Práticas recomendadas para atualizações da landing zone - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para atualizações da landing zone

Esta seção fornece algumas considerações e melhores práticas que você deve ter em mente ao considerar uma atualização da sua versão de landing zone no AWS Control Tower. A mudança da série 2.0 da versão da zona de pouso para a série da versão 3.0 da zona de pouso é especialmente importante. Quando você atualiza sua landing zone, o AWS Control Tower automaticamente move você para a versão mais recente disponível.

nota

É uma prática recomendada atualizar para a versão mais recente da landing zone.

Resumo das melhores práticas explicadas nesta seção

  • Prática recomendada: por motivos de segurança e auditoria, é altamente recomendável que você ative o registro geral, para todas as contas, e envie as informações de registro para um local centralizado. No AWS Control Tower, esse local centralizado é a conta de arquivamento de registros, que fornece um bucket de registro do Amazon S3.

  • Melhor prática: se você optar por não participar da CloudTrail trilha de nível organizacional no AWS Control Tower, configure e gerencie suas próprias trilhas.

  • Prática recomendada: ao operar seu ambiente AWS Control Tower, configure um ambiente de teste.

Benefícios de mudar das versões 2.x da zona de pouso para as versões 3.x da zona de pouso

  • Registre AWS Config recursos somente na região de origem, o que gera economia de custos ao gerenciar recursos globais

  • Criptografe sua AWS CloudTrail trilha com sua própria chave KMS

  • Personalize seu cronograma de retenção de registros

  • Controles obrigatórios aprimorados

  • Maior número de controles disponíveis

  • Integrado com AWS Security Hub

  • Atualizações de tempo de execução do Python

Advertências para mudar das versões 2.x da zona de pouso para as versões 3.x da zona de pouso

  • Com o landing zone 3.0 e versões posteriores, o AWS Control Tower não suporta mais AWS CloudTrail trilhas gerenciadas em nível de conta. AWS

  • Você tem a opção de escolher uma trilha de nível organizacional gerenciada pela AWS Control Tower ou optar por não participar e gerenciar suas próprias trilhas. CloudTrail

  • Existe a possibilidade de custos duplos, especialmente se algumas contas em uma OU não estiverem inscritas na AWS Control Tower e tiverem suas próprias trilhas em nível de conta que você deseja manter.

Considerações sobre a escolha de trilhas em nível organizacional CloudTrail

  • Quando você atualiza para 3.0 ou posterior, o AWS Control Tower exclui as trilhas no nível da conta que ele criou originalmente, após 24 horas.

  • Nenhum dado dessas trilhas é perdido. Seus registros existentes são preservados mesmo quando as trilhas são removidas.

  • AWSA Control Tower cria um novo caminho no mesmo bucket do Amazon S3 para as trilhas, para diferenciar as trilhas no nível da conta das trilhas no nível da organização.

    • O caminho do registro de trilhas da conta tem o seguinte formato: /orgId/AWSLogs/...

    • O caminho do registro de trilhas da organização tem o seguinte formato: /orgId/AWSLogs/orgId/...

  • CloudTrail Trilhas adicionais que você implantou, trilhas não implantadas pela AWS Control Tower, não são tocadas.

  • Todas as contas são incluídas na trilha em nível de organização, incluindo contas não inscritas na Torre de AWS Controle, se as contas não inscritas fizerem parte de uma OU registrada.

  • Os CloudWatch alarmes da Amazon em contas vinculadas não são acionados.

  • Se você optar por não participar de uma trilha em nível organizacional, a AWS Control Tower ainda criará a trilha, mas definirá seu status como Desativado.

  • Como prática recomendada, se você optar por não participar da trilha em nível organizacional no AWS Control Tower, deverá configurar e gerenciar suas próprias trilhas, CloudTrail

Benefícios das trilhas em nível organizacional

  • A trilha da organização funciona em todas as contas na OU.

  • Os itens registrados são padronizados e não podem ser modificados pelos usuários da conta.

Considere um ambiente de teste

Quando você atualiza sua landing zone, o AWS Control Tower faz alterações somente nas contas compartilhadas e na OU Foundational. Ele não faz alterações em suas contas de carga de trabalho ouOUs. No entanto, como prática recomendada, ao operar seu ambiente AWS Control Tower, recomendamos que você configure um ambiente de teste. Dentro do ambiente de teste isolado, você pode testar as atualizações da zona de pouso do AWS Control Tower, bem como quaisquer alterações que você possa fazer nas políticas de controle de serviço (SCPs), e você pode testar os controles que deseja aplicar ao ambiente. Essa recomendação é especialmente útil se você estiver operando em um setor regulamentado,