本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用功能选项
AFT 根据最佳实践提供功能选项。在 AFT 部署期间,您可以通过功能标志选择使用这些功能。有关 在 AFT 开设一个新账户 AFT 输入配置参数的更多信息,请参阅。
默认情况下,这些功能未启用。您必须在您的环境中明确启用每个选项。
AWS CloudTrail 数据事件
启用后, AWS CloudTrail 数据事件选项将配置这些功能。
-
在 AWS Control Tower 管理账户中创建组织跟踪,用于 CloudTrail
-
开启亚马逊 S3 和 Lambda 数据事件的日志记录
-
使用加密功能加密所有 CloudTrail 数据事件并将其导出到 AWS Control Tower 日志存档账户中的
aws-aft-logs-*S3 存储桶 AWS KMS -
开启日志文件验证设置
要启用此选项,请在您的 AFT 部署输入配置中将以下功能标志设置为 True。
aft_feature_cloudtrail_data_events
先决条件
在启用此功能选项之前,请确保在您的组织中 AWS CloudTrail 启用了的可信访问权限。
要检查以下各项的可信访问状态,请执行 CloudTrail 以下操作:
-
导航到 AWS Organizations 控制台。
-
选择 “服务” > CloudTrail。
-
然后根据需要选择右上角的 “启用可信访问”。
您可能会收到一条警告消息,建议您使用 AWS CloudTrail 控制台,但在这种情况下,请忽略该警告。在您允许可信访问之后,AFT 会创建跟踪,作为启用此功能选项的一部分。如果未启用可信访问,则当 AFT 尝试为数据事件创建跟踪时,您将收到一条错误消息。
注意
此设置适用于组织级别。启用此设置会影响中的所有账户 AWS Organizations,无论这些账户是否由 AFT 管理。启用时 AWS Control Tower 日志存档账户中的所有存储桶都将排除在 Amazon S3 数据事件之外。要了解更多信息,请参阅《 AWS CloudTrail 用户指南》 CloudTrail。
AWS 企业 Support 计划
启用此选项后,AFT 管道将为由 AFT 配置的账户开启 AWS 企业支持计划。
AWS 默认情况下,账户已启用 B AWS asic Support 计划。AFT 为由 AFT 提供的账户自动注册到企业支持级别。配置过程会为该账户打开支持请求,请求将其添加到 E AWS nterprise Support 计划中。
要启用 Enterprise Support 选项,请在 AFT 部署输入配置中将以下功能标志设置为 True。
aft_feature_enterprise_support=false
要了解有关AWS 支持计划的更多信息,请参阅比较
注意
要允许此功能运行,您必须将付款人账户注册到 Enterprise Support 计划中。
删除 AWS 默认 VPC
启用此选项后,AFT 会删除管理账户中的所有 AWS 默认 VPC 以及所有默认 VPC AWS 区域,即使这些 AWS 区域虚拟私有云中尚未部署 AWS Control Tower 资源也是如此。
AFT 不会自动删除 AFT 配置的任何 AWS Control Tower 账户或您通过 AFT 在 AWS Control Tower 中注册的现有 AWS 账户的 AWS 默认 VPC。
默认情况下,创建新 AWS 账户时每个 AWS 区域账户都设置了 VPC。您的企业可能有创建 VPC 的标准做法,这要求您删除 AWS 默认 VPC 并避免将其启用,尤其是对于 AFT 管理账户。
要启用此选项,请在您的 AFT 部署输入配置中将以下功能标志设置为 True。
aft_feature_delete_default_vpcs_enabled
要了解有关默认 VPC 的更多信息,请参阅默认 VPC 和默认子网。
