本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
着陆区更新最佳实践
本节提供了一些注意事项和最佳实践,供您在考虑升级 Cont AWS rol Tower 中的着陆区域版本时牢记在心。从 2.0 着陆区版本系列改为 3.0 着陆区版本系列尤为重要。当你升级着陆区时,Cont AWS rol Tower 会自动将你移至最新可用版本。
注意
最好更新到最新版本的 landing zone。
本节介绍的最佳做法摘要
-
最佳实践:出于安全和审计原因,我们强烈建议您为所有账户启用全面日志记录,并将日志信息发送到集中位置。在 Cont AWS rol Tower 中,这个集中位置是日志存档账户,它提供一个 Amazon S3 日志存储桶。
-
最佳实践:如果您选择退出 Cont AWS rol Tower 中的组织级 CloudTrail 跟踪,请设置和管理自己的跟踪。
-
最佳实践:在操作 Contro AWS l Tower 环境时,请设置测试环境。
从 2.x 着陆区版本迁移到 3.x 着陆区版本的好处
-
仅记录所在区域的 AWS Config 资源,这样在管理全球资源时可以节省成本
-
用你自己的密KMS钥加密你的 AWS CloudTrail 踪迹
-
自定义您的日志保留期限
-
强化强制性控制措施
-
增加可用控件的数量
-
与集成 AWS Security Hub
-
Python 运行时更新
从 2.x 着陆区版本迁移到 3.x 着陆区版本的注意事项
-
在 landing zone 3.0 及更高版本中,Cont AWS rol Tower 不再支持可管理的账户级 AWS CloudTrail 跟踪。 AWS
-
您可以选择由 Cont AWS rol Tower 管理的组织级跟踪,也可以选择退出该跟踪并管理自己的 CloudTrail 跟踪。
-
存在双重成本的可能性,特别是如果组织单位中的某些账户未注册 Cont AWS rol Tower,并且有自己的账户级别跟踪需要保留。
选择组织级 CloudTrail 跟踪的注意事项
-
当您升级到 3.0 或更高版本时,Cont AWS rol Tower 会在 24 小时后删除其最初创建的账户级跟踪。
-
这些轨迹中的数据不会丢失。即使删除了跟踪,您现有的日志也会被保留。
-
AWSControl Tower 在同一 Amazon S3 存储桶中为跟踪创建了一条新路径,以区分账户级跟踪和组织级跟踪。
-
账户跟踪日志路径的格式如下:
/orgId/AWSLogs/... -
组织跟踪日志路径的格式如下:
/orgId/AWSLogs/orgId/...
-
-
您已部署的其他 CloudTrail 路径(未由 Cont AWS rol Tower 部署的路径)不会被触及。
-
如果未注册的帐户是已注册 OU 的一部分,则所有帐户都包含在组织级别的跟踪中,包括未在 Cont AWS rol Tower 中注册的帐户。
-
关联账户中的 Amazon CloudWatch 警报不会被触发。
-
如果您选择退出组织级别的跟踪,Cont AWS rol Tower 仍会创建该跟踪,但将其状态设置为 “关闭”。
-
作为最佳实践,如果您选择退出 Cont AWS rol Tower 中的组织级跟踪,则应设置和管理自己的 CloudTrail 跟踪,
组织级跟踪的好处
-
组织跟踪适用于组织单位中的所有账户。
-
记录的项目是标准化的,账户用户无法修改。
考虑一个测试环境
当你升级着陆区时,Cont AWS rol Tower 仅对共享账户和基础 OU 进行更改。它不会更改您的工作负载帐户或OUs. 但是,作为最佳实践,在运行 Cont AWS rol Tower 环境时,我们建议您设置测试环境。在隔离的测试环境中,您可以测试 Cont AWS rol Tower 着陆区升级,以及您可能对服务控制策略(SCPs)所做的任何更改,也可以测试要应用于该环境的控制措施。如果您在受监管的行业中经营,则此建议特别有用,
