Abilita le opzioni delle funzionalità - AWS Control Tower
AWS CloudTrail eventi relativi ai datiAWS Piano Enterprise Support Eliminare l'impostazione predefinita AWS VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilita le opzioni delle funzionalità

AFToffre opzioni di funzionalità basate sulle migliori pratiche. È possibile attivare queste funzionalità, tramite i flag di funzionalità, durante la AFT distribuzione. Fornisci un nuovo account con AFTPer ulteriori informazioni sui parametri di configurazione di AFT input, fare riferimento a.

Queste funzionalità non sono abilitate per impostazione predefinita. È necessario abilitarle in modo esplicito nel proprio ambiente.

AWS CloudTrail eventi relativi ai dati

Se abilitata, l'opzione AWS CloudTrail data events configura queste funzionalità.

  • Crea un Organization Trail nell'account di gestione AWS Control Tower, per CloudTrail

  • Attiva la registrazione per gli eventi relativi ai dati di Amazon S3 e Lambda

  • Crittografa ed esporta tutti gli eventi CloudTrail relativi ai dati in un bucket aws-aft-logs-* S3 nell'account AWS Control Tower Log Archive, con crittografia AWS KMS

  • Attiva l'impostazione di convalida del file di registro

Per abilitare questa opzione, imposta il seguente flag di funzionalità su True nella configurazione di input della AFT distribuzione.

aft_feature_cloudtrail_data_events

Prerequisito

Prima di abilitare questa opzione di funzionalità, assicuratevi che l'accesso affidabile per AWS CloudTrail sia abilitato nella vostra organizzazione.

Per verificare lo stato dell'accesso affidabile per CloudTrail :

  1. Accedere alla AWS Organizations console.

  2. Scegli Servizi > CloudTrail.

  3. Quindi seleziona Abilita accesso affidabile in alto a destra, se necessario.

Potresti ricevere un messaggio di avviso che ti consiglia di utilizzare la AWS CloudTrail console, ma in questo caso ignora l'avviso. AFTcrea il percorso come parte dell'attivazione di questa opzione di funzionalità, dopo aver consentito l'accesso attendibile. Se l'accesso affidabile non è abilitato, riceverai un messaggio di errore quando AFT tenti di creare il percorso per gli eventi relativi ai dati.

Nota

Questa impostazione funziona a livello di organizzazione. L'attivazione di questa impostazione ha effetto su tutti gli account AWS Organizations, indipendentemente dal fatto che siano gestiti da AFT o meno. Tutti i bucket presenti nell'account AWS Control Tower Log Archive al momento dell'attivazione sono esclusi dagli eventi relativi ai dati di Amazon S3. Per ulteriori informazioni, consulta la Guida per l' AWS CloudTrail utente. CloudTrail

AWS Piano Enterprise Support

Quando questa opzione è abilitata, la AFT pipeline attiva il piano AWS Enterprise Support per gli account forniti da. AFT

AWS per impostazione predefinita, gli account hanno il piano AWS Basic Support abilitato. AFTfornisce l'iscrizione automatica al livello di supporto aziendale, per gli account che AFT forniscono. Il processo di provisioning apre un ticket di supporto per l'account, richiedendo che venga aggiunto al piano Enterprise AWS Support.

Per abilitare l'opzione Enterprise Support, imposta il seguente flag di funzionalità su True nella configurazione di input della AFT distribuzione.

aft_feature_enterprise_support=false

Consulta Compare AWS Support Plans per saperne di più sui piani di AWS supporto.

Nota

Per consentire il funzionamento di questa funzionalità, è necessario registrare l'account del pagatore nel piano Enterprise Support.

Eliminare l'impostazione predefinita AWS VPC

Quando abiliti questa opzione, AFT elimina tutte le AWS impostazioni predefinite VPCs nell'account di gestione e in tutto Regioni AWS, anche se non sono state distribuite le risorse AWS Control Tower in tali account. Regioni AWS

AFTnon elimina VPCs automaticamente le AWS impostazioni predefinite per gli account AWS Control Tower che effettuano il AFT provisioning o per AWS gli account esistenti tramite AFT i quali ci si iscrive a AWS Control Tower.

Per impostazione predefinita, i nuovi AWS account vengono creati con una VPC configurazione specifica per ciascuno Regione AWS di essi. È possibile che l'azienda disponga di procedure standard per la creazioneVPCs, che richiedono di eliminare le AWS impostazioni predefinite VPC ed evitare di attivarle, in particolare per l'account di AFT gestione.

Per abilitare questa opzione, imposta il seguente flag di funzionalità su True nella configurazione di input della AFT distribuzione.

aft_feature_delete_default_vpcs_enabled

Per ulteriori informazioni sulle sottoreti predefinite VPC e predefinite, consulta le sottoreti predefinite. VPCs