section

  • Bonne pratique : pour des raisons de sécurité et d'audit, nous vous recommandons vivement d'activer la journalisation à tous les niveaux, pour tous les comptes, et d'envoyer les informations de journalisation à un emplacement centralisé. Dans AWS Control Tower, cet emplacement centralisé est le compte d'archivage des journaux, qui fournit un compartiment de journalisation Amazon S3.

  • Bonne pratique : si vous choisissez de ne pas suivre le CloudTrail parcours au niveau de l'organisation dans AWS Control Tower, configurez et gérez vos propres sentiers.

  • Bonne pratique : Lorsque vous exploitez votre environnement AWS Control Tower, configurez un environnement de test.

Avantages du passage des versions de zone d'atterrissage 2.x aux versions de zone d'atterrissage 3.x

  • Enregistrez AWS Config les ressources uniquement dans la région d'origine, ce qui permet de réaliser des économies lorsque vous gérez des ressources mondiales

  • Chiffrez votre AWS CloudTrail parcours avec votre propre clé KMS

  • Personnalisez le délai de conservation de vos journaux

  • Contrôles obligatoires renforcés

  • Nombre accru de commandes disponibles

  • Intégré à AWS Security Hub

  • Mises à jour du runtime Python

Mises en garde concernant le passage des versions de zone d'atterrissage 2.x aux versions de zone d'atterrissage 3.x

  • Avec la landing zone 3.0 et les versions ultérieures, AWS Control Tower ne prend plus en charge les AWS CloudTrail traces de gestion au niveau du compte. AWS

  • Vous avez la possibilité de choisir un sentier géré par AWS Control Tower au niveau de l'organisation ou de ne pas en faire partie et de gérer vos propres CloudTrail sentiers.

  • Il existe un risque de double coût, en particulier si certains comptes au sein d'une unité d'organisation ne sont pas inscrits à AWS Control Tower et ont leurs propres traces au niveau du compte que vous souhaitez conserver.

Considérations relatives au choix des parcours au niveau de l'organisation CloudTrail

  • Lorsque vous effectuez une mise à niveau vers la version 3.0 ou une version ultérieure, AWS Control Tower supprime les traces au niveau du compte créées à l'origine, au bout de 24 heures.

  • Aucune donnée provenant de ces pistes n'est perdue. Vos journaux existants sont préservés même lorsque les sentiers sont supprimés.

  • AWSControl Tower crée un nouveau chemin dans le même compartiment Amazon S3 pour les pistes, afin de différencier les pistes au niveau du compte des pistes au niveau de l'organisation.

    • Le chemin du journal de suivi d'un compte se présente sous la forme suivante : /orgId/AWSLogs/...

    • Le chemin du journal de suivi d'une organisation se présente sous la forme suivante : /orgId/AWSLogs/orgId/...

  • CloudTrail Les pistes supplémentaires que vous avez déployées, celles qui n'ont pas été déployées par AWS Control Tower, ne sont pas touchées.

  • Tous les comptes sont inclus dans le suivi au niveau de l'organisation, y compris les comptes non inscrits à AWS Control Tower, si les comptes non inscrits font partie d'une unité d'organisation enregistrée.

  • CloudWatch Les alarmes Amazon dans les comptes associés ne sont pas déclenchées.

  • Si vous vous désabonnez d'un suivi au niveau de l'organisation, AWS Control Tower crée toujours le journal, mais définit son statut sur Off.

  • À titre de bonne pratique, si vous choisissez de ne pas suivre le parcours au niveau de l'organisation dans AWS Control Tower, vous devez créer et gérer vos propres CloudTrail sentiers,

Avantages des parcours au niveau de l'organisation

  • Le suivi de l'organisation fonctionne sur tous les comptes de l'unité d'organisation.

  • Les éléments enregistrés sont standardisés et ne peuvent pas être modifiés par les utilisateurs du compte.

Envisagez un environnement de test

Lorsque vous améliorez votre zone d'atterrissage, AWS Control Tower apporte des modifications uniquement aux comptes partagés et à l'unité d'organisation de base. Il n'apporte aucune modification à vos comptes de charge de travail ouOUs. Cependant, comme bonne pratique, lorsque vous exploitez votre environnement AWS Control Tower, nous vous recommandons de configurer un environnement de test. Dans l'environnement de test isolé, vous pouvez tester les mises à niveau de la zone d'atterrissage de la AWS Control Tower, ainsi que les modifications que vous pourriez apporter aux politiques de contrôle des services (SCPs), et vous pouvez tester les contrôles que vous souhaitez appliquer à l'environnement. Cette recommandation est particulièrement utile si vous opérez dans un secteur réglementé,