View a markdown version of this page

Modifiche chiave - AWS Control Tower

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modifiche chiave

Nota

  • La definizione di «registrato» e «registrato» è cambiata con questa nuova versione di AWS Control Tower. Quando su di essa account/OU è abilitata una risorsa AWS Control Tower (ad esempio control o baseline), verrà considerata una risorsa gestita. La definizione non sarà più determinata dalla presenza della linea di AWSControlTowerBaseline base.

  • I ruoli collegati ai servizi vengono mantenuti in tutte le versioni di landing zone e non vengono più eliminati quando OUs diventano «non registrati»

  • I ruoli collegati ai servizi possono essere eliminati manualmente dai clienti solo dopo la disattivazione della landing zone

Aggiornamento dalla versione 3.3 o precedente alla versione 4.0

Non disattivate le integrazioni dei servizi (AWS Config, SecurityRoles) come parte dell'aggiornamento della versione. Nelle versioni 3.3 e precedenti delle landing zone, AWS Config SecurityRoles erano sempre abilitate implicitamente. La versione 4.0 presenta queste integrazioni come opzioni configurabili per la prima volta. Dopo aver eseguito correttamente l'aggiornamento alla versione 4.0, puoi disabilitare le integrazioni dei servizi come desideri.

  • Prerequisito per Landing Zone 4.0: quando esegui l'aggiornamento alla versione 4.0 tramite API, assicurati che il ruolo del AWSControlTowerCloudTrailRole servizio utilizzi la nuova politica gestita anziché la politica AWSControlTowerCloudTrailRolePolicy in linea esistente. Scollega la politica in linea corrente e allega la nuova politica gestita come descritto nella documentazione.

  • Manifesto opzionale: il campo Manifest nell'API landing zone è ora facoltativo. I clienti possono creare zone di atterraggio senza alcuna integrazione di servizi. Non vi è alcun impatto per i clienti esistenti che utilizzano già il campo manifest.

  • Struttura organizzativa opzionale: AWS Control Tower non applica o gestisce più la creazione di unità organizzative di sicurezza in modo che i clienti possano definire e gestire la propria struttura organizzativa. Tuttavia, AWS Control Tower richiederà che tutti gli account configurati per ogni integrazione di servizi AWS si trovino nella stessa unità organizzativa principale. Non vi è alcun impatto per i clienti che hanno già configurato AWS Control Tower e dispongono dell'unità organizzativa di sicurezza. AWS Control Tower distribuisce automaticamente le risorse e i controlli necessari per gestire gli account di integrazione dei servizi nell'unità organizzativa di sicurezza. Ad esempio, quando l'integrazione con AWS Config è abilitata, la registrazione con AWS Config è abilitata in tutti gli account di integrazione dei servizi. La AWS Control Tower Baseline e la AWS Config Baseline non sono applicabili alle unità organizzative di sicurezza e agli account di integrazione. Per modificare le integrazioni dei servizi, aggiorna le impostazioni della landing zone.

    Nota

    • La configurazione della struttura organizzativa per AWS Control Tower landing zone 4.0 è cambiata rispetto alle versioni precedenti. AWS Control Tower non creerà più l'unità organizzativa di sicurezza designata. L'unità organizzativa con gli account di integrazione del servizio sarà l'unità organizzativa di sicurezza designata.

    • Se gli account dei membri vengono trasferiti nell'unità organizzativa in cui risiedono gli account per ogni integrazione, i controlli abilitati su quell'unità organizzativa vengono spostati indipendentemente dal fatto che la registrazione automatica sia attivata o disattivata.

    Stato di base per l'unità organizzativa di sicurezza: la linea di base e la linea di base di AWS Control Tower non possono essere applicate all'unità organizzativa di sicurezza. AWS Config L'unità organizzativa di sicurezza mostra lo stato di base di «Non applicabile» per queste linee di base. Questo stato è previsto. BackupBaseline Può essere applicato all'unità organizzativa di sicurezza.

    AWS Control Tower gestisce gli account di integrazione dei servizi tramite la landing zone, non tramite linee di base a livello di OU. Se un account di integrazione del servizio mostra lo stato di base di «Non abilitato» e l'integrazione del servizio associata è disabilitata, AWS Control Tower non gestisce più quell'account.

    Gli account nell'unità organizzativa di sicurezza che non sono designati come account di integrazione del servizio non ricevono risorse di base. Per gestire questi account, spostali in un'unità organizzativa gestita ed estendi la governance.

    Set di autorizzazioni IAM Identity Center per gli account di integrazione dei servizi: AWS Control Tower fornisce i set di autorizzazioni IAM Identity Center per l'account di registrazione e l' SecurityRoles account. AWS Control Tower non fornisce set di autorizzazioni per l'account Config o l'account Backup. Per accedere all'account Config o Backup tramite IAM Identity Center, crea manualmente set di autorizzazioni utilizzando le risorse IAM Identity Center distribuite da AWS Control Tower.

  • Notifiche di drift: AWS Control Tower interromperà l'invio di notifiche di drift all'argomento SNS per tutti i clienti sulla landing zone 4.0 senza l'AWSControlTowerBaselineopzione abilitata e inizierà invece a inviare notifiche di drift all'account EventBridge di gestione. Per esaminare esempi di eventi e linee guida su come ricevere notifiche di drift EventBridge, consulta questa guida.

  • Integrazioni di servizi opzionali: ora hai la possibilità di utilizzare enable/disable tutte le integrazioni di AWS Control Tower CloudTrail SecurityRoles, tra cui AWS Config AWS e. AWS Backup Queste integrazioni ora hanno anche dei enabled flag opzionalmente richiesti nell'API. Le linee di base che possono essere applicate alla tua landing zone o agli account condivisi ora dipendono l'una dall'altra. Le dipendenze specifiche delle integrazioni sono:

    • Abilitazione:

      • CentralSecurityRolesBaseline→ richiede di essere CentralConfigBaseline abilitato

      • IdentityCenterBaseline→ richiede CentralSecurityRolesBaseline di essere abilitato

      • BackupCentralVaultBaseline→ richiede CentralSecurityRolesBaseline di essere abilitato

      • BackupAdminBaseline→ richiede CentralSecurityRolesBaseline di essere abilitato

      • LogArchiveBaseline→ indipendente (nessuna dipendenza)

      • CentralConfigBaseline→ indipendente (nessuna dipendenza)

    • Disabilitazione:

      • CentralConfigBaselinepuò essere disabilitato solo se CentralSecurityRolesBaselineIdentityCenterBaseline, BackupAdminBaseline e le BackupCentralVaultBaseline linee di base vengono disabilitate per prime.

      • CentralSecurityRolesBaselinepuò essere disabilitato solo se IdentityCenterBaseline BackupAdminBaseline e le BackupCentralVaultBaseline linee di base vengono disabilitate per prime.

      • IdentityCenterBaselinepuò essere disabilitato indipendentemente.

      • BackupAdminBaselinee le BackupCentralVaultBaseline linee di base possono essere disabilitate indipendentemente

      • LogArchiveBaselinepuò essere disabilitato indipendentemente

    Ambito di AWS Config attivazione dell'integrazione dei servizi

    L'abilitazione dell'integrazione del AWS Config servizio a livello di landing zone distribuisce le risorse di registrazione di Config solo agli account di integrazione del servizio. Per distribuire AWS Config risorse (Config Recorder, Delivery Channel) negli account dei membri, abilita la linea di base su ciascuna unità organizzativa AWS Config gestita singolarmente.

    L'abilitazione dell'integrazione Config a livello di landing zone è un prerequisito per abilitare la linea di base Config attiva. OUs L'impostazione a livello di zona di destinazione da sola non distribuisce le risorse Config agli account dei membri.

    CentralizedLogging modifica del comportamento nella versione 4.0

    Nelle versioni 3.3 e precedenti delle landing zone, la disabilitazione comportava la CentralizedLogging disattivazione dell'Organizzazione e manteneva tutte CloudTrail le risorse dispiegate. Nella versione 4.0, la disabilitazione CentralizedLogging elimina tutte le risorse associate dall'account di registrazione. Queste risorse includono Config Recorder, Delivery Channel e le istanze dello stack CloudTrail correlate. Dopo la disabilitazione, AWS Control Tower non gestisce più l'account di registrazione.

    Per ripristinare la gestione dell'account di registrazione, riattiva CentralizedLogging o sposta l'account in un'unità organizzativa gestita ed estendi la governance.