本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟用功能選項
AFT 根據最佳實務提供功能選項。在 AFT 部署期間,您可以透過功能旗標選擇加入這些功能。如需有關 AFT 輸入組態參數在 AFT 提供新帳戶的詳細資訊,請參閱。
依預設,這些功能不會啟用。您必須在您的環境中明確啟用每個項目。
AWS CloudTrail 資料事件
啟用時, AWS CloudTrail 資料事件選項會設定這些功能。
-
在 AWS Control Tower 管理帳戶中建立組織追蹤 CloudTrail
-
開啟 Amazon S3 和 Lambda 資料事件的記錄
-
使 AWS KMS 用加密功能,將所有 CloudTrail 資料事件加密並匯出到 AWS Control 塔日誌存檔帳戶中的
aws-aft-logs-*S3 儲存貯體 -
開啟記錄檔驗證設定
若要啟用此選項,請在 AFT 部署輸入組態中將下列功能旗標設定為 True。
aft_feature_cloudtrail_data_events
必要條件
啟用此功能選項之前,請確定組織中已啟用 AWS CloudTrail 的受信任存取權。
若要檢查受信任存取權的狀態 CloudTrail :
-
導覽至主 AWS Organizations 控台。
-
選擇「服務」> CloudTrail。
-
如有需要,請選取右上角的「啟用受信任存取」。
您可能會收到警告訊息,建議您使用 AWS CloudTrail 主控台,但在此情況下,請忽略警告。在您允許受信任的存取之後,AFT 會建立追蹤,做為啟用此功能選項的一部分。如果未啟用受信任的存取,當 AFT 嘗試建立資料事件的追蹤時,您會收到錯誤訊息。
注意
此設定適用於組織層級。啟用此設定會影響中的所有帳號 AWS Organizations,不論這些帳號是否由 AFT 管理。啟用時 AWS Control Tower 日誌存檔帳戶中的所有儲存貯體都會從 Amazon S3 資料事件中排除。請參閱使用 AWS CloudTrail 者指南以進一步瞭解相關資訊 CloudTrail。
AWS 企業 Support 計劃
啟用此選項時,AFT 管道會針對 AFT 佈建的帳戶開啟 AWS 企業 Support 計劃。
AWS 根據預設,帳戶會啟用 AWS 基本 Support 方案。AFT 針對 AFT 佈建的帳戶,提供企業支援層級的自動註冊。佈建程序會開啟帳戶的 Support 票證,要求將其新增至 AWS 企業支援方案。
若要啟用「企業 Support」選項,請在 AFT 部署輸入組態中將下列功能旗標設定為 True。
aft_feature_enterprise_support=false
請參閱比較 Sup AWS port 方案
注意
若要允許此功能運作,您必須將付款人帳戶註冊至企業 Support 計劃。
刪除預 AWS 設 VPC
啟用此選項時,AFT 會刪除管理帳戶中的所有 AWS 預設 VPC,並刪除所有預設 VPC AWS 區域,即使這些 VPC 中尚未部署 AWS Control Tower 資源也一樣。 AWS 區域
AFT 不會針對 AFT 佈建的任何 AWS Control Tower 帳戶或透過 AFT 在 AWS Control Tower 註冊的現有 AWS 帳戶自動刪除 AWS 預設 VPC。
根據預設 AWS 區域,每個 AWS 帳戶中都會設定 VPC 來建立新帳戶。您的企業可能具有建立 VPC 的標準做法,因此您必須刪除 AWS 預設 VPC 並避免啟用它,尤其是 AFT 管理帳戶。
若要啟用此選項,請在 AFT 部署輸入組態中將下列功能旗標設定為 True。
aft_feature_delete_default_vpcs_enabled
如需有關預設 VPC 的詳細資訊,請參閱預設 VPC 和預設子網路。
