Abilita le opzioni delle funzionalità - AWS Control Tower
AWS CloudTrail eventi relativi ai datiAWS Piano Enterprise Support Eliminare il AWS VPC predefinito

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilita le opzioni delle funzionalità

AFT offre opzioni di funzionalità basate sulle migliori pratiche. È possibile attivare queste funzionalità, tramite i flag di funzionalità, durante l'implementazione di AFT. Fornisci un nuovo account con AFTPer ulteriori informazioni sui parametri di configurazione di input AFT, fare riferimento a.

Queste funzionalità non sono abilitate per impostazione predefinita. È necessario abilitarle in modo esplicito nel proprio ambiente.

AWS CloudTrail eventi relativi ai dati

Se abilitata, l'opzione AWS CloudTrail data events configura queste funzionalità.

  • Crea un Organization Trail nell'account di gestione AWS Control Tower, per CloudTrail

  • Attiva la registrazione per gli eventi relativi ai dati di Amazon S3 e Lambda

  • Crittografa ed esporta tutti gli eventi CloudTrail relativi ai dati in un bucket aws-aft-logs-* S3 nell'account AWS Control Tower Log Archive, con crittografia AWS KMS

  • Attiva l'impostazione di convalida del file di registro

Per abilitare questa opzione, imposta il seguente flag di funzionalità su True nella configurazione di input della distribuzione AFT.

aft_feature_cloudtrail_data_events

Prerequisito

Prima di abilitare questa opzione di funzionalità, assicuratevi che l'accesso affidabile per AWS CloudTrail sia abilitato nella vostra organizzazione.

Per verificare lo stato dell'accesso affidabile per CloudTrail :

  1. Vai alla AWS Organizations console.

  2. Scegli Servizi > CloudTrail.

  3. Quindi seleziona Abilita accesso affidabile in alto a destra, se necessario.

Potresti ricevere un messaggio di avviso che ti consiglia di utilizzare la AWS CloudTrail console, ma in questo caso ignora l'avviso. AFT crea il percorso come parte dell'attivazione di questa opzione di funzionalità, dopo aver consentito l'accesso attendibile. Se l'accesso affidabile non è abilitato, riceverai un messaggio di errore quando AFT tenta di creare il percorso per gli eventi relativi ai dati.

Nota

Questa impostazione funziona a livello di organizzazione. L'attivazione di questa impostazione ha effetto su tutti gli account AWS Organizations, indipendentemente dal fatto che siano gestiti da AFT o meno. Tutti i bucket presenti nell'account AWS Control Tower Log Archive al momento dell'attivazione sono esclusi dagli eventi relativi ai dati di Amazon S3. Per ulteriori informazioni, consulta la Guida per l' AWS CloudTrail utente. CloudTrail

AWS Piano Enterprise Support

Quando questa opzione è abilitata, la pipeline AFT attiva il piano AWS Enterprise Support per gli account forniti da AFT.

AWS per impostazione predefinita, gli account hanno il piano AWS Basic Support abilitato. AFT fornisce l'iscrizione automatica al livello di supporto aziendale, per gli account forniti da AFT. Il processo di provisioning apre un ticket di supporto per l'account, richiedendo che venga aggiunto al piano Enterprise AWS Support.

Per abilitare l'opzione Enterprise Support, imposta il seguente flag di funzionalità su True nella configurazione di input della distribuzione AFT.

aft_feature_enterprise_support=false

Consulta Compare AWS Support Plans per saperne di più sui piani di AWS supporto.

Nota

Per consentire il funzionamento di questa funzionalità, è necessario registrare l'account del pagatore nel piano Enterprise Support.

Eliminare il AWS VPC predefinito

Quando abiliti questa opzione, AFT elimina tutti i VPC AWS predefiniti nell'account di gestione e in tutto Regioni AWS, anche se non sono state distribuite le risorse AWS Control Tower in tali account. Regioni AWS

AFT non elimina automaticamente i VPC AWS predefiniti per nessun account AWS Control Tower di cui AFT fornisce o per AWS gli account esistenti registrati in AWS Control Tower tramite AFT.

Per impostazione predefinita, i nuovi AWS account vengono creati con un VPC configurato in ciascuno Regione AWSdi essi. La tua azienda potrebbe avere procedure standard per la creazione di VPC, che richiedono di eliminare il VPC AWS predefinito ed evitare di abilitarlo, in particolare per l'account di gestione AFT.

Per abilitare questa opzione, imposta il seguente flag di funzionalità su True nella configurazione di input della distribuzione AFT.

aft_feature_delete_default_vpcs_enabled

Per ulteriori informazioni sui VPC predefiniti, consulta VPC predefiniti e sottoreti predefinite.